Las contraseñas débiles y fáciles de adivinar hacen que incluso la estrategia de ciberseguridad más sólida sea fácil de evadir. Si un hacker adivina o descifra una contraseña, el intruso puede acceder a tu cuenta o sistema sin levantar sospechas y comprometer cualquier activo que hayas mantenido seguro detrás de una contraseña.
La guía a continuación proporciona 11 ideas para contraseñas seguras que te ayudarán a mantenerte un paso adelante de los hackers. También explicamos la diferencia entre frases de contraseña seguras y débiles, brindamos consejos para mejorar las contraseñas actuales y mostramos los principales métodos en los que confían los hackers para descifrar credenciales.
¿Cómo Crear una Contraseña Fuerte? (con Ejemplos)
Una contraseña fuerte es una palabra o frase única que un hacker no puede adivinar o descifrar fácilmente. Aquí están las principales características de una contraseña segura y confiable:
- Al menos 12 caracteres de largo (cuanto más larga, mejor).
- Tiene una combinación de letras mayúsculas y minúsculas, números, puntuación, y símbolos especiales.
- Aleatoria y única.
Aunque la complejidad mejora la seguridad de la contraseña, la longitud es la característica clave. La mejor manera de hacer una contraseña fuerte es hacerla larga. Por ejemplo, mira estas dos contraseñas:
- 89&^598
- AmoAMiGatoLordStewart
Aunque 89&^598 es totalmente aleatoria, la primera contraseña es menos segura que la segunda. Un programa de descifrado de contraseñas podría adivinar la 89&^598 en unas 44 horas, mientras que descifrar AmoAMiGatoLordStewart requeriría 7 años de procesamiento constante.
Sin embargo, incluso la marca de 7 años no es suficiente para considerar una contraseña segura, por lo que todas las ideas de contraseñas fuertes a continuación llevan a frases que toman significativamente más tiempo para descifrar.
El Método de las 4 Palabras Aleatorias
Una de las ideas de contraseñas fuertes más sencillas pero efectivas es juntar 4 o más palabras aparentemente aleatorias. Solo asegúrate de que:
- La contraseña tenga al menos 12 caracteres de longitud.
- Las palabras no tengan un flujo natural entre ellas (como Mi Nombre Es Steven).
- Separas las palabras con espacios, puntuación o símbolos especiales.
Algunos ejemplos de estas contraseñas (y cómo recordarlas) incluyen:
- Portal+tips Drive Cafe Office: “Trabajo en Portal+tips y paso por un café todos los días camino a la oficina”.
- Seattle, Kindle, Coffee, Planes: “Seattle es la cuna de Amazon, Starbucks y Boeing”.
- Minnesota Airplane Boston Christmas: “Vivo en Minnesota pero vuelo a casa a Boston cada Navidad”.
El tiempo necesario para descifrar la contraseña Portal+tips Drive Cafe Office: 2 millones de años
Usa una Frase Completa
Si no quieres recordar una secuencia aleatoria de palabras, puedes hacer una contraseña a partir de una frase personalizada. Las palabras dentro de una frase fluyen mejor que las palabras aleatorias y son más fáciles de recordar, pero no deberías confiar en un refrán famoso o una cita.
Puedes decidir si incluir espacios entre las palabras (si el sitio web acepta espacios dentro de las contraseñas). Aquí hay algunos buenos ejemplos de frases personalizadas:
- ¡Puedes usar espacios en tu contraseña!
- Mishijosestánenelequipodebaloncestodelinstituto
- Preferiría ir a Gryffindor por favor
El tiempo necesario para descifrar la contraseña ¡Puedes usar espacios en tu contraseña!: 4cientos billones de años
Usa un Acrónimo Personalizado
Puedes usar un acrónimo para crear una contraseña memorable pero efectiva. Por ejemplo, puedes elegir la frase “Mi hijo nació en un hospital de Liverpool en 2002” y tomar la primera letra de cada palabra (Mhn@uhL202) para crear una contraseña sólida y fácil de recordar.
Si eliges este método, asegúrate de no basar la contraseña en una expresión común (como Qs,cq,cqc). Aquí tienes algunas buenas ideas:
- TtpBMW,cp5782. (“Tengo un BMW, con placa 5782.”).
- ¡H!Mncndrd! (“¡Hola! Mi nueva contraseña no es difícil de recordar!”).
- 2015fatccmpc. (“2015 fue el año que compré mi primera casa.”).
El tiempo necesario para descifrar la contraseña TtpBMW,cp5782.: 42 millones de años
Usa la Distribución del Teclado
Usar la distribución del teclado para crear un patrón personalizado es otra idea de contraseña fuerte. Por ejemplo, puedes recordar algo simple como un nombre (por ejemplo, Jane Austen) y luego usar las teclas de arriba y a la derecha de las letras (Iwj4 W8e64j). Algunos buenos ejemplos son:
- P05r 0t 6u4 %9jye (“El señor de los anillos”).
- Y5wjr F4j65wp ^45k9jwp (“Grand Central Terminal”).
- J43 &05o F4j65wp _w5o (“Parque Central de Nueva York”).
El tiempo necesario para descifrar la contraseña P05r 0t 6u4 %9jye: 698 millones de billones de años
Crea una Fórmula Simple
Puedes inventar una fórmula personalizada para crear una contraseña confiable. Por ejemplo, puedes tomar cualquier frase y reemplazar cada letra por la siguiente en el alfabeto:
- Los pepinos son sabrosos! -> Mpt qfqipopt tpò tbcspt¡ (tiempo necesario para descifrar: 762 billones de billones de años)
También puedes tomar la primera letra de cada palabra del estribillo de tu canción favorita:
- Estribillo de Mamma Mia -> EmmhIgammhcIrymmdisammjhmimy (tiempo necesario para descifrar: 129 millones de billones de años)
Estos ejemplos pueden parecer galimatías, pero eso es exactamente lo que quieres lograr.
Cambio de Vocales
Toma cualquier frase y reemplaza una vocal por otra (por ejemplo, A por E). Como siempre, ten al menos 12 caracteres y usa una frase aleatoria para máxima protección:
- “Todos los lunes, deseo que fuera viernes 🙁” -> “Todos los lunes, deseo que sea viernes :(“
- “Me gusta un pub con una política de barra libre toda la noche” -> “Me gusta un pub con una política de barra libre toda la noche”
- “Martillo clavos, pero los clavos martillan la tabla” -> “Martillo clavos, pero los cleves martillen le teble”
El tiempo necesario para descifrar la contraseña “Todos los lunes, deseo que sea viernes :(“: 307 millones de billones de años.
Acorta Cada Palabra
Elige una frase memorable y elimina las tres primeras letras de cada palabra (no te preocupes si el proceso elimina toda la palabra):
- “Los días laborables son para trabajar, pero los fines de semana son para el fútbol!” -> “s días borables son para bajar, pero los fines de semana son para el fútbol!”
- “Los jueves son geniales, pero los viernes son mejores” -> “s jueves son geniales, pero los viernes son mejores”
- “El baloncesto es mi deporte favorito después del hockey” -> “s baloncesto es mi deporte favorito después del hockey”
El tiempo necesario para descifrar la contraseña “s días borables son para bajar, pero los fines de semana son para el fútbol!”: 184 billones de años
El Método de la Frase (Método Bruce Schneier)
Piensa en una frase aleatoria y transfórmala en una contraseña tomando las dos primeras letras de cada palabra. Por ejemplo:
- “Desearía tener más tiempo para pensar en mejores contraseñas…” -> “Detemátipapaenmeco…”
- “Pasar por un McDonalds y no parar requiere mucha fuerza de voluntad” -> “PaporunMy noparremufovo”
- “Crear una contraseña fuerte no es tan difícil después de todo” -> “Crunconfuenoesdide”
El tiempo necesario para descifrar la contraseña “Detemátipapaenmeco…”: 1 billón de años
Mezcla los Códigos ISO de Países Favoritos
Esta idea de contraseña fuerte pero divertida te requiere listar los códigos ISO de tus países favoritos o condados que visitaste (de esa manera, puedes actualizar tu contraseña cada vez que visites una nueva nación). Obtendrás algo como esto:
- “Canadá, México, Francia, Alemania, Japón” -> can mex fra deu jpn
El tiempo necesario para descifrar la contraseña “can mex fra deu jpn”: 424 billones de años
El Método Matemático
Puedes usar símbolos y ecuaciones matemáticas para crear una contraseña fuerte. Estas contraseñas suelen ser largas y llenas de diferentes símbolos, lo que las convierte en una opción ideal de frase de paso. Algunos ejemplos son:
- MiPerro+MiGato=8patas
- 830-630=Doscientos
- Niños+Navidad=Regalos
El tiempo necesario para descifrar la contraseña MiPerro+MiGato=8patas: 9 millones de años
Usa una Ortografía Deliberada
Puedes escribir mal las palabras intencionalmente para crear contraseñas únicas y seguras como:
- SuperhombretietaCriptos
- LloranduLagrimas2Noche
- AmulDoblusHamburgusas
El tiempo necesario para descifrar la contraseña SuperhombretietaCriptos: 119 millones de años
Si decides usar este método, ten cuidado de no usar errores comunes de ortografía (como “acommodate”). Los hackers alimentan los programas de descifrado con errores de ortografía comunes, por lo que sería mejor usar tus propios errores personalizados.
¿Cómo mejorar una contraseña existente?
Si ya tienes una contraseña favorita que te resulta fácil de recordar, no es necesario que la sustituyas por una nueva frase de contraseña. En su lugar, puedes mejorar la contraseña débil actual mediante:
- Agregar espacios o corchetes.
- Agregar palabras adicionales.
- Repetir la contraseña dos veces.
- Convertir la frase de contraseña en una dirección de correo electrónico.
- Agregar puntuación aleatoria.
- Agregar emoticonos.
- Intercambiar letras (si la contraseña actual tiene suficientes caracteres para ser segura).
Los cambios mínimos en una contraseña también son útiles al crear frases de contraseña únicas para varias cuentas. En lugar de crear una nueva contraseña desde cero, puedes agregar un código diferente a tu contraseña existente para cada cuenta en línea (por ejemplo, {Andrew,77}EBAY para tu perfil de eBay y {Andrew,77}PPAL para la cuenta de PayPal).
¿Qué evitar al elegir una contraseña?
Debes seguir un conjunto estricto de reglas al elegir contraseñas para evitar debilidades que un hacker pueda explotar. Una contraseña fuerte nunca debe:
- Tener menos de 12 caracteres.
- Basarse únicamente en datos personales (nombre, apellido, nombre de un familiar, fecha de nacimiento, lugar de trabajo, club deportivo favorito, etc.).
- Contener secuencias de teclado memorables (especialmente qwerty y asdfgh).
- Usar únicamente letras, símbolos o números.
- Reutilizarse en dos o más cuentas o sitios web diferentes (incluso si la contraseña es fuerte, si uno de los sitios que guarda la contraseña tiene una brecha, todas las demás cuentas corren peligro).
- Incluir letras o números en secuencia.
- Basarse en una palabra común (en cualquier idioma).
- Depender de la sustitución básica de caracteres para la seguridad (como M@nch3st3rUtd o L3tM31n).
- Contener el nombre de usuario correspondiente.
Algunos ejemplos de frases de contraseña pobres que pueden parecer ideas de contraseñas fuertes son:
- 5404464785: Esta contraseña no tiene letras ni caracteres especiales, además utiliza un número de teléfono.
- March101977: Esta contraseña utiliza información personal (cumpleaños de alguien), contiene una palabra común en el diccionario (March) y no tiene caracteres especiales.
- P@ssword12345: Aunque tiene 13 caracteres, un símbolo, números, una mezcla de letras y no contiene información personal identificable, una computadora puede descifrar esta contraseña en 0.01 segundos. P@ssword es una frase común y la secuencia 12345 es fácil de encontrar para cualquier programa.
También es recomendable evitar cualquier contraseña ampliamente utilizada por otras personas. Los hackers siempre comienzan el proceso de descifrado probando las frases más populares, como:
- 111111
- 123123
- 12345678
- jesus
- letmein
- password1
- asdf
- qwerty
- trustno1
- abc123
- dragon
- football
- iloveyou
Puedes utilizar el sitio web “Have I Been Pwned?” para comprobar qué tan única es tu contraseña y asegurarte de que tu frase de contraseña no haya formado parte de una brecha de datos anterior.
Opciones adicionales de seguridad para proteger tus contraseñas
Además de ideas de contraseñas fuertes, también puedes confiar en otras prácticas de seguridad para garantizar que una contraseña se mantenga segura. Las siguientes sugerencias son útiles tanto para asegurar credenciales personales como para proteger contraseñas a nivel empresarial.
Autenticación Multifactorial (MFA)
Incluso si alguien roba tu contraseña, aún puedes evitar que el intruso acceda a tu cuenta. La autenticación multifactorial (MFA) agrega una capa adicional de seguridad a tu cuenta al requerir que el usuario proporcione lo siguiente durante el inicio de sesión:
- Un nombre de usuario y contraseña.
- Un escaneo biométrico o un token físico.
Este proceso de verificación de dos o tres pasos dificulta que los ciberdelincuentes accedan y roben tu identidad.
Si deseas proteger tu negocio de identidades y contraseñas robadas, puedes implementar MFA mediante una aplicación especializada que tus empleados instalen en sus teléfonos inteligentes. Google Authenticator y Authy son dos excelentes opciones gratuitas, ambas herramientas que generan un PIN de un solo uso que sirve como factor adicional durante el inicio de sesión.
Consulta nuestro artículo sobre las mejores prácticas de ciberseguridad para obtener más ideas y consejos sobre cómo proteger tu negocio de las amenazas cibernéticas.
Redes Privadas Virtuales (VPNs)
Tú (y tus empleados) siempre deben utilizar una VPN al ingresar o intercambiar contraseñas en redes Wi-Fi públicas. Una VPN garantiza que nadie esté interceptando tu nombre de usuario y contraseña cuando inicias sesión en tu cuenta.
Además de otros diversos beneficios, nuestra oferta de Bare Metal Cloud también te permite configurar rápidamente una VPN de acceso remoto.
Mejores prácticas generales de protección de contraseñas
Incluso la contraseña más segura del mundo se vuelve inútil si no sabes cómo usarla y protegerla. Ten cuidado con tu frase de contraseña siguiendo estas mejores prácticas:
- Nunca compartas tu contraseña con nadie.
- Si almacenas contraseñas en línea, asegúrate de que el sitio web no las almacene en texto plano.
- No guardes tus contraseñas en un documento en línea, correo electrónico o nota.
- Al elegir preguntas de seguridad en caso de olvidar la contraseña, selecciona opciones difíciles de adivinar a las que solo tú conozcas la respuesta. No utilices una pregunta cuya respuesta sea fácil de encontrar en línea o en tus redes sociales.
- Cambia las contraseñas regularmente, al menos una vez cada varios meses.
- No anotes tu contraseña y la guardes cerca de tu estación de trabajo.
- No guardes la frase de contraseña en tu teléfono (ya sea como nota o imagen).
Tampoco debes permitir que los navegadores guarden tu contraseña. Aunque conveniente, esta función significa que una sola filtración de datos compromete al instante todas tus cuentas.
Gestores de contraseñas
Un gestor de contraseñas realiza un seguimiento de todas tus contraseñas y las recuerda por ti. Solo necesitas recordar la contraseña maestra que otorga acceso al programa de gestión (que, esperamos, sea una contraseña fuerte protegida con MFA).
Los gestores de contraseñas mantienen las frases de contraseña seguras mediante el cifrado. Si alguien logra hackear el gestor, los hashes de contraseñas serían inútiles sin la clave de descifrado, por lo que una gestión de claves sólida es vital para estas aplicaciones.
Puedes utilizar un programa de gestión de contraseñas para mantener seguras las credenciales personales o como una forma de agilizar y asegurar la manera en que tus empleados crean, almacenan y utilizan contraseñas.
Echa un vistazo a las mejores soluciones de gestión de contraseñas empresariales en el mercado y averigua cuál es la más adecuada para tu fuerza laboral.
¿Cuáles son las técnicas comunes utilizadas por los hackers para descifrar tu contraseña?
Los hackers utilizan numerosas técnicas para descifrar contraseñas. A continuación se muestra una lista de los métodos más comunes que un ciberdelincuente puede usar para comprometer tus credenciales.
Ataques de fuerza bruta
Un ataque de fuerza bruta es un proceso simple en el que un programa recorre automáticamente diferentes combinaciones posibles hasta adivinar la contraseña objetivo. Estos programas pueden descifrar fácilmente contraseñas simples y medianas.
Un programa promedio de fuerza bruta puede intentar más de 15 millones de combinaciones por segundo, por lo que 9 minutos son suficientes para descifrar la mayoría de las frases de contraseña de siete caracteres. Los ataques de fuerza bruta son la razón principal por la que insistimos en un mínimo de 12 caracteres para las contraseñas.
Aprende cómo prevenir los ataques de fuerza bruta con 8 tácticas y precauciones efectivas y fáciles de implementar.
Ataques de diccionario
Mientras que un ataque de fuerza bruta prueba todas las combinaciones posibles de símbolos, números y letras, un ataque de diccionario intenta descifrar la contraseña a través de una lista preestablecida de palabras. Este ataque generalmente comienza con categorías comunes de palabras, como:
- Equipos deportivos.
- Nombres de celebridades, familiares, amigos, mascotas, personajes de TV/películas, etc.
- Lugares (países, ciudades, lugares emblemáticos, etc.).
- Hobbies.
- Nombres de animales.
Un ataque de diccionario también intenta sustituir letras por símbolos, como 1 por una I o @ por una A. Este ciberataque es la razón principal por la que ninguna persona consciente de la seguridad debería usar palabras comunes en su contraseña.
Ataques de phishing
Un ataque de phishing ocurre cuando un delincuente intenta engañarte o presionarte para que compartas tus credenciales sin darte cuenta. Esta amenaza de ingeniería social a menudo se basa en correos electrónicos: los hackers envían un correo electrónico fingiendo ser otra persona y dirigen a los usuarios a páginas de inicio de sesión falsas.
Por ejemplo, tú (o uno de tus empleados) pueden recibir un correo electrónico detallando un problema con tu cuenta de tarjeta de crédito. El correo electrónico redirige a un enlace que lleva a una página de inicio de sesión en un sitio web falso que se asemeja a tu compañía de tarjeta de crédito. Si la víctima cae en el engaño, el hacker que creó el sitio falso recibe las credenciales en bandeja de plata.
Escuchas
Un hacker puede interceptar credenciales cuando las víctimas intercambian contraseñas a través de comunicaciones de red no seguras (sin VPN y sin cifrado en tránsito). También conocido como “sniffing” o “snooping”, las escuchas permiten a un hacker robar una contraseña sin que la víctima se dé cuenta de que algo está mal.
Virus de registro de teclas
Un virus de registro de teclas observa cada pulsación de teclado que haces, permitiendo a un hacker registrar tus contraseñas (entre otras actividades).
Dridex y Zeus son los dos virus de registro de teclas más comunes. Ambos programas maliciosos se propagan a través de archivos adjuntos de correo electrónico infectados y buscan principalmente detalles de inicio de sesión bancarios. Para evitar estos virus, debes:
- Saber cómo identificar correos electrónicos de phishing.
- Mantener actualizado el software de tu computadora.
- Instalar y utilizar una herramienta antivirus robusta.
- Alejarte de sitios web y software sospechosos.
¿Crees que Dridex y Zeus son malos? Espera a leer sobre los ejemplos de ransomware más peligrosos y su impacto en las empresas de todo el mundo.
Reciclaje de credenciales
El reciclaje de credenciales es un ataque menos específico pero aún peligroso para las personas sin una contraseña fuerte. Esta táctica utiliza nombres de usuario y contraseñas recolectados en otras filtraciones y los prueba en tantas plataformas y sitios web aleatorios como sea posible.
Los hackers suelen reunir decenas de miles de credenciales diferentes filtradas de otro ataque. Desafortunadamente, como muchas personas utilizan las mismas contraseñas simples, este método es muy efectivo. Otro nombre para el reciclaje de credenciales es “password spraying”.
No arriesgues tus contraseñas
Si alguien roba o adivina tu contraseña, esa persona puede eludir fácilmente todas las demás medidas de seguridad que protegen tus datos. Las ideas de contraseñas fuertes en este artículo pueden ayudarte a mantenerte seguro y asegurarte de que tus frases de contraseña nunca caigan en manos equivocadas.