La guía definitiva para crear passwords y contraseñas fuertes y recordarlos siempre

Jorge Felix  - English writer and Spanish editor at PrivacySavvy
Última actualización: Noviembre 10, 2022
Información
Share

Usted sabe que debe crear contraseñas seguras. Bien. ¿Pero cómo? Esta guía detallada lo ayudará a crear contraseñas seguras y recordarlas.

Los passwords son la clave de tu seguridad en línea. Por eso, tener siempre passwords sólidos para garantizar tu integridad digital es imperativo. 

Y no es tan difícil. Un truco simple es idear passwords únicos para recordar evitando así el pésimo hábito de usar las mismas credenciales para todas (o muchas) cuentas.

Pero con la plétora de sitios web y aplicaciones móviles que todos usamos hoy en día (con una contraseña asociada para cada una), ¿cómo se puede lograr tener tantos buenos passwords y recordarlos, te oigo preguntar?

De acuerdo con  LogMeIn, la empresa que desarrolla LastPass, un administrador de contraseñas, un usuario promedio tiene que usar cotidianamente al menos unos 85 passwords, ente cuentas de redes sociales, sitios de entretenimiento, cuentas bancarias, aplicaciones móviles, tiendas en línea y todo lo demás.

Además, usar passwords endebles puede traer graves consecuencias como fraude de identidad, pérdidas financieras, y mucho más. Por ejemplo, en 2019 hubo una cantidad récord de 5.183 brechas de datos que dejaron expuestos datos sensibles como domicilios privados, credenciales de login, y otros datos que un adversario puede aprovechar para robar una identidad en línea.

Y eso no es nada comparado con la cantidad de passwords hackeados que diversos grupos de hackers han publicado desde 2017 en la “web oscura”, que es un número que alcanza los 500 millones.

Los usuarios del internet contemporáneo no podemos contar con una identidad digital asegurada por el medio ambiente propio del mundo post-passwords. Así que la única opción es considerar adoptar las mejores prácticas de seguridad disponibles para mitigar el riesgo de que tu información sea revelada. Eso para empezar.

¿Y cómo se puede crear una contraseña sólida en 2022 para defenderse de las amenazas digitales? Pues eso te diremos precisamente en esta guía. Aprenderás a idear los passwords correctos para todas tus cuentas y cómo saber si alguien os ha “roto”. También verás algunos trucos esenciales para que tus logins sean aún más seguros.

¿Qué hace “irrompible” a un password o contraseña?

Anatomía de un secreto indescifrable
(Unsplash)

El más mínimo esfuerzo que debes hacer para diseñar contraseñas fáciles de recordar pero difíciles de adivinar es consiste en seguir tres reglas:

  • Longitud. Acostúmbrate a usar contraseñas que tengan al menos ocho caracteres. La seguridad de la contraseña es proporcional al número de caracteres, porque requieren más tiempo para romper en un ataque de fuerza bruta.
  • Combinaciones. Combinar letras mayúsculas y minúsculas, números y signos de puntuación o símbolos como el de número, porcentaje y otros puede hacer un password irrompible.
  • Complejidad. Un buen password debe de contener al menos uno de los siguientes elementos: letra minúscula, letra mayúscula, símbolo, número por cada ocho caracteres de longitud (Regla 8 4).

Muchas personas podrían encontrar que la “Regla 8 4” reporta beneficios casi inmediatamente, porque puede mejorar sus contraseñas sustancialmente, incluso si no siguen el resto de las reglas.

Si tu banco o algún otro proveedor de servicios que maneja información delicada no impone la Regla 8 4 sobre sus usuarios al generar nuevas contraseñas, no esperes a que se actualicen. Tú mismo deberías de adoptar la práctica inmediatamente, por tu propia seguridad.

Las tres reglas anteriores hacen un password infinitamente más difícil de adivinar para los hackers. Dicho lo cual, los maliciosos expertos en la materia conocen métodos altamente eficientes de agrietar contraseñas, razón por la cual cada una debe de ser única.

Hay varios sitios web que te permiten revisar la confiabilidad de una contraseña, en caso de que dudes de que tu recién elegido password sea suficientemente seguro. Algunos de los revisadores tienen campos específicos que despliegan la variedad de tu password en términos de letras y si se encuentra en los diccionarios.

Hay otras herramientas que muestran el tiempo aproximado que tomaría averiguar el password mediante un ataque de fuerza bruta. Así ilustran el valor de una contraseña impredecible y única.

Trucos para crear y memorizar un password seguro

Crear una contraseña mejor y más fuerte
(Unsplash)

Y si son tan simples de seguir los consejos anteriores para tener buenas contraseñas ¿por qué no hay más gente siguiéndonos? Porque hay todavía muchos sitios web y programas que no requieren un password sólido. Sí, te notifican qué tan buena es tu contraseña, pero al final no hacen nada para que los usuarios dejen de usar passwords que apestan.

Además, sucede que recordar doce caracteres aleatorios que usan letras mayúsculas, minúsculas, números y símbolos es extremadamente difícil, excepto para las memorias más desarrolladas. Esto nos lleva al resto a cuestionarnos para idear una contraseña que podamos retener. Así que muchas personas optan por los passwords que son fáciles de recordar, pero no de romper.

Entonces para que puedas salvarte de caer al abismo de las contraseñas raquíticas, las siguientes pistas y ardides te ayudarán a construir y recordar passwords que sean largos, únicos, impredecibles y seguros.

1. Construye tu contraseña partiendo de una frase

Es mucho más fácil recordar frases y letras de canciones que letras, cifras y símbolos aleatorios. Entonces, empezar con la primera letra o palabra de una oración larga y memorable es una forma excelente de iniciar la creación de un buen password. Ya que la tienes, procede a colocar las minúsculas y mayúsculas, número, y algunos símbolos para completar el diseño de tu creación de contraseña única.

Digamos que eres un aficionado a Soda Stereo, aquí hay un ejemplo de un password robusto que podrías crear: “Yo te prefiero fuera de foco, inalcanzable. Yo te prefiero irreversible, casi intocable” puede ser el password “Ytpfdf,i!Ytpi,ci” Muy fácil ¿no?

De forma parecida puedes usar un comentario personal: “¡No te olvides del día de la madre el próximo 10 de mayo!” “Ntodddlmep10m”

Entonces, esta estrategia de da incontables maneras de crear contraseñas que son únicas y fáciles de recordar.


2. Prueba creativamente con varias combinaciones de tu teclado

Si tus nuevos passwords inhackeables son tu obra de arte, entonces tu teclado es tu lienzo. Imagina rutas significativas en tu teclado incluyendo letras y números. ¡Ponte imaginativo!

Un patrón pueden ser tus iniciales, o tu nombre de pila, o una forma geométrica como tu constelación preferida. Puedes partir de algo así para diseñar un password usando la imaginación.

Así puedes idear passwords aleatorios muy seguros que puedes recordar rápidamente.

3. No te pongas emocional con tus contraseñas.

El nombre de tu media naranja puede ser lo primero que te venga a la cabeza cuando te pongas a buscar buenas ideas de nuevos passwords. Es natural. Todos estamos emocionalmente involucrados con nuestras circunstancias actuales.

Pero puede que no te des cuenta de que se trataría de una contraseña fácilmente adivinable por alguien que sepa un poco de tí. Por eso, es una mala idea.

4. Adopta el sistema PAO

De acuerdo con especialistas de la universidad Carnegie Mellon, recordar contraseñas mediante recursos mnemotécnicos te puede ayudar a recordar un password sempiterno. Proponen adoptar el sistema PAO (Persona, acción, objeto) para diseñar y guardar tus contraseñas inadivinables.

La técnica se volvió popular por la novela “Moonwalking with Einstein” de Joshua Foer, que relata cómo el autor aprendió a usar métodos mnemotécnicos para ganar el campeonato de memoria de los Estados Unidos.

La idea es bien simple y consiste en seleccionar tres de tus sustantivos favoritos: un nombre, una actividad y un objeto. Por ejemplo, digamos que te gustan los automóviles que se auto-conducen. Entonces tienes un nombre, Elon Musk; también tienes un objeto “Tesla.” Luego puedes imaginar una situación que involucre a ambos: “Elon Musk maneja tu Tesla 3”. El siguiente paso es convertirlo en un password muy resistente como EloMuManTM3. Así tienes un password que nadie podría adivinar pero que tú puedes recordar fácilmente.

Trata de repetir el mismo ejercicio con tres nuevas tríadas POS, combina los términos resultantes, y vas a tener un password de 18 caracteres o más que será completamente incomprensible incluso para las personas que mejor te conozcan.


Técnica fonética

Si te divierte tratar de leer toda las farfulladas escritas por todas partes, ya sea un anuncio espectacular, un folleto o un comercial, te va a gustar este truco. Este sistema depende de la fonética y la memoria muscular. Así funciona:

  • Visita un generador de passwords robustos en línea.
  • Crea 20 nuevos passwords que incluyan mayúsculas, signos de puntuación y números. Cada uno de doce caracteres al menos.
  • Revisa las contraseñas, trata de buscar una estructura fonética. Intenta localizar passwords que puedas pronunciar con la mente.
  • Escribe las contraseñas en tu “notepad”. Si se pueden teclear fácilmente, los podrás memorizar fácilmente también.
  • Guarda la lista y descarta el resto. también puedes guardarlas usando un gestor de contraseñas.

El meteodo “Electrum”Usar una cartera de divisas digitales como Bitcoin requiere de una estructura de protecci[on del mas alto grado y una dependencia inmensa en passwords robustos. Afortunadamente, hay algunas carteras digitales para Bitcoin muy seguras disponibles en el mercado y Electrum es una de las mejores. La semilla de tus Bitcoins funciona como el password maestro.

Esta clase de contraseña se conoce como “passphrase” mostrando una perspectiva de seguridad diferente. En lugar de una serie de caracteres, se trata de una serie de palabras. Es muy simple, se trata de seleccionar una docena de palabras aleatorias. Por supuesto, se trata de que no sea obvia ni una cita literaria directa.


Errores comunes que los usuarios suelen cometer al diseñar passwords

Los errores más importantes que cometen los internautas al crear una contraseña
(Unsplash)

Tratemos de entender la importancia de tener contraseñas de buena calidad revisando algunos de los errores más comunes pero de consecuencias potencialmente severas, considerando que el medio ambiente digital actual es bastante peligroso.

Tal vez te parezca que, aparte de tus cuentas bancarias, el resto de tus cuentas no necesitan demasiada protección. No hay nada de raro en ello puesto que la gran mayoría de los usuarios de internet tienen alrededor de cien cuentas enlazadas con una cuenta de correo. Y el número se duplica cada lustro. Además está la tendencia de contraseñas más simples para tus perfiles simplemente por la facilidad de recordarlos.

He ahí el primer error. Elegir passwords intencionalmente débiles para sitios que crees que no vas a usar muy frecuentemente pone en riesgo tu protección en línea desde el enfoque general. Esencialmente, le estás abriendo una de tus puertas a los hackers dándoles un password fácil de hackear. Además, hay que ver qué es lo que consideramos una contraseña fuerte porque podrías estar equivocado.

Por ejemplo, revisa si alguna vez has usado alguna de las siguientes cosas como login:

  • Tu nombre.
  • Nombre de tus amigos, familiares o mascotas.
  • Passwords obviamente malos como 12345, qwerty o “protected”.
  • El nombre de usuario de tus credenciales.
  • Nombres de equipos deportivos, jugadores famosos u otras celebridades.
  • Palabras genéricas como “contraseña”, “admin” o “déjame entrar”
  • Passwords demasiado cortos.

Si cualquiera de tus passwords coinciden con alguno de los puntos citados, se trata de una vulnerabilidad grave que debes corregir ahora mismo.

Así es como los ciber cacos consiguen tus passwords y contraseñas, aunque estén muy “seguros”

Cómo obtienen los ciberdelincuentes sus contraseñas sin importar cuán 'seguras' sean sus contraseñas
(Unsplash)

Mientras que existen muchas técnicas para romper contraseñas a la disposición de los ciber criminales, la forma más rápida es comprar passwords en la web oscura.

La web oscura constituye un mercado sumamente socorrido por los cibercriminales para la compra y venta de credenciales de usuario, especialmente las contraseñas. Si llevas años usando el mismo password, las probabilidades indican que ya está en alguno de los intercambios de la red oscura a causa de las frecuentes brechas de datos que ocurren a través de los años.

Incluso si haces todo correctamente para mantener tus credenciales fuera del alcance de los hackers, ellos tienen su propio trabajo y prioridades, de forma que no van a dejar de hacer todo lo posible por obtener tus contraseñas. 

A continuación, algunas de las estrategias que los cibercriminales usan frecuentemente para atacar las cuentas individuales preexistentes comprometidas por brechas de datos o listas de “hashes” filtradas.

1. Ataque de fuerza bruta

Este asalto busca adivinar la combinación de caracteres que forma tu password probándolas todas hasta que acierte. Hacer un ataque así manualmente toma demasiado tiempo y desgaste, de forma que los intrusos suelen automatizarlo mediante un programa para probar la mayor cantidad posible de combinaciones en el menor tiempo posible.

En 2012 un desarrollador reveló una granja de 25 GPUs diseñada para romper cualquier password de ocho caracteres en Windows. Incluía letras mayúsculas, minúsculas, números, y símbolos. Este sistema podía resolver el problema en seis horas o menos, haciendo 350 mil millones de pruebas por segundo. 

Es una técnica que no ha evolucionado mucho desde su inspección porque, así como está, sigue siendo eficaz.

Cualquier contraseña de menos de doce caracteres es vulnerable a este ataque. Los ataques de fuerza bruta son una de las razones por las que, cuando se trata de asegurar un password, entre más largo es mejor.


2. Ataque de diccionario

Tal  y como lo sugiere su nombre, el hacker ataca tu password usando un diccionario. Mientras que el ataque de fuerza bruta intenta cualquier mezcla de símbolos, letras y números, un diccionario usa solamente las opciones predeterminadas en una lista específica (ésa lista es el diccionario en cuestión) compuesta por términos como podrías encontrar en un diccionario común..

La única forma de superar un ataque de esta clase es que el password no esté incluído en el diccionario, para lo cual es mejor si es un password sumamente raro o incluye varias palabras.

Lo más común es que una contraseña que incluye dos o más palabras burle exitosamente un ataque con diccionario. No son completamente inmunes a esta estrategia, pero toman más tiempo.


3. Phishing

Es la técnica más asquerosa que los ciber delincuentes usan cuando quieren engañar, amenazar o ejercer presión para que cumplas con sus proposiciones maliciosas.

La ejecución más frecuente de un ataque “phishing” consiste en correos electrónicos que tratan de suplantar un mensaje auténtico para engañarte. Por ejemplo: un mensaje típico de phishing a menudo imita el diseño, colores y logo de un banco u otra institución financiera, informándote de un error cometido durante una transacción reciente en tu tarjeta de crédito. El mensaje también incluirá enlaces a sitios web igualmente falsos (pero cosméticamente bien hechos) que te pedirán tus credenciales de login y otros detalles financieros. Una vez que tienen tal información, los atacantes pueden hacer lo que les guste.

Pero los correos electrónicos camuflados no son la única forma de efectuar un ataque de esta clase. 

Las llamadas telefónicas (incluso automatizadas) también son una de las técnicas más conocidas. Digamos que recibes una llamada de voz robótica avisando que tu tarjeta de crédito está cancelada. Aquí el contexto es clave ¿te mencionaron una tarjeta específica? ¿Te da algún detalle que te permita identificarla?

La mejor idea es descartar llamas así lo más rápidamente que sea posible. De otra forma, continuarán llamándote y las probabilidades de que los estafadores puedan enredarte. Su objetivo es exprimir la mayor información posible, sin que sea tan importante el número de llamadas que necesiten. 

Cuando tengas la más mínima duda, cuelga la llamada y comunícate con tu banco para verificar tu situación. Y lo mismo aplica antes de responder correos electrónicos sospechosos.


Identifica las contraseñas débiles

Cómo detectar una fortaleza de contraseña débil
(Unsplash)

La idea fundamental en idear nuevas contraseñas es diseñarlas para que sean únicas y difíciles de adivinar. Necesitas solamente algo de creatividad para producir passwords bien fuertes y fáciles de recordar. Incluso puedes disfrutar de la experiencia mientras te recompensas con una mejor protección.

Para asir el concepto de un buen password, veamos algunos elementos que contribuyen a la debilidad de una contraseña.

1. La inclusión de palabras genéricas como “contraseña”

El password más frecuentemente usado del mundo es, desafortunadamente, “password.” Es tan patéticamente idiota como usar “default” y “ninguno” Son vocablos elementales que cualquiera puede acertar en dos ó tres intentos por lo que son contraseñas terribles.

Sin embargo, nuestra primera preocupación no son los atacantes humanos. Los ataques más peligrosos vienen de  programas automatizados ejecutados desde una máquina remota. Generalmente están optimizados con bases de datos especializadas que pueden identificar una contraseña rápidamente.


2. Cosas fáciles de reconocer, sobre todo si alguien te conoce medianamente bien

Usar tu apellido combinado con el año de tu nacimiento es un buen ejemplo de un password típicamente débil. Pero como las contraseñas de esta clase suelen sobrepasar los doce caracteres y combinan números y letras, los sitios de web los aprueban a pesar de ser tan endebles. Y ahí está el detalle. Son detalles conocidos sobre el usuario que no requieren de una amistad muy íntima, puesto que pueden obtenerse de cualquiera de sus perfiles de redes sociales y otros sistemas.


Demasiado corto; rápidamente reconocible

Digamos que usas “S4boR” como contraseña, que usa mayúsculas, minúsculas y números al mismo tiempo. Súper ¿no? Pues no, tiene dos desventajas que lo debilitan inmediatamente.

Primeramente, es demasiado breve. Los passwords robustos tienen que ser largos, para obligar al hacker potencial a gastar más tiempo en encontrarlos –o, idealmente, para que luego de intentarlo por demasiado tiempo opte por claudicar.

Y el segundo problema es que sustituir una letra “A” por un número “4” no es la cosa más misteriosa del mundo. Es un reemplazo fácil de ubicar tanto para atacantes humanos como automatizados.


Formas de mejorar aún más la seguridad de tus contraseñas y passwords

La seguridad de la bandeja de entrada de tu correo electrónico, tu cuenta del banco o de Netflix, depende de qué tan bien sepas proteger tus contraseñas y passwords. Eso implica la necesidad de mantener tus contraseñas seguras, después de haberlas diseñado para ser sólidas.

Pero sobra decir que también necesitas una forma de recordarlas fácilmente. Así que aquí te ofrecemos una serie de trucos que te ayuden a satisfacer ambos requisitos.

1. Usa un gestor de passwords y un generador de passwords también

Un gestor de passwords almacena tus contraseñas con seguridad. Lo mejor de todo es que solamente necesitas recordar una sola contraseña, la contraseña maestra, para obtener acceso a todos los passwords en tu arca de gestión de archivos.

Idealmente, puedes usar primero cualquiera de las recomendaciones que te hemos ofrecido para crear un password decente y luego salvarlo en un gestor de passwords como LastPass. Dichos programas suelen incluir un generador de contraseñas. Entonces puedes crear passwords extra largos y complicadisimos que ofrezcan complicaciones mucho mayores de las que un hacker está dispuesto a enfrentar.


2. Discrimina cuidadosamente a los sitios web en los que confías

Los sitios web más seguros nunca guardan una lista de los passwords de los clientes. Lo que guardan, en vez de eso, es una lista de los “hash” de dichos passwords. Es decir que nadie puede leer el password directamente. Desafortunadamente, no todos los sitios son así.

Entonces tómate un momento para evaluar una plataforma dada antes de abrir una cuenta en un sitio y establecer en él un perfil donde le confíes un password y otros detalles confidenciales. ¿Te da la impresión de que está actualizado con los recursos de seguridad más recientes? Si cualquiera de ambas respuestas es negativa, piénsalo dos veces antes de otorgarle acceso a tu privacidad.


3. Usa la autenticación de factores múltiples

Muchos expertos recomiendan frecuentemente complementar el uso de un password robusto con autenticación de factores múltiples. Muchos sitios como Dropbox, Google Mail, muchas instituciones financieras y de otros tipos ya tienen este tipo de log in disponible para sus usuarios.

Para ser más específicos, la autenticación de múltiples factores proporciona una estructura externa de seguridad para tu cuenta, que se convierte en la primera capa de protección, y que es eficaz incluso si tu password llega a fugarse. Es, por así decirlo, el último grito de la moda en el sector de la seguridad digital defensiva. La versión más popular es el subconjunto bien conocido como autenticación de dos factores (2FA).

En 2FA, un usuario tiene que completar una prueba de seguridad adicional a la de saber el password. La prueba adicional puede ser un dato biométrico (como una huella digital, o firma retinal), o un elemento tangible. De esta forma, el password es solamente la mitad del cuento, sea bueno o no.

Es una tragedia de nuestra era el tener que saber que no hay ningún método que sea 100% eficaz para evitar que un hacker pueda crear una brecha de seguridad para obtener tus datos o credenciales. Aún así, un buen password usado a la par de un mecanismo 2FA siempre disminuirá tu vulnerabilidad dramáticamente.

Nota: Un método muy popular de 2FA usa mensajes SMS como elemento adicional de identificación. Luego del episodio en el que Reddit fue víctima de un hack hecho a base de SMSs interceptados, no podemos recomendar este método como óptimo.


Instala un programa de autenticación móvil

La forma más segura de usar MFA en tus dispositivos portátiles es instalar una aplicación de autenticación como Authy o Google Authenticator.

Son aplicaciones que proveen un PIN de uso único para completar el proceso de identificación. Los PINs se actualizan cada medio minuto para cada sitio pre-configurado en la aplicación.

These apps create a one-time PIN that you enter during your authentication 


Medidas de seguridad adicionales para mantener tus contraseñas seguras

Algunos consejos de seguridad más vinculados a las contraseñas
(Unsplash)

Aquí tienes unos consejos de la más alta seguridad que mantendrán tu información asegurada de forma indefectible:

  • Usa una VPN siempre que uses una red de WiFi pública. Así nadie podrá interceptar tus credenciales cuando inicies sesión en los sitios que navegues.
  • No le proporciones tu password a nadie.
  • Elige opciones muy difíciles y que solamente puedas contestar cuando estés preparando las preguntas de seguridad al crear una nueva cuenta.
  • Alienta a todas tus personas cercanas a tratar su información digital con cuidado. 
  • Asegúrate de que todo tu software esté bien actualizado.
  • Usa una buena suite antivirus en tu sistema operativo.

Conclusiones

Tener contraseñas de buena calidad puede parecer un problema, más aún cuando necesitamos cuentas y passwords diferentes para cada uno de los sitios que frecuentamos.

Ciertamente que no todas las personas pueden diseñar y memorizar muchos passwords. Consecuentemente, podrían terminar usando el mismo password (o uno demasiado similar) aunque sepan que no es muy bueno. De la misma forma, otras personas pueden tener muchos passwords, pero de mala calidad por su longitud o falta de variedad.

Si tú no te reconoces en ninguna de las dos categorías, probablemente tienes un buen password único para cada una de tus cuentas –tal vez como resultado de la presión de los sitios web o de tu empleador. Pero entonces, también podrías ser uno de los usuarios que tiene sus contraseñas anotadas en una hoja de papel muy visible cerca de su monitor, que es todavía peor que tener malos passwords.

Ser proactivo es la defensa más poderosa en la gestión de passwords. También es crucial saber que ningún password es “inhackeable”. Por lo tanto, tienes que completar el rompecabezas con cuidado para lograr la mejor seguridad digital posible según tu situación.

Además de tener buenos passwords, deberías de adoptar métodos de identificación de varios factores donde estén disponibles. Y no debes de usar el mismo password para dos cosas nunca. Crear passwords de buena calidad y usar una VPN para encriptar tu tráfico digital mientras creas o usas tus cuentas de internet ayuda mucho también.

Esperamos que nuestro artículo te haya mostrado cómo crear un buen password. Trata de recordar todas nuestras sugerencias siempre que estés tramitando una nueva cuenta en cualquier sitio. Adicionalmente, considera actualizar todos tus passwords actuales, como una precaución.

Comparte este artículo

Sobre el Autor

Jorge Felix

Jorge Felix

English writer and Spanish editor at PrivacySavvy
36 Posts

Jorge Félix (Mexico City, 1975). Theoretical physicist specialized in Cosmology and Superstring Theory. He's been a writer on scientific and technological issues for more than 23 years. Has ample experience and expertise in computer technology and a keen interest in digital security issues.

Mas de Jorge Felix

Comentarios

No hay comentarios.