Seguridad digital ¿Y es esa realmente la pregunta correcta? Esto es lo que debes considerar cuando se trata de mantener tus cuentas seguras. 03 de abril de 2024 • , 5 min. leer Mucho se ha hablado en los últimos años sobre el creciente potencial de la autenticación sin contraseña y las claves de acceso. Gracias a la casi ubicuidad del reconocimiento facial basado en teléfonos inteligentes, la capacidad de iniciar sesión en sus aplicaciones favoritas u otros servicios mirando su dispositivo (u otro método de autenticación biométrica, para el caso) es ahora una realidad refrescantemente simple y segura para muchos. Pero todavía no es la norma, especialmente en el mundo de las computadoras de escritorio, y muchos de nosotros todavía confiamos en las viejas contraseñas. Aquí es donde radica el desafío, porque las contraseñas siguen siendo un objetivo importante para los estafadores y otros actores de amenazas. Entonces, ¿con qué frecuencia debemos cambiar estas credenciales para mantenerlas seguras? Responder a esta pregunta puede ser más complicado de lo que cree. Por qué los cambios de contraseña pueden no tener sentido Hasta no hace mucho, se recomendaba rotar periódicamente las contraseñas para mitigar el riesgo de robo encubierto o descifrado por parte de los ciberdelincuentes. La sabiduría recibida fue entre 30 y 90 días. Sin embargo, los tiempos están cambiando y las investigaciones sugieren que los cambios frecuentes de contraseña, especialmente en un horario establecido, no necesariamente mejoran la seguridad de la cuenta. En otras palabras, no existe una respuesta única sobre cuándo debe cambiar su(s) contraseña(s). Además, muchos de nosotros tenemos demasiadas cuentas en línea para realizar un seguimiento cómodamente, y mucho menos crear contraseñas (seguras y únicas) para cada una de ellas cada pocos meses. Además, ahora vivimos en un mundo de administradores de contraseñas y autenticación de dos factores (2FA) en casi todas partes. Lo primero significa que es más fácil almacenar y recuperar contraseñas largas, seguras y únicas para cada cuenta. Este último agrega una capa adicional de seguridad bastante fluida al proceso de inicio de sesión con contraseña. Algunos administradores de contraseñas ahora tienen incorporado el monitoreo de la web oscura para señalar automáticamente cuando las credenciales pueden haber sido violadas y circuladas en sitios clandestinos. En cualquier caso, existen algunas razones de peso por las que los expertos en seguridad y las autoridades mundialmente respetadas, como el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, no recomiendan que se obligue a las personas a cambiar. sus contraseñas cada pocos meses a menos que se hayan cumplido ciertos criterios. El razonamiento es bastante simple: según el NIST: «Los usuarios tienden a elegir secretos memorizados más débiles cuando saben que tendrán que cambiarlos en un futuro próximo». «Cuando se producen esos cambios, a menudo seleccionan un secreto que es similar a su antiguo secreto memorizado aplicando un conjunto de transformaciones comunes, como aumentar un número en la contraseña», continúa el NIST. Esta práctica proporciona una falsa sensación de seguridad porque si una contraseña anterior se ha visto comprometida y no la reemplaza por una segura y única, los atacantes pueden fácilmente descifrarla nuevamente. Según el NCSC, también es más probable que las nuevas contraseñas, especialmente si se crean cada pocos meses, se anoten y/o se olviden. “Es uno de esos escenarios de seguridad contrarios a la intuición; cuanto más a menudo los usuarios se vean obligados a cambiar sus contraseñas, mayor será la vulnerabilidad general a los ataques. Lo que parecía ser un consejo perfectamente sensato y de larga data, resulta que no resiste un análisis riguroso de todo el sistema”, argumenta el NCSC. “El NCSC ahora recomienda que las organizaciones no fuercen la caducidad regular de las contraseñas. Creemos que esto reduce las vulnerabilidades asociadas con las contraseñas que caducan periódicamente y, al mismo tiempo, hace poco para aumentar el riesgo de explotación de contraseñas a largo plazo”. Cuándo cambiar su contraseña Sin embargo, existen varios escenarios que requieren un cambio de contraseña, especialmente para sus cuentas más importantes. Estos incluyen: Su contraseña ha quedado atrapada en una violación de datos de terceros. Es probable que el propio proveedor le informe sobre esto, o que se haya registrado para recibir alertas en servicios como Have I Been Pwned, o que su proveedor de administrador de contraseñas le notifique y ejecute comprobaciones automáticas en la web oscura. Su contraseña es débil y fácil de adivinar o descifrar (es decir, puede haber aparecido en una lista de las contraseñas más comunes). Los piratas informáticos pueden utilizar herramientas para probar contraseñas comunes en varias cuentas con la esperanza de que una de ellas funcione, y la mayoría de las veces lo consiguen. Ha estado reutilizando la contraseña en varias cuentas. Si alguna de estas cuentas es vulnerada, los actores de amenazas podrían utilizar software automatizado de «relleno de credenciales» para abrir su cuenta en otros sitios/aplicaciones. Acaba de enterarse, por ejemplo gracias a su nuevo software de seguridad, de que su dispositivo ha sido comprometido por malware. Has compartido tu contraseña con otra persona. Acaba de eliminar personas de una cuenta compartida (por ejemplo, antiguos compañeros de casa). Ha iniciado sesión en una computadora pública (por ejemplo, en una biblioteca) o en el dispositivo/computadora de otra persona. Consejos sobre prácticas recomendadas para contraseñas Considere lo siguiente para minimizar las posibilidades de apropiación de cuentas: Utilice siempre contraseñas seguras, largas y únicas. Guarde lo anterior en un administrador de contraseñas que tendrá una única credencial maestra para acceder y podrá recuperar automáticamente todas sus contraseñas de cualquier sitio o aplicación. Esté atento a las alertas de contraseñas violadas y tome medidas inmediatas después de recibirlas. Active 2FA siempre que esté disponible para proporcionar una capa adicional de seguridad a su cuenta. Considere habilitar claves de acceso cuando se ofrezcan para un acceso seguro y fluido a sus cuentas usando su teléfono. Considere realizar auditorías periódicas de contraseñas: revise las contraseñas de todas sus cuentas y asegúrese de que no estén duplicadas o sean fáciles de adivinar. Cambie los que sean débiles o repetidos, o los que puedan contener información personal como cumpleaños o mascotas familiares. No guardes tus contraseñas en el navegador, aunque parezca una buena idea. Esto se debe a que los navegadores son un objetivo popular para los actores de amenazas, que podrían utilizar malware de robo de información para capturar sus contraseñas. También expondría sus contraseñas guardadas a cualquier otra persona que utilice su dispositivo/computadora. Si no utiliza las contraseñas seguras y aleatorias sugeridas por su administrador de contraseñas (o el generador de contraseñas de ESET), consulte esta lista de consejos de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). Sugiere utilizar la contraseña o frase de contraseña más larga permitida (de 8 a 64 caracteres) siempre que sea posible, e incluir letras mayúsculas y minúsculas, números y caracteres especiales. Con el tiempo, se espera que las claves de acceso (con el apoyo de Google, Apple, Microsoft y otros importantes actores del ecosistema tecnológico) finalmente indiquen el fin de la era de las contraseñas. Pero mientras tanto, asegúrese de que sus cuentas estén lo más seguras posible.