Hoy te contamos algunas estrategias para crear un buen password.
Vamos a arrancar por lo más importante: la única forma de garantizar tu propia seguridad es prestándole atención a lo que hacés y siendo responsable con aquello que querés proteger. Por más técnica y complejidad que tenga tu contraseña, de nada servirá si abrís un xploit, si instalás un troyano, o si dejás tu sesión abierta en un cibercafé o una máquina pública.
Los casos anteriores, son la principal forma de obtener la contraseña de alguien y además la más útil, ya que nos va a permitir poder hacer un seguimiento del uso que haga nuestra víctima en caso de que hayamos obtenido su contraseña para espiarla. Si yo busco, por ejemplo, obtener tu contraseña de Facebook y lo primero que hago es cambiarla, en el preciso instante en que vos te vuelvas a conectar, vas a notar que tu contraseña no es la misma y accionar para resolver el problema. Si yo, haciéndome la «grossa», además cambié tu correo para restablecer tu contraseña, número de celular, y pregunta secreta (o las formas que estén previstas para recuperar tu contraseña sin asistencia), sólo voy a obtener un poco de tiempo (de 8 a 72 horas) para poder revisar tu correo. Pero es algo bastante estúpido. Es por esto que para obtener contraseñas se busca que la persona a quien vulneremos no se entere.
De igual manera, esta nota no es sobre cómo obtener contraseñas de Facebook, sino sobre cómo crear una contraseña segura.
Veamos un poco cómo alguien obtiene tu contraseña utilizando ingeniería social. Sabé que es una forma de usarte a vos misma en tu contra.
Xploits
Un xploit es un correo falso que incluye enlaces hacia webs clonadas en las que iniciar sesión. La víctima cree que se trata de un error en el sistema de la página, ingresa su contraseña, y el sitio redirecciona exitosamente hacia el lugar donde la víctima quería entrar. Pero en realidad, lo que hizo fue ingresar su usuaria y contraseña en una web que nos enviará estos datos, y que al mismo tiempo conecta con la web de destino, en caso de que se cometan errores de tipeo, la web destino informa a nuestra página del error, y nuestra página muestra una página de error. Otra alternativa es hacer que alguien entre a una página y obtener las contraseñas almacenadas en el navegador, lleva segundos y es muy práctico. Bueno, muchos tipos de xploits. Es, en mi opinión, una de las acciones más divertidas, aunque el lamming es repudiable, la obtención de contraseñas de esta manera me parece que es muy similar a pescar, ya que la víctima puede caer o no en nuestras redes.
Troyanos
Los troyanos toman su nombre del concepto mismo del famoso Caballo de Troya. Se trata de un software que simula ser un programa legítimo para que confíes en él, y lo instales. Los troyanos tienen dos partes: un servidor y un cliente. El cliente es el que se envía para que sea instalado por la víctima. Una vez que logramos que lo instale, el cliente se conecta con el servidor y nos provee acceso remoto a la computadora infectada. Existen miles de troyanos, he probado varios, todos los que probé tienen la función de keylogger, que registra todas las teclas que se presionan en la computadora infectada y nos envían esta información en un período de tiempo que definimos quienes controlamos el servidor. Esta es la forma más cómoda de vigilar a una persona, pero igualmente es complicado lograr la instalación ya que producto de este tipo de software mucha gente prácticamente no instala nada que no conozca. Hay formas de hacer la instalación nosotros mismos, pero también son complejas.
Xploits y Troyanos son, me parece, dos de las formas más utilizadas aunque hay otros ataques (como el Man in the Middle que explicamos en esta nota) que son más prácticos, aunque más complejos y por eso no son tan generalizados.
Esos dos que están ahí arriba, son tus principales enemigas y se aprovechan de tu irresponsabilidad.
Dicho todo esto, ahora sí te cuento cómo crear una contraseña segura.
Durante algún tiempo parte de mi trabajo consistía en probar técnicas para obtener contraseñas, lo que no significa obtener contraseñas, sino probar técnicas para obtenerlas, que es distinto, aunque el resultado fuera la obtención de la contraseña. No, nunca espié la vida de estas personas, y de haberlo hecho, además de no contarlo públicamente y ante miles de personas, probablemente estaría en el caribe o, al menos, viviría junto al mar. Mi trabajo tenía que ver con testear distintas prácticas sociales en torno de este tema, por lo que una vez que se lograba corroborar o refutar la tesis de cada práctica en una determinada muestra de casos, el trabajo estaba terminado.
En ese tiempo (hace más de 10 años) me extrañó cuán frecuentes eran ciertas contraseñas. Cosas como «caramelo», «amelie», «123456», «1q2w3e4r5t6y», números de documento, números de cuit, nombres de hijos o padres, fechas de cumpleaños, el nombre de pila o el apodo más el año de creación de la cuenta (ej: tincho2013), combinaciones de los datos anteriores y sus derivados eran las contraseñas más frecuentes. Esto, por lo general se debe a que[pullquote position=»right»] muchas personas temen olvidar o de hecho olvidan sus contraseñas, por lo que ponen datos comunes -que por lo general son públicos- como contraseñas[/pullquote]. Si no he logrado que abras el xploit ni que instales el troyano, que sería lo más cómodo pues ahí sos vos quien me da tu contraseña, voy a comenzar probando con esos datos y sus combinaciones. En un 80% de los casos estas pruebas eran exitosas. Si no lo eran, probaba con contraseñas comunes, y así hasta descargar y cerrar esos caminos.
Cuando elegimos una contraseña, lo principal es que se trate de una contraseña segura y luego una contraseña recordable. Tenemos que esforzar un poco la memoria, pero también existen distintas alternativas mnemotécnicas -o lo que nos resulte conveniente- pero lo importante es la seguridad antes que la comodidad, en caso de que queramos resguardar lo que estemos protegiendo con la contraseña.
Otro factor importante es la longitud de la contraseña. Cuanto más «larga» sea tu contraseña, más difícil será obtenerla con métodos de fuerza bruta. Tratá de que supere los 8 caracteres.
Es más que necesario combinar mayúsculas y minúsculas, números además de caracteres especiales como |,@,+,[,], etc. Alguna vez encontré una contraseña compuesta sólo por asteriscos, me pareció muy gracioso, ya que era engañoso. Por ejemplo, si alguien utiliza fuerza bruta sobre la contraseña «perro» o «gato», en muy poco tiempo va a tener un resultado exitoso, sin embargo, si en lugar de «perro» escribís «p3rr0» el nivel de dificultad aumenta, y si además de eso ponés algo del estilo «p3rr0!» es aún más segura. Igualmente, esas tres palabras y sus alternativas, ya están más que cargadas en diccionarios de fuerza bruta, pues son contraseñas muy comunes.
[pullquote position=»right»]Lo secreto es secreto. Si no querés que algo se sepa, simplemente no lo comentes. [/pullquote]Pensá que todas tenemos una persona de confianza, y que si contamos un «secreto» en «confianza», primero éste pierde su condición de tal, pero luego, muy probablemente, la persona a la que hicimos depositaria de nuestro «secreto», lo comentará con su persona de confianza, y así hasta el infinito. Si bien es cierto que nadie anda por ahí confesando sus contraseñas, sí hay ciertas confesiones que son de utilidad para obtener datos. Si vas a utilizar algún dato de tu vida como contraseña, usá algo que te avergüence, o algo que jamás dirías.
Tu contraseña no debe ser evidente: tu nombre, cumpleaños, tu número de documento, tu cuit, el de personas a las que querés, o tu número de teléfono son datos fáciles de obtener. Priorizá tu seguridad, es sólo recordar una palabra, no significa tanto esfuerzo.
No utilices secuencias ni repeticiones del tipo: qwerty, 123456, asdfg, o combinaciones de estas como 1q2w3e4r5t6y, qawsedrftg, 112233445566, y similares.
Es fundamental actualizar periódicamente tu contraseña. Cambiala por lo menos cada 6 meses.
Y ahora viene lo crucial: para mantener tu seguridad, además del principio de que lo que es secreto debe permanecer en esa situación, tenés que saber también que si querés resguardar algo en una computadora, no podés conectarla a Internet. Si no te queda alternativa que conectarla, entonces complejizá un poco tu seguridad utilizando una contraseña diferente para cada cuenta, servicio o login que debas hacer. De esta forma, aunque alguien obtenga una contraseña tuya, no va a tener total control sobre tu vida, ya que deberá obtener cada una de las contraseñas, lo que te da un muy buen margen de acción.
En fin. Ya tenés con qué divertirte, aunque tener que aprender contraseñas todo el tiempo sea algo tedioso.
¡Happy Hacking!