XtravaganT - Fotolia
Las contraseñas y la evolución de la autenticación digital
El Día Mundial de la Contraseña sigue siendo un recordatorio de buenas prácticas digitales, pero también nos recuerda que proteger los datos y satisfacer a los clientes requiere un enfoque más inteligente, fluido y conectado.
El primer jueves de mayo se conmemora el Día Mundial de la Contraseña, una fecha creada para reforzar la importancia de las credenciales seguras, pero que hoy invita a reflexionar sobre cómo ir más allá de la contraseña tradicional sin renunciar a la protección de datos y a la confianza de los clientes.
En toda América Latina, la economía digital está en auge. Las startups están creciendo rápidamente, el comercio electrónico aumenta exponencialmente y cada año millones de nuevos usuarios se conectan a internet. Pero esta rápida expansión digital también conlleva la amenaza de ciberataques que aumentan en frecuencia y sofisticación, para los cuales muchas personas y organizaciones simplemente no están preparadas.
“Una de las primeras líneas de defensa contra las intrusiones en la privacidad y el robo de identidad es una contraseña fuerte y segura. Con la creciente digitalización de nuestras vidas, la seguridad es una preocupación cada vez mayor y a la que hay que tomar con importancia”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de la compañía de detección proactiva de amenazas, ESET Latinoamérica.
Sin embargo, la forma en la que históricamente nos hemos protegido en línea ya no es suficiente, ni lo es confiar exclusivamente en las contraseñas. El aumento de las estafas por phishing, el ransomware y el robo de credenciales en países como México, Colombia y Brasil debería ser una señal de alerta, indican desde Kaseya. Los ciberdelincuentes no solo se están volviendo más inteligentes, sino que están apuntando a los eslabones digitales más débiles de la región, y la protección de datos se ha vuelto una prioridad para casi un tercio de los consumidores, según señala la compañía de servicios de comunicaciones Sinch.
“Todo comienza con cómo pensamos sobre las contraseñas. Durante años, se nos dijo que rotáramos constantemente contraseñas cortas. Pero eso a menudo conduce a combinaciones fáciles de adivinar o a hábitos riesgosos, como anotarlas o usar la misma contraseña en varias cuentas. ¿Qué funciona? Frases de contraseña largas y memorables, estamos hablando de entre 50 y 70 caracteres. Deben combinar letras, números y símbolos, pero seguir siendo algo que puedas recordar. Piensa en ellas como una armadura digital: cuanto más largas y complejas, mejor es la protección. Los ataques de fuerza bruta, en los que los hackers intentan adivinar tu contraseña, se vuelven prácticamente inútiles frente a ellas”, afirma Nadir Merchant, gerente general del Conjunto de Operaciones de TI en la empresa de monitoreo de redes, Kaseya.
El ejecutivo, además, recomienda utilizar gestores de contraseñas con cifrado bidireccional para generar y almacenar contraseñas fuertes, reduciendo la necesidad de compartirlas por correo electrónico o aplicaciones de mensajería, que son puntos de entrada frecuentes para ataques en América Latina.
Mario Marchetti, director de Sinch en Latinoamérica, concuerda, señalando que: “Las contraseñas siguen siendo relevantes, especialmente en los sistemas heredados o como capa adicional de protección. Pero las soluciones más modernas están ganando terreno al ofrecer experiencias rápidas, seguras y con menos fricción. Entre ellas se encuentran la verificación mediante datos del operador, la biometría, la autenticación por voz y la 2FA a través de SMS o notificaciones push. Estas alternativas ayudan a prevenir el fraude, eliminar pasos innecesarios y reducir el abandono en procesos críticos como la apertura de cuentas y el acceso a aplicaciones”.
Para Merchant, la autenticación multifactor (MFA) es esencial, no solo en su forma más básica de autenticación en dos pasos (2FA) basada en el navegador, sino especialmente una multifactor basada en notificaciones push en un dispositivo separado, como el teléfono móvil. Así se agrega una barrera que los atacantes no pueden cruzar fácilmente, subraya.
“Una buena higiene de contraseñas no es solo una buena práctica, es una defensa económica. Cuanto más invirtamos en hábitos seguros, como frases de contraseña largas, autenticación multifactor y gestión cifrada de contraseñas, más fuertes y resilientes se volverán nuestros ecosistemas digitales”, asegura el gerente general del Conjunto de Operaciones de TI en Kaseya.
“Las contraseñas no desaparecerán, pero es probable que pasen a formar parte de un ecosistema de seguridad digital más amplio en el que tecnologías invisibles, fiables e integradas garanticen desplazamientos más sencillos y seguros. Para el sector financiero, es hora de replantearse los viejos modelos e invertir en soluciones que vayan más allá de la protección: que generen confianza desde el primer acceso”, concluye Mario Marchetti, director de Sinch en Latinoamérica.
¿Cómo saber si mi contraseña es segura?
Crear contraseñas simples, reutilizarlas, o incluso compartirlas con terceros, son algunos de los errores más comunes que se deben evitar al administrar los accesos a las cuentas. ESET comparte herramientas prácticas para ayudar a comprobar si la contraseña que se utiliza es segura, cómo crear combinaciones más sólidas y de qué manera proteger las cuentas en línea.
¿Cómo saber si su contraseña es realmente segura? Primero, revisar si la contraseña ha sido expuesta. Las fugas de datos ocurren, y herramientas como Have I Been Pwned (HIBP) permiten verificar si las contraseñas o direcciones de correo electrónico fueron expuestas en violaciones de seguridad anteriores. Al ingresar una contraseña, el sitio verifica si está incluida en alguna de las filtraciones conocidas en su base de datos.
El primer paso –en caso de que una contraseña haya sido filtrada– es cambiarla. Cada contraseña debe ser cambiada por una que sea compleja y diferente para cada servicio que se utiliza. Para crear contraseñas seguras, se debe utilizar un generador de contraseñas, como el que ofrece ESET de forma gratuita, y tener en cuenta los siguientes aspectos:
- Longitud: Las contraseñas más largas proporcionan una barrera que es más difícil de penetrar para los ataques de fuerza bruta. Se recomienda que las contraseñas tengan al menos 12 caracteres, pero cuanto más largas sean, mejor. Una contraseña de 20 caracteres o más es aún más segura.
- Complejidad: Una contraseña segura debe incluir una variedad de caracteres, como letras mayúsculas y minúsculas, números y símbolos especiales como @, #, $, $, % y otros. La inclusión de estos elementos aumenta exponencialmente el número de combinaciones posibles, haciendo que la contraseña sea mucho más difícil de adivinar.
- Aleatoriedad: Evitar patrones predecibles o secuencias obvias. Las contraseñas compuestas por palabras comunes, nombres de personas, fechas de nacimiento o cadenas como "123456" o "William123" son extremadamente vulnerables a los ataques. Opte por contraseñas generadas aleatoriamente, o cree combinaciones propias que no tengan nada que ver con la información personal.
- Diversidad: Debe utilizar contraseñas diferentes para cada cuenta en línea. Así, si una contraseña se ve comprometida en una cuenta, las demás cuentas no serán vulnerables. ESET recomienda utilizar un administrador de contraseñas para ayudar a gestionar todas esas contraseñas de forma segura, sin tener que memorizarlas.
