El comienzo del año es un buen momento para cambiar las contraseñas en los dispositivos y aplicaciones sobre los que queramos mantener un nivel elevado de seguridad, o en cualquier caso evitar que sean las mismas, como siempre, por mera precaución.
Existen diversos métodos con los que se pueden atacar equipos sin importar si el dispositivo es un móvil, una tableta o un ordenador.
- Con diccionarios o listas de palabras. Un programa atacante lee de una base de datos o diccionario de datos e intenta penetrar al sistema.
- Con reglas. Este sistema es más sofisticado que el anterior, ya que hay que descubrir y programar la regla, pera al final siempre se obtene un acceso.
- Por fuerza bruta. Se trata del método menos sofisticado, ya que se trata de probar y probar, exige mucha capacidad de proceso.
- Con una mezcla de los anteriores. Ataque híbrido.
Si tenemos una contraseña de 4 dígitos, el atacante sólo necesitará 10.000 intentos para penetrar. Puede parecer mucho, pero en menos de un segundo se consigue. Hay que pensar que el atacante dispone de tecnología suficiente para conseguir su objetivo. Podemos repetir el proceso, pero para letras minúsculas (27) tomadas de 4 en 4, se necesitarán 531.441 intentos, como vemos son muchos más, pero pocos segundos para un ordenador.
Si aumentamos a letras mayúsculas, minúsculas y caracteres especiales tendremos un total de 97 casos (números, letras y caracteres especiales) a elegir y, si volvemos a los 4 dígitos, las posibilidades pasarían a ser 88.529.281, como vemos el número de intentos aumenta aumentando los caracteres a elegir. También si aumentamos la longitud de la contraseña, pasándola de 4 a 10, el atacante tendría que realizar 73.744.400.000.000.000.000 intentos.
Las contraseñas siguen la regla 20/60/20. Un 20% son fáciles, sólo números o letras y de menos de 7 caracteres de longitud, un 60% de dificultad media entre 7 y 10 caracteres de longitud y un 20% más largas y con mayor dificultad.
Las contraseñas cuanto más largas mejor, combinando números y letras, alguna de ellas mayúsculas o minúsculas y con algún carácter especial. Todo esto está muy bien, ¿pero es práctico? Debemos pensar que los códigos simples 1234…o similares son fáciles de encontrar. Guardar las contraseñas en una hoja Excel, o un postit o papel, es arriesgado porque puede caer en manos de alguien al que desde luego le facilitamos todo.
Huir del keyboard walking
Por tanto, debemos huir de las cosas o métodos extremadamente sencillos como seguir una secuencia del teclado (keyboard walking). Una secuencia de números fácil de recordar son las fechas en formato ddmmaaaa o similar, ya contamos con 8, si le añadimos una frase, nombre, apellidos que recordemos y en alguna posición concreta mayúsculas o minúsculas y entremezclamos un número, ya empezamos a tener algo mucho más serio. Si además le sumamos caracteres especiales, dispondremos de un sistema poco o nada vulnerable.
Hay aplicaciones que cuando se intenta acceder a ellas un número finito y bajo de veces, pongamos que tres, sin éxito, automáticamente revocan el usuario y nos obligan a cambiar la contraseña.
Por último, podemos clasificar las contraseñas en dos grandes grupos, las que nos importan, por datos, por acceso a bancos o información delicada. O las que usamos para ciertas consultas o accesos, como ciertos periódicos u otro tipo que no necesitan contraseñas complejas. El objetivo es que dispongamos de un algoritmo propio, que podamos recordar, que permita cambiarlo cada cierto tiempo, evitando riesgos innecesarios.
Manuel García Ramírez
Director en MGR Consultores IT y Seguridad