– Dic 14, 2019, 17:30 (CET)

Estás escogiendo mal tus contraseñas: estas son las normas que realmente deberías seguir para protegerte en internet

Es frecuente que sigamos ciertas reglas o consejos en nuestro día a día y no recordemos de dónde vienen ni los motivos por los que los seguimos. En seguridad, durante años hemos creído que una buena contraseña debe contar con todo tipo de elementos combinados de manera aleatoria. ¿Hasta qué punto es correcto en la actualidad? ¿Deberíamos actualizar estas reglas para crear una contraseña segura?

Es curioso observar cómo se transmite el conocimiento entre generaciones y cómo ciertas ideas permanecen durante décadas y otras caen en el olvido. Lo mismo ocurre con los consejos o con las normas. ¿Te ha ocurrido que en tu puesto de trabajo te dicen que algo se hace de determinada manera pero nadie sabe bien por qué?

Hace tiempo publicamos un artículo titulado ¡Actualízate! Consejos informáticos que ya están desfasados donde repasaba algunas costumbres, normas o consejos que durante años se seguían en la informática personal pero que ya no tienen sentido por los cambios de la tecnología. Con todo, hay quien sigue difundiendo esos consejos aunque ya no son útiles como en su origen.

En seguridad también hay ciertas costumbres que, si bien no dejan de ser en parte ciertas, no siempre son tan importantes como lo fueron en su día o simplemente son consecuencia de un error o confusión. Por ejemplo, el uso de antivirus. Durante años, la seguridad informática tenía como eje central el antivirus, si bien es mucho más importante contar con un buen cortafuegos, algo que por suerte hemos solucionado de manera que en la actualidad es más importante el cortafuegos como eje de la seguridad que un antivirus que no siempre puede hacer frente a los retos de seguridad ante los que nos enfrentamos.

La contraseña adecuada

Otro elemento clave de la seguridad es la contraseña. Cada cierto tiempo surgen estudios o análisis que indican que las contraseñas o claves más empleadas son de una simpleza que llaman la atención. Y en el extremo opuesto, los consejos que siempre se dan para obtener una contraseña segura pasan por combinar caracteres, símbolos especiales, números o incluso alternar mayúsculas y minúsculas.

Hace un par de años descubrimos quién era el responsable de estas normas para crear contraseñas seguras y que se siguen en departamentos de IT o en formularios online para darte de alta en cualquier servicio. Su nombre es William Burr y concedió una entrevista a The Wall Street Journal en agosto de 2017 donde básicamente reconocía que los consejos que dio en 2003 en un documento oficial para crear contraseñas seguras no son tan buenos consejos como deberían. Obviamente, muchos medios se hicieron eco del tema.

La historia no tendría mayor relevancia si no fuera porque William Burr dirigió durante diez años el NIST Cryptographic Technology Group, o en castellano, el Grupo de Tecnología Criptográfica del Instituto Nacional de Estándares y Tecnología. Es más, sus consejos para crear contraseñas seguras eran parte de un documento oficial de esta agencia estadounidense titulado NIST Special Publication 800-63. En concreto, el Appendix A o Apéndice A.

Aunque puedes leer tú mismo este documento de 2003 que sigue en vigor y cuya última actualización es, precisamente, de 2017, año en que se publicó la entrevista de William Burr reconociendo su error, ese extenso documento se puede resumir básicamente en que una contraseña segura debe ser consecuencia de combinar mayúsculas y minúsculas, letras, números y símbolos. Además, se recomendaba cambiar la contraseña cada 90 días.

Una anécdota con consecuencias

En palabras del propio William Burr, o como aparece en la entrevista, Bill Burr, no confundir con el humorista, sus conocimientos en seguridad y contraseñas se remontaba a los años 80. Y como ocurre con tantas costumbres en el ámbito tecnológico, algo que funcionaba en los 80 puede que no funcione tan bien décadas más tarde.

Por ejemplo, en los años 80 no existía internet y mucho menos tecnología como HTML5, aplicaciones web o herramientas de hacking que buscan contraseñas mediante prueba y error empleando diccionarios a una velocidad que las computadoras de hace unas décadas no hubieran sido capaces de ejecutar.

Sin embargo, el daño está hecho. La importancia del documento redactado por Burr en 2003 para un organismo de la relevancia del NIST estadounidense hizo que empresas privadas y organizaciones públicas adoptasen estas normas hasta tal punto que en muchos empleados se ven obligados a aplicar normas de seguridad obsoletas o cualquiera que quiera darse de alta en un sitio web.

Actualizando la viejas reglas

Hoy en día, la contraseña sigue siendo en gran medida la llave virtual que nos abre las puertas de nuestro correo electrónico, nuestro disco virtual y un sinfín de servicios electrónicos.

Pero si te las has visto con la administración pública por internet, habrás sufrido los certificados digitales, si operas con tu banco a través de la red, habrás empleado tarjetas de códigos o la verificación mediante aplicación móvil, y cada vez es más popular el uso de verificación con dos pasos, a través de mensajes SMS o directamente con aplicaciones como Microsoft Authenticator o Google Authenticator.

Todo esto sin contar con sistemas de seguridad que emplean huella digital o reconocimiento facial, y que más allá de desbloquear tu smartphone, más pronto que tarde se podrá emplear para realizar compras o acceder a tus servicios online.

Sin embargo, la contraseña sigue estando ahí, y crear una buena contraseña sigue siendo importante. Puedes diseñarla tú mismo o dejar esa tarea a tu sistema operativo, tal y como ocurre con el generador de contraseñas de macOS, iOS o iPadOS o con herramientas que guardan contraseñas como la popular LastPass.

Volviendo al tema que nos ocupa, el documento que originalmente redactara William Burr, ya retirado, fue actualizado hace un par de años introduciendo las mejoras y los conocimientos que hemos adquirido a base de estudios y análisis. Y entre otras conclusiones, destacan las siguientes.

Primero, es más importante lo larga que sea tu contraseña a su complejidad. Cuanto más larga sea, más difícil será de descubrir. Y para evitar que los ataques de fuerza bruta y los ataques con diccionario descubran esa contraseña, conviene limitar los intentos de iniciar sesión.

En cuanto a la complejidad, de nada sirve obligar a usar símbolos, mayúsculas y números si no se combinan correctamente. El propio documento del NIST pone de ejemplo “Password1!” cuando lo que busca esta norma realmente es algo del estilo “P4ss!w0rd@”.

La aleatoriedad es otro elemento a tener en cuenta. Generar una contraseña de manera aleatoria dará con una clave más compleja y difícil de descubrir que si nos limitamos a usar el nombre de nuestra mascota o nuestra fecha de nacimiento.

Otro aspecto a tener en cuenta es el cambio de contraseña cada cierto tiempo. El documento actualizado del NIST advierte que obligar a cambiar la contraseña asiduamente hace que el usuario afectado acabe por crear contraseñas simples para recordarlas.

Está claro que no existe unas reglas fijas para crear una contraseña segura, y resulta imposible diseñar una contraseña perfecta, pues tarde o temprano alguien la adivinará. En cualquier caso, el ejemplo que hemos visto sirve para ver cómo los estándares cambian con los años. Quién sabe cómo serán las contraseñas futuras con la llegada del machine learning y las computadoras cuánticas.