Contraseñas

18 septiembre 2016
Josep Ma Solanes 0

Palabra maldita para muchos, las contraseñas sirven para identificarnos y “proteger” nuestra información privada. Desde el PIN del teléfono móvil, las tarjetas de crédito, la cuenta del banco, de Facebook, Twitter, correo electrónico y un largo etc…, las contraseñas forman parte de nuestra vida digital.

Haciendo el símil en la vida real, las contraseñas equivaldrían a las puertas y cerraduras. Nos permiten disponer, de una manera o otra, de espacios virtuales “nuestros” donde podemos controlar ciertos niveles de acceso, quien entra o sale.

No es nada recomendable disponer de una única contraseña para todas las cuentas.

Al igual que en nuestra casa disponemos de la llave de la entrada, la puerta del piso, el garaje, el armario donde guardamos nuestros secretos, o bien la puerta del comedor, cocina, habitación, etc… y permitimos el acceso a otras personas según nuestros criterios, las contraseñas realizan la misma función en el mundo virtual. Pero no todo se acaba aquí. Al igual que en el entorno físico otros “indeseables” buscan la manera de entrar y tomar aquello que más queremos o nos ha costado tanto conseguir, en el mundo virtual pasa lo mismo, hay “indeseables” que intentan tomar lo que tienes. Cuando hablas de estos temas muchas personas dicen que: ya pueden entrar, a quien le interesa lo que pueda tener, eso sólo pasa en las películas, no tengo nada que esconder, no encontrarán nada de interesante… Muy lejos de la realidad, no por obviarlo no pasa.

Reflexionemos un poco, desde mi experiencia en la provincia de Tarragona (no en EEUU o cualquier otro lugar imaginable, que también pasa) y no en “grandes” empresas (Movistar, Endesa, la Caixa, la NASA, etc…). La mayoría de las grandes empresas están muy concienciadas y ya se ocupan de invertir y cuidar de la seguridad y los accesos con políticas restrictivas, software, auditorías, etc… Precisamente los que lo han sufrido/sufren más, son los particulares y las pymes; por el desconocimiento, por el argumento anterior que a mi nunca me pasará, etc… Ejemplos de lo qué pasa porque lo he vivido en carne propia:

  • El más “tonto”, basado en la picardía del escolar. ¿Cuántos han copiado en un examen del vecino de al lado? ¿O han fotocopiado el trabajo del compañero? Qué fácil es coger la memoria USB o acceder a la cuenta de correo del compañero para copiar este trabajo… ¿Y poder copiar el examen de la semana que viene que lleva el profesor en su memoria USB?
  • Espionaje industrial. Un cliente estaba desarrollando su ISO 9000 desde hacía 2 años. No una empresa grande, sinó una pyme de unos 30 trabajadores como la mayoría que hay en la zona. En verano entra un becario a hacer tareas de soporte. Al cabo de unos días el informático detecta mucha lentitud en el acceso a Internet y al correo electrónico. Investigando se llega a la cuenta del becario, que resulta se pasa el día enviando correos electrónicos a su cuenta personal. Hasta aquí todavía se podría entender, si no fuera porque en los correos electrónicos iban adjuntos todos los archivos de la ISO 9000 y que resultó que los pasaba a la empresa de la competencia. Señores, eso es un DELITO, si. Pero el mal ya está hecho.
  • Robo de la propiedad intelectual. Empresa de diseño industrial, del tipo pyme de unos 40 trabajadores. ¡Registro de patentes! ¿Sabéis el valor que tiene una patente?
  • Otro de robo, empresa de 15 trabajadores. Un trabajador descontento copia la base de datos de clientes con sus datos de compras y estadísticas. Se despide, no sin antes manipular los datos reales de la base de datos y se va a la competencia a hacer lo mismo y llamar a los mismos clientes con una mejor oferta!
  • Reputación de las personas. Apoderarse de la cuenta del Director de Operaciones, para enviar correos electrónicos a trabajadores poniendo verde el Director de Recursos Humanos. Aquí nos faltan, además, valores como personas.
  • Enterarse de secretos. Cuantas personas preguntan como se puede hacer para entrar en la cuenta de correo electrónico de tal, o acceder a su Whatsapp,…
  • Prestigio. Ya sea empresarial o personal. Casos de ciberacoso, robo de fotografías del teléfono, suplantación en el Facebook, el caso de las chicas de Baqueira, etc… (la marca empresarial y la marca personal).

Sólo la imaginación tiene el límite. Y como muchas veces pasa, la realidad supera la ficción. Sólo cuando es demasiado tarde nos lamentamos de no haber tomado medidas preventivas antes.

Tengo unas reglas básicas en materia de seguridad – privacidad de la información:

  • Primera. No hay nada seguro al 100%, lo que podemos hacer es acercarnos, pero nunca llegar. Me gusta poner en un lado de la balanza el valor de la información y en el otro las medidas que se pueden adoptar, para que todo esté equilibrado, ni más ni menos y siempre respetando unos mínimos.
  • Segunda. Respetar la Ley Orgánica de Protección de Datos (LOPD). Son unos mínimos de seguridad de la información. Aparte, es Ley en este país y, tened presente, que el desconocimiento de la Ley no exime su cumplimiento. Desde mi punto de vista es increíble tener que poner unas normas tan básicas en una Ley. Las medidas descritas en la Ley a aplicar no son nada del otro mundo, no son para el Pentágono, la NASA, los bancos o lo que os venga en estos momentos a la cabeza, simplemente es un poco de sentido común, Y ep, la Ley no es sólo para las empresas, sino para cualquiera que recoja o almacene datos personales.
  • Tercera. Ser consciente de lo que hago. Tener claro que, lo que sale por el cable de la línea ADSL, deja de ser mío o privado. Por muchas contraseñas que llegue a poner, por mucho cifrado que aplique en un momento o otro estos datos pueden ser públicos. Si no quiero que se conozca o sea pública alguna cosa, no sale de casa, vaya como toda vida, la ropa sucia se lava en casa.

Bien, después de situarnos un poco, entramos en materia.

¿Qué puedo hacer para minimizar o eliminar estos riesgos?

Lo primero que se puede hacer es poner una contraseña DIFERENTE y FUERTE para cada servicio (Facebook, Twitter, correo, banco, teléfono…) que se utiliza. Divide y vencerás. No sirve disponer de una única contraseña para todo, por muy fuerte que sea. El simpre hecho de “robar” la constraseña permite acceder a todas partes.

¿Como recuerdo una contraseña para cada servicio y además que sea FUERTE? ¿Qué quiere decir que sea FUERTE, que va al gimnasio cada día? ¡Eso es demasiado complicado!

Es cierto, una persona normal recuerda como mucho unas 4 contraseñas. Contraseña fuerte quiere decir que es costosa de encontrar para una máquina. La mejor manera es mezclando letras minúsculas, mayúsculas, números, símbolos y como más larga mejor.

Para contraseñas que se tienen que escribir cada vez lo más óptimo es sustituir las letras normales por números y símbolos. Me explico. Una buena opción es definir un inicio de contraseña largo añadiendo a la cola el nombre del servicio.

Empecemos con la letra de la canción favorita, en mi caso el Cuéntame al oído de La Oreja de Van Gogh, que ya da cierta longitud:

Cuentame al oido, muy despacio y muy bajito”

Primero, eliminamos los espacios, mantenemos los símbolos:

cuentamealoido,muydespacioymuybajito

Sustituimos alguna letra por números, por ejemplo la a por un 4 y la i por un 1.

cuent4me4lo1do,muydesp4c1oymuyb4j1to

Ponemos alguna letra en mayúscula al inicio de palabra y final. En este caso, para no complicar el teclear, sustituyo la , por un ; y así no tengo que dejar la tecla de mayúsculas:

Cuent4me4lo1dO;MuyDesp4c1oymuyB4j1to

Sustituimos alguna letra por algún símbolo, por ejemplo la l (letra) con el símbolo | y la t minúscula con la /

Cuen/4me4|o1dO;MuyDesp4c1oymuyB4j1/o

Acabamos de generar una contraseña de 187 bits, esto es bastante grande, es de las FUERTES. Para tener una idea, la contraseña: “google12” es de 22 bits. Pero todavía no hemos acabado, tenemos que asociar una contraseña para cada servicio. Teniendo la base, la contraseña anterior, podemos añadir el nombre del servicio al final separado por una @ o cualquier otro símbolo. Por ejemplo:

  • Para Facebook: Cuen/4me4|o1dO;MuyDesp4c1oymuyB4j1/o@F4ceb00k (equivale a 236 bits)
  • Para Twitter: Cuen/4me4|o1dO;MuyDesp4c1oymuyB4j1/o@Tw1//er (equivale a 232 bits)
  • Para Flickr: Cuen/4me4|o1dO;MuyDesp4c1oymuyB4j1/o@F|1ckr (equivale a 229 bits)

En algunos sitios, nombres largos (más de 15 caracteres) quizás no se permiten y toca buscar nombres más cortos, pero siempre con la mezcla. Cogiendo el ejemplo de “google12”, se puede añadir el nombre “contra” delante siguiendo la norma anterior:

C0n/r4@G00gle12 (equivale a 104 bits en lugar de los 22 bits anteriores)

Para nosotros nos es relativamente fácil recordarla, pero para un “indeseable” por lo menos le costará encontrarla. Por cierto, estas no son mis contraseñas. Otra regla de sentido común, NO dejéis las contraseñas apuntadas, por lo menos en sitios públicos y visibles (post-its al lado del monitor).

Ahora bien, si lo que quiero es no tener que recordar las contraseñas, lo mejor es utilizar un gestor de contraseñas. A partir de una o más contraseñas de entrada (memorizadas siguiendo el método anterior, por ejemplo) se tiene acceso a todo lo demás. Esta es la opción que personalmente utilizo y que recomiendo. Tiene sus peros, al poner todas las contraseñas en un mismo sitio, pero si tenemos cuidado (no colgamos el archivo en Internet, hacemos copias de seguridad, controlamos quien tiene acceso al archivo, tiene una contraseña fuerte y el archivo está más o menos cifrado) es el método más efectivo para uso personal y para equipos de trabajo.

Para acabar esta entrada dejo dos aplicaciones, una para Microsoft Windows y la otra para Apple Mac, que utilizo y hacen esta función de forma satisfactoria:

  • Windows: Keepass. Se distribuye con licencia GNU v2. Y sí, su uso es gratuito, pero no por ello deja de ser muy valiosa.
    Más info en: http://www.keepass.info
  • Mac: 1Password. Esta tiene un coste, también dispone de versión para Windows, iOS y Android.
    Más info en: http://agilebits.com

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales, también puedes dejar tu opinión o comentario. ¡Gracias!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.