Ara que els nostres records, secrets i informació més valuosa es troben al núvol, esdevé capital protegir-se adequadament en un espai on el cibercrim creix a gran velocitat, posant en escac als usuaris d’Internet. La teoria és clara. Però sembla que costa traslladar-la a la pràctica si tenim en compte que 123456, admin, 12345678, 123456789 i 1234 són les cinc contrasenyes més comunes, segons les dades recopilades pel gestor de contrasenyes NordPass. Encara més: password és la setena clau més utilitzada, que compta amb la seva variant Password, la quinzena més comuna -i molt més segura, oi?-. Està clar que la creativitathumana dona lloc a combinacions tan senzilles com absurdes, però també originals i sofisticades que no posen la feina fàcil als ciberdelinqüents. Ara per ara, però, només un 23% d’aquestes són realment robustes i requeririen més d’un any en ser desxifrades. La resta són fàcilment hackejables i, probablement, en menys temps del que podem esperar.
El 45% de les contrasenyes es poden desxifrar en menys de seixanta segons
Aquesta és una de les principals conclusions a les quals ha arribat l’empresa de ciberseguretat Kaspersky que, després d’analitzar ni més ni menys que 193 milions de contrasenyes, assegura que el 45% d’aquestes es poden desxifrar en menys de seixanta segons. L’anàlisi coincideix amb NordPass a l’hora d’apuntar que les contrasenyes més comunes, que acostumen a seguir patrons simples, són les més vulnerables.
De filtracions a la IA generativa: així poden obtenir les nostres claus
“Hi ha una necessitat urgent de revisar i enfortir les nostres pràctiques de seguretat en línia”, apunta a VIA Empresa el president i CGO de Qualiteasy, IgnasiNogués, qui detalla que pràcticament la meitat de les contrasenyes estàndards que fem servir es poden desxifrar en menys d’un minut: “Hi ha una diferència molt gran entre les contrasenyes estàndards i les que tenen un nombre de caràcters importants. El temps requerit per desxifrar aquestes darreres pot superar fàcilment els quatre anys”, apunta Nogués.
Protegeix totes les teves dades fent ús de contrasenyes segures!
— Autoritat Catalana de Protecció de Dades (@apdcat) February 15, 2024
? #APDCAT et convidem a veure aquest vídeo on trobaràs alguns consells per aprendre com protegir-te.
?♀️ Pren el control de la teva #privacitat. pic.twitter.com/JyRy8NuY6s
A què es deu aquesta diferència de temps? En primer lloc, el principal mètode per obtenir claus són les filtracions de dades: “Quan es produeix una filtració en una companyia, com hem pogut veure en casos recents, els hackers comencen a rastrejar-ho tot de forma automàtica, intentant agafar el màxim d’informació del màxim nombre de persones”, continua l’expert, qui afegeix que “si fas servir la mateixa clau d’accés per a diversos espais, com és el cas de molts usuaris, hi ha sistemes que van provant fins que t'ho rebenten tot. És el sistema més habitual”. El president i CGO de Qualiteasy assenyala que també existeixen sistemes “de força bruta” que, ajudats amb intel·ligència artificial generativa, produeixen combinacions estandarditzades fins a obtenir la teva contrasenya.
D'aquesta manera, els ciberatacs es troben a l'ordre del dia en el món digital, i ho demostren casos recents com la Dirección General de Tráfico, que va afectar a més de 34 milions de conductors, el robatori de dades que va patir Iberdrola en què es van veure perjudicats 850.000 clients o el cas de Telefónica, en què es van veure exposades les dades de 120.000 clients.
No, el nom de la teva mascota no és la millor contrasenya
Davant aquest panorama, Nogués, juntament amb l’equip de Qualiteasy, proposa diverses mesures per guanyar protecció i allunyar els ciberdelinqüents de la nostra informació més valuosa. No fer servir informació personal en la teva clau és la primera i, malgrat que sembla evident, els noms, dates de naixement o altres dades fàcilment endevinables són força comuns en les contrasenyes que es fan servir avui dia.
Nordpass, Passwork o 1Password són alguns dels gestors de contrasenyes més populars, juntament amb els de Google i Apple
Així mateix, crear contrasenyes aleatòries i complexes, que barregin lletres majúscules i minúscules, números i símbols és clau -mai millor dit-, i especialment si es fan servir gestors de contrasenyes fiables encarregats de generar i emmagatzemar aquestes combinacions, com ho fan el ja mencionat NordPass, o d’altres populars com ara Passwork, KeeperSecurity o 1Password. Els gestors de Google o Apple, sense anar més lluny, són també de gran utilitat, com també ho és el fet de no reutilitzar contrasenyes o activar l’autenticació de doble factor (2FA), que suposa “una capa extra de seguretat”, de la mateixa manera que l’ús dels certificats digitals.
La ce trencada, un extra de seguretat per blindar els usuaris catalans
I és que, per si no fos suficient, els catalans gaudiríem d’un suport addicional per protegir-nos una mica més: la ce trencada. “A més d’aquestes mesures, ens podem beneficiar de la ce trencada a l’hora de crear les nostres contrasenyes, ja que els teclats anglesos i americans no la contemplen”, afegeix el president i CGO de Qualiteasy, qui, paral·lelament, lamenta la falta de formació en la societat quant a l’àmbit de la ciberseguretat.
Nogués: "Ens podem beneficiar de la ce trencada a l’hora de crear les nostres contrasenyes, ja que els teclats anglesos i americans no la contemplen”
“Fins i tot, als que en sabem ens sorprenen noves eines per aconseguir passwords mitjançant la intel·ligència artificial generativa”. “Seria molt important que entre tots i amb el suport de les administracions féssim una mica de consciència de com d’important és protegir al màxim els nostres sistemes, perquè lamentablement tots coneixem algun cas a qui li han pogut hackejar dades importants”, comenta Nogués. “Hem de posar barreres, igual que en el món físic”.
Les conseqüències de jugar a endevinar contrasenyes
Ara bé, sigui en el món físic o en el digital, saltar-se segons quines barreres té un cost: “L’accés a contrasenyes o el seu ús inadequat podria tenir conseqüències jurídiques des de tres punts de vista”, apunta a VIA EmpresaEloiFont, advocat especialitzat en Dret Digital i Tecnològic i soci director de Font, qui menciona que, en l’àmbit penal, “podria considerar-se un delicte de descobriment i revelació de secrets segons l’article 197 del Codi Penal, i podria implicar una pena privativa de llibertat, és a dir, una pena de presó de fins a dos anys”.
I és que jugar a endevinar contrasenyes també suposaria una infracció a la normativa de protecció de dades personals, ja que, tal com apunta Font, “aquestes estan vinculades a persones físiques, i amb el seu ús inadequat s’estarien infringint controls o mesures de seguretat que, en cas d’existir una denúncia per part d’un ciutadà, es podria perseguir per part de l’Agencia Española de Protección de Datos”. En tercer i darrer lloc, l’advocat conclou que un ús inadequat o una intromissió il·legítima en la intimitat d’algú també pot suposar una infracció civil prevista per la llei orgànica 1/1982 dels drets a l’honor, intimitat i pròpia imatge.