Claves seguras contra piratas

Anotarlas en un papel y guardarlas en un lugar seguro, aunque parezca anticuado y poco eficiente, es la mejor forma de garantizarte la accesibilidad a tus claves personales, siempre y cuando guardes ese papel en un sitio donde esté protegido.

Una hoja, una libreta, una agenda, son hoy en día, aparte de soportes tangibles, autónomo e independientes a los que podemos consultar en cualquier situación, respaldos menos susceptibles de sufrir el acceso de terceros que cualquier otro al que pueda llegarse por medios electrónicos.

Los administradores de claves son muy útiles, rápidos, consistentes y sobre todo seguros, pero nada nos garantiza que vayan a funcionar siempre.

Que lo perdamos todo sin remedio con una app de gestión de contraseña depende de que simplemente:

• falle
• deje de funcionar con nuestro sistema operativo
• caduque
• sea dada de baja
• sea vulnerada por piratas informáticos por cualquier vía
• perdamos la clave maestra y no podamos entrar

La memoria individual es lo más privado que tenemos, pero también es frágil y limitada, además de relativamente poco confiable en estos tiempos en los que el exceso de información nos abruma.

Guardarlas en un archivo digital personal accesible (documento, nota, email o similar) es lo menos aconsejable porque siempre deja un hueco franco para que los ladrones se infiltren y nos roben las claves, en especial ahora que casi todas las cosas están interconectadas por medio de la Nube.

Aunque parezca arcaico, la libreta del almacén de la abuela, convenientemente resguardada, es lo más eficaz.

Dicen los expertos que la longitud mínima de una contraseña –que para Windows 10 de Microsoft puede ser cualquiera entre 0 y 14– debería ser de al menos 12 caracteres, de modo que sea capaz de proporcionar la seguridad adecuada basada en la probabilística.

Si bien el tamaño no lo es todo (como en la vida) cuanto más larga es la clave, más difícil es vulnerarla, aunque también se hace más complicado recordarla.

Por eso, los avezados en seguridad aconsejan usar esa longitud (12) como estándar para las claves.

La contraseña más fuerte de las 4 opciones alfanuméricas poco seguras presentadas es 8317José sin ninguna duda.

Las claves que comienzan con letras son más débiles que las que empiezan con números, por lo cual José1234 y José8317 son menos seguras pues a los descifradores les resultará más sencillo dar en la tecla.

A la vez, las secuencias, las escalas o las repeticiones numéricas –como 1234José o José1234– son más frágiles.

Consejo: si podés empezar con un número distinto de 0 ó 1, tu clave será más sólida.

Como sugerencia, lo ideal es no elegir ninguna de las indicadas.

El PIN 1111 ocupa el 2º lugar entre los más elegidos por los usuarios y rompe con la regla básica, después de la secuencia en escalera 1234, de lo que no debe hacerse con una clave numérica: repetir el mismo dígito.

Aunque podría parecer menos obvio, el PIN 1004 está en el 6º puesto entre los preferidos del público, lo que no es una buena forma de ganar en seguridad.

Por el contrario, todos los estudios de campo muestran que el PIN 8068 es el más infrecuente de los 10.000 posibles (0000 a 9999) y el problema es justamente ése: los hackers lo saben.

El consejo, si vale, es elegir una secuencia al azar en la que:

• las cifras consecutivas no se reiteren (como en 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969)
• las cifras consecutivas no sean correlativas (como en 1234, 4321, 1122, 6789, 9876)
• la primera cifra sea un número mayor que 5, siempre que la segunda sea 0 ó un número menor que 6 (como 7394, 6093, 7063, 8196, 9539, 9047)
• la primera cifra sea 0, en tanto la segunda sea un número mayor que 5 (como 0859, 0739, 0738, 0681, 0961)
• las cifras no formen un dibujo predecible en el teclado numérico corriente (como 1793, 7913, 1753, 1478, 8246, 7410, 8520, 9630)
• la secuencia sea distinta de una fecha significativa posible (se desaconsejan los números que van desde 1920 hasta 2020, los que coincidan con el día y el mes de tu cumpleaños o el de tus conocidos, o días reconocibles del calendario)

Si bien todas son inseguras, 4751-eS?tr El$Labon*&iTa introduce obstáculos para la decodificación que no están presentes en las otras 3 contraseñas.

Además de las fechas, las cifras correlativas o reiteradas, los nombres propios y las palabras del diccionario son las peores secuencias para una clave de acceso, aún cuando pienses que ocultándolas con sustituciones como 4751-eStRElLa-BoNiTA ó 4751-E5tR311A-B0n1t4 te parezca que no serán obvias.

El mundo del descifrado de claves es, si no ingenioso, perseverante.

Si te gusta que tu clave se base en 4751 Estrella Bonita, un buen método para mejorar la seguridad y mantenerla recordable es el formulado hace años por el experto en seguridad Bruce Schneirer, que consiste en codificarla en una frase recordable abreviada para que sea indescifrable.

Te dejamos un par de ejemplos para 4751 Estrella Bonita:

• Alternativa A: 4751-Q-* bnt-é-qst = “4751 Qué estrella más bonita es ésta”, donde:
  • Q es la abreviación de Qué
  • * es la expresión de Estrella
  • equivale a Más
  • bnt es la sustitución de Bonita
  • é surge de traducir es al portugués
  • qst se forma con el acrónimo de ésta en italiano (questa)
• Alternativa B: 4571Le BDuPSEs = “4751 La estrella Más Bonita Del universo Parece Ser El sol”, donde la regla simple es tomar la primera letra de cada palabra y usar minúsculas en los sustantivos y mayúsculas en el resto, con la licencia de reemplazar más por .

Lo más seguro para mantener protegidas tus contraseñas es cambiarlas periódicamente por otras completamente distintas.

El descifrado de claves, si bien es una práctica habitual de los piratas, no es ni la exclusiva, ni la más empleada por la cibercriminalidad.

Además de descifrarse, las contraseñas pueden leerse, copiarse, sustraerse, en especial a partir de la interconectividad universal que caracteriza a la Internet de las Cosas (IoT).

Nadie está exento de que le roben y usen su información sensible sin que siquiera llegue a darse cuenta hasta que ya es demasiado tarde.

Volverlas completamente indescifrables con un buen método de encriptación es sólo el primer paso de la seguridad contra la piratería.

El procedimiento que sigue es prevenir que tanto los eventuales descifrados o robos sean neutralizados, y para ello es tan contraproducente:

• conservar claves únicas, seguras y distintas para cada una de las cuentas (que pueden ser obtenidas aunque no se consiga descifrarlas), como
• reciclarlas para alterarlas frecuentemente, pero poder recordarlas sin dificultad (lo que facilita el trabajo de los hackers que hayan accedido a las contraseñas anteriores).

El procedimiento es tedioso, pero en próximas trivias podemos darte ideas para que la rutina sea más llevadera y sencilla de lo que parece.

Como norma de seguridad se aconseja no creer nada de lo que dice el mensaje y borrarlo: los bancos no envían esa clase de emails.

Las casillas de correo electrónico son el blanco principal de la mayoría de los ataques de los ladrones de información, y pese a todos los esfuerzos de la comunidad en línea para protegerlas, son todavía el eslabón más débil de toda la cadena.

Seguir paso a paso las indicaciones del email para evitar el bloqueo de la cuenta es meter la cabeza adentro de la boca del león: los mensajes de esta clase son sólo trampas para robar claves de acceso privadas.

Lo más probable es que todo lo que se te muestre sea falso y esconda la captura de los datos que ingresás para robártelos y tener acceso libre a tus cuentas.

Consultar con el servicio de atención al cliente del banco que muestra el email sobre cómo proceder suele ser más de lo mismo: ya sea una cuenta de email, un teléfono, una cuenta de WhatsApp, lo más factible es que te contactes con un ladrón que no es el banco.

Muchas veces, cambiar todas las claves y nombres de usuario relacionados con el banco luego de recibir el email es un truco que se completa con la infiltración de alguno de tus dispositivos con software maligno (spyware) que permite que extraños copien el ingreso de los datos que escribís y se queden con las nuevas contraseñas.

Contra lo que suele dictar el sentido común, no hacer nada puede ser lo más saludable.

No: tratá de no utilizar nunca nada de tu información personal, ni en claves, ni en nombres de usuario, ni en denominaciones de cuentas que deban permanecer seguras.

Si bien es lo más sencillo para evitar olvidarlas, aunque los datos sean lo suficientemente complicados para ser descubiertos o te parezca que nadie puede saberlos, descifrar nombres, direcciones o fechas personales es mucho más fácil de lo que te imaginás.

Hay una enorme cantidad de información que debería ser absolutamente privada a la que sin embargo tienen acceso infinidad de personas y organizaciones, no todas ellas dentro de la ley.

Pese a que existen normas que regulan la privacidad de los datos personales, la realidad es que casi nada de lo que hacemos hoy queda en nuestro círculo privado.