¿Estamos cerca del fin de las contraseñas?

El Día Mundial de las Contraseñas se celebra el primer jueves de mayo de cada año para concienciar a los usuarios sobre la importancia de tener contraseñas seguras y la protección y privacidad online.

Las contraseñas las utilizan miles de millones de usuarios en todo el mundo, y pese a su enorme importancia, todavía existe un sinfín de malas prácticas a la hora de gestionarlas y crearlas. En 2019, el Centro Nacional de Ciberseguridad del Reino Unido reveló que 23 millones de personas en todo el mundo continúan utilizando contraseñas inseguras como "123456", hecho que evidencia que todavía son muchos los usuarios que no son conscientes de los peligros que esto supone. De hecho, en España, el 42% de organizaciones que sufrió un ataque de phishing el año pasado informó también de robo de credenciales y compromiso de cuentas, según el reciente informe State of the Phish 2023 de Proofpoint.

De acuerdo con el último informe de Hive Systems, que comparte los tiempos aproximados en los que los ciberdelincuentes pueden “derribar” nuestras contraseñas, pasando desde un esfuerzo mínimo y unos tiempos prácticamente instantáneos para las contraseñas más inseguras, hasta los 438 trillones de años de las claves más robustas. Y es que en cuestión de tan sólo un año, se ha visto como estos mismos cifrados han recortado los tiempos de posible vulneración en hasta un 90%. Una cifra que, con la entrada de nuevos agentes como los servicios en la nube o la inteligencia artificial, podrían verse reducidos en los próximos años.

Tal y como comparte Eusebio Nieva, director técnico de Check Point para España y Portugal, “cada día, los ciberdelincuentes crean nuevos ataques destinados a robar las contraseñas de usuarios. Técnicas como el phishing han conseguido vulnerar miles de servicios robando credenciales”. En este sentido, Manuela Muñoz, Named Account Manager de Proofpoint asegura que “por complejas que sean, las contraseñas pueden ser robadas; y es una tendencia en aumento por parte de los ciberdelincuentes en todo el mundo”. Por su parte, Anastasia Sotelsek, Principal Sales Engineer de CyberArk, apunta que “los atacantes están asignando un nuevo nivel de enfoque en las contraseñas de los empleados, especialmente las contraseñas mal administradas. De hecho, se producen cerca de 921 ataques de contraseñas por segundo en todo el mundo”.

La idea de que estamos cerca del fin de las contraseñas es una tendencia creciente en el campo de la ciberseguridad. De hecho, cada vez son más los expertos que comparten la opinión de Jeremy Grant, coordinador del proyecto de identidad digital en el Centro Nacional de Estándares y Tecnología (NIST) de EE. UU. quien afirma que "las contraseñas no son suficientes para proteger la información en línea. Necesitamos nuevas formas de autenticación que sean más seguras y convenientes para los usuarios".

Es el caso de Robert Westervelt, analista de investigación de IDC quien señala que "la autenticación basada en contraseñas ha demostrado ser insuficiente en la protección de la información en línea. Las empresas están invirtiendo en tecnologías de autenticación más avanzadas, como la autenticación basada en biometría, para reemplazar las contraseñas".

Y es que, en los últimos años, las contraseñas se han convertido en un problema de seguridad y la industria de la tecnología está buscando soluciones para reemplazarlas, como la autenticación basada en hardware y la autenticación biométrica. No podemos negar que las contraseñas siguen siendo una herramienta importante para la seguridad en línea, pero existe una creciente tendencia hacia el uso de nuevas tecnologías de autenticación consideradas más seguras y convenientes para los usuarios. ¿Estamos entonces cerca del fin de las contraseñas?

Esta pregunta lleva años estando en boca de muchos expertos y, sin embargo, todavía no está clara la respuesta. Está claro que, hoy en día, hay varias tecnologías emergentes que pueden sustituir las contraseñas como:

-Autenticación biométrica: la autenticación biométrica utiliza características físicas únicas, como las huellas dactilares, el reconocimiento facial o el escaneo de iris, para autenticar a los usuarios. Esta tecnología ya se está utilizando en algunos dispositivos móviles y puede proporcionar una forma conveniente y segura de autenticación.

-Autenticación basada en hardware: la autenticación basada en hardware utiliza dispositivos externos, como llaves de seguridad o tarjetas inteligentes, para autenticar a los usuarios. Estos dispositivos son difíciles de piratear y proporcionan una capa adicional de seguridad en la autenticación.

-Autenticación basada en comportamiento: la autenticación basada en comportamiento utiliza patrones de comportamiento del usuario, como la forma en que escriben o desplazan en una pantalla, para autenticar a los usuarios. Esta tecnología utiliza inteligencia artificial y aprendizaje automático para detectar patrones y proporcionar una forma personalizada de autenticación.

-Autenticación de dos factores/multifactor: la autenticación de dos factores/multifactor requiere que los usuarios proporcionen dos o más formas diferentes de autenticación para acceder a una cuenta. Esto puede incluir una contraseña junto con una verificación de identidad adicional, como un código de autenticación enviado por mensaje de texto o una llave de seguridad.

Teniendo en cuenta esto, se espera que pronto veamos una combinación de estas tecnologías como sustitución a las clásicas (y para muchos anticuadas) contraseñas pero, hasta que esto ocurra, compartimos los consejos de Check Point para tener una contraseña robusta y segura:

· Cuanto más larga y variada, mejor: debe contar con una longitud mínima de entre 14 y 16 caracteres, además de estar formada por diferentes letras, combinando mayúsculas y minúsculas; además de símbolos y números. No obstante, tal y como se puede ver en la anterior tabla, con tan sólo aumentar hasta los 18 caracteres combinados, se llega a construir una clave completamente indescifrable. Esto se basa en la cantidad de intentos que requiere la práctica de fuerza bruta: el número total de combinaciones es igual al número de caracteres elevado a la de su longitud.

· Fáciles de recordar, pero complejas de adivinar: debe ser una combinación que solo el usuario conozca, por lo que es recomendable no usar datos personales como fechas de aniversarios o cumpleaños, o los nombres de familiares, ya que estos pueden resultar más fáciles de averiguar. Una manera sencilla de crear claves que cualquiera pueda recordar es utilizar frases completas, ya sea utilizando escenarios cotidianos o absurdos, con ejemplos como ‘meryteniauncorderito’, o su equivalente todavía más seguro con diferentes caracteres ‘@M3ry#Tenia1Corderito’.

· Únicas e irrepetibles: crear una nueva contraseña cada vez que se acceda a un servicio, evitando así usar una misma clave para distintas plataformas y aplicaciones. De esta manera se puede asegurar que, en el caso de que se vulnere una clave, los daños serán mínimos y más fácil y rápidamente reparables. Según una encuesta de Google y Harris Poll publicada en 2019, el 65% de los participantes reutilizan sus contraseñas en múltiples cuentas y servicios web.

· Siempre privadas: una premisa que puede parecer básica, pero es importante recordar. No hay que compartir una contraseña con nadie, siendo especialmente recomendable no apuntarla en ningún sitio cercano al ordenador o incluso en algún archivo dentro del mismo. Para esta labor, se puede contar con herramientas como los gestores de contraseñas, que realizan este mismo trabajo de manera más segura.

· La auténtica seguridad está a tan sólo dos pasos de nosotros: además de tener una contraseña fuerte y segura, el uso de una autenticación de dos factores (2FA) supone un gran aumento en la seguridad. De esta forma, cada vez que un atacante o una persona no autorizada quiera acceder a una cuenta ajena, el propietario de la misma recibirá un aviso en su teléfono móvil para que le conceda o deniegue el acceso.

· Cambiarla periódicamente: algunas veces, aunque se realicen todas estas prácticas, ocurren incidentes fuera de nuestro alcance, como las filtraciones de bases de datos de las compañías. Por ello, es recomendable revisar de manera periódica si un correo ha sido víctima de alguna vulnerabilidad a un tercero, así como tratar de rastrear las cuentas se han podido comprometer. Para ello, hay que contar con herramientas de acceso público como la web Have I Been Pwned, que tratan de recopilar la información básica de estas fugas para tratar de ofrecer un soporte y ayuda para los usuarios. De igual manera, aun si estas no han sido vulneradas, siempre se recomienda actualizar las contraseñas cada pocos meses.

Parece que estamos avanzando hacia un futuro sin contraseñas, donde la autenticación se basará en múltiples factores, como la biometría y la inteligencia artificial pero, hasta que llegue ese momento, no podemos olvidar que las contraseñas son la primera línea de defensa y que asegurarse de que son seguras y únicas puede suponer una gran diferencia a la hora de ser atacado por los cibercriminales.