Ahora que nuestros recuerdos, secretos e información más valiosa se encuentran en la nube, se vuelve capital protegerse adecuadamente en un espacio donde el cibercrimen crece a gran velocidad, poniendo en jaque a los usuarios de Internet. La teoría es clara. Pero parece que cuesta trasladarla a la práctica si tenemos en cuenta que 123456, admin, 12345678, 123456789 y 1234 son las cinco contraseñas más comunes, según los datos recopilados por el gestor de contraseñas NordPass. Aún más: password es la séptima clave más utilizada, que cuenta con su variante Password, la decimoquinta más común -y mucho más segura, ¿verdad?-. Está claro que la creatividad humana da lugar a combinaciones tan sencillas como absurdas, pero también originales y sofisticadas que no ponen el trabajo fácil a los ciberdelincuentes. Por ahora, sin embargo, solo un 23% de estas son realmente robustas y requerirían más de un año en ser descifradas. El resto son fácilmente hackeables y, probablemente, en menos tiempo del que podemos esperar.
El 45% de las contraseñas se pueden descifrar en menos de sesenta segundos
Esta es una de las principales conclusiones a las que ha llegado la empresa de ciberseguridad Kaspersky que, tras analizar nada menos que 193 millones de contraseñas, asegura que el 45% de estas se pueden descifrar en menos de sesenta segundos. El análisis coincide con NordPass al apuntar que las contraseñas más comunes, que suelen seguir patrones simples, son las más vulnerables.
De filtraciones a la IA generativa: así pueden obtener nuestras claves
“Hay una necesidad urgente de revisar y fortalecer nuestras prácticas de seguridad en línea”, apunta a VIA Empresa el presidente y CGO de Qualiteasy, Ignasi Nogués, quien detalla que prácticamente la mitad de las contraseñas estándar que usamos se pueden descifrar en menos de un minuto: “Hay una diferencia muy grande entre las contraseñas estándar y las que tienen un número de caracteres importantes. El tiempo requerido para descifrar estas últimas puede superar fácilmente los cuatro años”, apunta Nogués.
Protegeix totes les teves dades fent ús de contrasenyes segures!
— Autoritat Catalana de Protecció de Dades (@apdcat) February 15, 2024
👉 #APDCAT et convidem a veure aquest vídeo on trobaràs alguns consells per aprendre com protegir-te.
🙋♀️ Pren el control de la teva #privacitat. pic.twitter.com/JyRy8NuY6s
¿A qué se debe esta diferencia de tiempo? En primer lugar, el principal método para obtener claves son las filtraciones de datos: “Cuando se filtran los datos de una compañía, como hemos podido ver en casos recientes, los hackers comienzan a rastrear todo de forma automática, intentando obtener la máxima información del mayor número de personas”, continúa el experto, quien añade que “si usas la misma clave de acceso para varios espacios, como es el caso de mucha gente, hay sistemas que van probando hasta que te lo rompen todo. Es el sistema más habitual”. El presidente y CGO de Qualiteasy señala que también existen sistemas “de fuerza bruta” que, ayudados con inteligencia artificial generativa, producen combinaciones estandarizadas hasta obtener tu contraseña.
De esta manera, los ciberataques se encuentran a la orden del día en el mundo digital, y lo demuestran casos recientes como la Dirección General de Tráfico, que afectó a más de 34 millones de conductores, el robo de datos que sufrió Iberdrola en que se vieron perjudicados 850.000 clientes o el caso de Telefónica, en que se vieron expuestos los datos de 120.000 clientes.
No, el nombre de tu mascota no es la mejor contraseña
Ante este panorama, Nogués, junto con el equipo de Qualiteasy, propone diversas medidas para ganar protección y alejar a los ciberdelincuentes de nuestra información más valiosa. No usar información personal en tu clave es la primera y, aunque parece evidente, los nombres, fechas de nacimiento u otros datos fácilmente deducibles son bastante comunes en las contraseñas que se usan hoy en día.
Nordpass, Passwork o 1Password son algunos de los gestores de contraseñas más populares, junto a los de Google y Apple
Asimismo, crear contraseñas aleatorias y complejas, que mezclen letras mayúsculas y minúsculas, números y símbolos es clave -nunca mejor dicho-, y especialmente si se usan gestores de contraseñas fiables encargados de generar y almacenar estas combinaciones, como lo hacen el ya mencionado NordPass, u otros populares como Passwork, Keeper Security o 1Password. Los gestores de Google o Apple, sin ir más lejos, son también de gran utilidad, como también lo es el hecho de no reutilizar contraseñas o activar la autenticación de doble factor (2FA), que supone “una capa extra de seguridad”, de la misma manera que el uso de certificados digitales.
La ce cedilla, un extra de seguridad para blindar a los usuarios catalanes
Y es que, por si no fuera suficiente, los catalanes gozaríamos de un apoyo adicional para protegernos un poco más: la ce cedilla. “Además de estas medidas, nos podemos beneficiar de la ce cedilla a la hora de crear nuestras contraseñas, ya que los teclados ingleses y americanos no la contemplan”, añade el presidente y CGO de Qualiteasy, quien, paralelamente, lamenta la falta de formación en la sociedad en cuanto al ámbito de la ciberseguridad.
Nogués: "Nos podemos beneficiar de la ce trencada a la hora de crear nuestras contraseñas, ya que los teclados ingleses y americanos no la contemplan”
“Incluso, a los que sabemos nos sorprenden nuevas herramientas para conseguir passwords mediante la inteligencia artificial generativa”. “Sería muy importante que entre todos y con el apoyo de las administraciones hiciéramos un poco de conciencia de lo importante que es proteger al máximo nuestros sistemas, porque lamentablemente todos conocemos algún caso a quien le han podido hackear datos importantes”, comenta Nogués. “Debemos poner barreras, igual que en el mundo físico”.
Las consecuencias de jugar a adivinar contraseñas
Ahora bien, sea en el mundo físico o en el digital, saltarse según qué barreras tiene un costo: “El acceso a contraseñas o su uso inadecuado podría tener consecuencias jurídicas desde tres puntos de vista”, apunta a VIA Empresa Eloi Font, abogado especializado en Derecho Digital y Tecnológico y socio director de Font, quien menciona que, en el ámbito penal, “podría considerarse un delito de descubrimiento y revelación de secretos según el artículo 197 del Código Penal, y podría implicar una pena privativa de libertad, es decir, una pena de prisión de hasta dos años”.
Y es que jugar a adivinar contraseñas también supondría una infracción a la normativa de protección de datos personales, ya que, tal como apunta Font, “estas están vinculadas a personas físicas, y con su uso inadecuado se estarían infringiendo controles o medidas de seguridad que, en caso de existir una denuncia por parte de un ciudadano, se podría perseguir por parte de la Agencia Española de Protección de Datos”. En tercer y último lugar, el abogado concluye que un uso inadecuado o una intromisión ilegítima en la intimidad de alguien también puede suponer una infracción civil prevista por la ley orgánica 1/1982 de los derechos al honor, intimidad y propia imagen.