Esta semana hemos leído con sorpresa como la cadena hotelera Holiday Inn reconocía que unos hackers habían conseguido acceso a los sistemas internos de la compañía, eliminando gran cantidad de datos de manera irreversible. La noticia en sí no es el hecho sorprendente, pues desgraciadamente cada vez estamos más acostumbrados a leer en los medios cómo compañías e instituciones son víctimas de este tipo de ataques, algunas veces para secuestrar datos a cambio de una recompensa económica, y otras simplemente para hacer daño.
Lo sorprendente del caso de Holiday Inn es que la manera con la que los piratas informáticos fueron capaces de acceder a los datos internos de la empresa no fue debido a un error complejísimo de seguridad, sino gracias a una contraseña corporativa, que daba acceso a la base de datos generales de usuarios y claves de toda la compañía. Esta contraseña era, atención, Qwerty1234.
Pero, ¿cómo puede ser que una multinacional que cotiza en bolsa y opera más de 6.000 hoteles protegiera sus datos más preciados con una contraseña tan simple? Desgraciadamente este es un hecho más común de lo que nos pensamos. De hecho, diferentes grupos de ciber-investigación elaboran cada año una lista con las contraseñas más utilizadas en todo el mundo, y las 10 más populares de este año son:
- 123456
- 123456789
- qwerty
- password
- 12345
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
Parece mentira, ¿verdad? El hecho es que a menudo cuando nos registramos en servicios online, no somos conscientes de la relevancia que tiene escoger una contraseña segura y no compartirla con nadie. Así pues, ¿qué tenemos que tener en cuenta cuando escogemos una clave de acceso?
1. Tenemos que usar contraseñas diferentes para cada lugar donde nos registramos
Si usamos la misma clave de acceso en varios lugares, tenemos muchos números que, si uno de estos lugares es víctima de un ataque, los atacantes consigan acceder al resto de servicios en los cuales usamos la misma palabra de paso.
2. Las contraseñas tienen que ser seguras
Una clave segura es aquella que es complicada de adivinar, incluso por una máquina que hace miles de pruebas por segundo de manera programática. Una contraseña segura tendría que tener como mínimo 12 caracteres, usar letras y números, combinar letras en mayúscula y minúscula y usar símbolos.
3. Guardar las claves de acceso en un lugar seguro
El problema de usar contraseñas diferentes para cada servicio y que estas sean largas y complejas es que es imposible recordarlas de memoria, y una hoja de cálculo en el escritorio o un post-it en el primer cajón del despacho no son lugares seguros.
Por suerte, existen una infinidad de herramientas, como 1Password o LastPass, que sirven exactamente para eso: almacenar contraseñas, tarjetas de crédito y documentos sensibles de manera segura. Además, estas herramientas se integran directamente con los navegadores para llenar las pantallas de registro e identificación de cualquier aplicación o web de manera automática.
4. Usar autenticaciones de doble factor
Si realmente queremos estar seguros que nuestros datos están aseguradas, una contraseña segura y bien guardada es un buen principio, pero no es suficiente. Hoy en día, todas las grandes compañías que gestionan datos personales como Google, Apple o Microsoft, bancos o diferentes aplicaciones o servicios, permiten usar autenticación de dobe factor.
En la práctica esto quiere decir que, una vez nos hayamos identificado en el sistema, se nos enviará un código desechable –mediante SMS o una aplicación de terceros, como 1Password o Google Authenticator–, que añadirá una capa extra de seguridad.
Así pues, aunque alguien consiguiera nuestra contraseña, necesitaría disponer de acceso físico a nuestro teléfono móvil para acceder al servicio en cuestión. La manera de activar las autenticaciones de doble factor son diferentes para cada servicio o aplicación, pero normalmente las opciones para hacerlo están dentro de la configuración de la cuenta, en el apartado de contraseña o seguridad.