Contraseñas seguras

Fortificar la seguridad de cuentas y dispositivos a través de una gestión segura de contraseñas

Problema

• Se sospecha o se tiene la certeza de que una cuenta o dispositivo fue vulnerado rompiendo la contraseña, ya sea a través de ingeniería social o de scripts. En ciertos casos, si un atacante rompe la contraseña de una cuenta de correo de Gmail o de AppleID, por ejemplo, puede tomar el control de otras cuentas o dispositivos.

Solución

Reacción / Apagafuegos

Resulta imprescindible cambiar lo más rápido posible una contraseña vulnerada a efectos de mitigar posibles ramificaciones del ataque. La restauración de la cuenta puede ser más o menos compleja, dependiendo el nivel de vulneración:

• Si todavía tienes acceso a la cuenta.
• Si ya no tienes acceso a la cuenta, pero mantienes el correo de recuperación.
• Si ya no tienes acceso a la cuenta y se ha cambiado el correo de recuperación.

Si todavía tienes acceso a la cuenta:

• AppleID:
  • Desde iOS: accede a Ajustes > [nombre] > Contraseña y seguridad. Presiona Cambiar contraseña.
  • Desde MacOs: accede al menú Apple > Preferencias del Sistema. Haz clic en ID de Apple > Cambiar contraseña.
  • Desde la web: accede al siguiente enlace appleid.apple.com y cambia tu contraseña desde Inicio de sesión y seguridad.
• Facebook:
  • Haz clic en el pequeño triángulo de la esquina superior derecha.
  • Selecciona Configuración y privacidad y haz clic en Configuración y luego en Seguridad e inicio de sesión.
  • Junto a Cambiar contraseña, presiona Editar.
  • Escribe la contraseña actual, la contraseña nueva y guarda cambios.
• Gmail:
  • Visita https://myaccount.google.com.
  • En el menú principal, a la izquierda de la pantalla, accede a la sección Seguridad.
  • Haz clic en Contraseña. Después de ingresar la contraseña actual se abrirá una página para escribir la nueva.
  • Presiona Cambiar contraseña.
• Instagram:
  • Entra en el menú (icono de las tres líneas en la esquina superior izquierda).
  • Accede a Configuración.
  • Selecciona Seguridad y a continuación Contraseña.
  • Escribe la contraseña actual, luego la nueva y confirma.
• Outlook:
  • Visita el enlace de Recuperación de cuenta y sigue los pasos indicados.
• Twitter:
  • Desde el icono del menú de navegación, pulsa Configuración y privacidad.
  • Presiona en el enlace Cuenta y debajo de Inicio de sesión y seguridad haz clic en Contraseña.
  • Escribe la contraseña actual, luego la nueva y confirma.
  • Presiona Guardar.
• Yahoo:
  • Accede al menú (icono de las tres líneas) y presiona Información de cuenta, después Configuración de seguridad.
  • Introduce el código de seguridad y haz clic en Cambiar contraseña.
  • Selecciona Prefiero cambiar mi contraseña e Introducir la nueva clave.

Si ya no tienes acceso a la cuenta, pero se mantiene el correo de recuperación:

• AppleID:
  • Accede a la página de la cuenta del ID de Apple y haz clic en “¿Has olvidado tu ID de Apple o la contraseña?”.
  • Introduce el ID de Apple, selecciona la opción para restablecer contraseña.
  • Elige cómo restaurarla: con preguntas de seguridad o con un correo electrónico.
  • Actualiza la contraseña en los dispositivos.
• Facebook:
  • Accede al siguiente enlace y sigue las instrucciones: ¿Cómo cambio o restablezco mi contraseña de Facebook?.
• Gmail:
  • Visita https://accounts.google.com/signin/recovery y escribe el correo electrónico a recuperar. Llegará un correo electrónico con un código de verificación al correo electrónico de recuperación. Cópialo, pégalo y configura la contraseña nueva.
• Instagram:
  • Accede a resetear contraseña.
  • Escribe el correo electrónico o nombre de usuaria de la cuenta a recuperar y presiona Enviar enlace de acceso.
  • Sigue los pasos indicados.
• Outlook:
  • Rellena el formulario de recuperación de cuenta.
• Yahoo:
  • Yahoo tiene un asistente de inicio de sesión que guía paso a paso la recuperación al que se puede acceder en este enlace.
  • Ingresa uno de los elementos de recuperación de cuenta mencionados.
  • Presiona Continuar y sigue las instrucciones.
• Twitter:
  • Accede al siguiente enlace y sigue las instrucciones: Cómo restablecer tu contraseña si la perdiste o no la recuerdas.

Si ya no tienes acceso a la cuenta y se ha cambiado el correo de recuperación:

• AppleID:
  • Contacta con el soporte técnico de Apple por teléfono para explicar la situación.
• Facebook:
  • Accede al enlace Denunciar una cuenta comprometida en Facebook para denunciar que la cuenta ha sido comprometida por la acción de otra persona o un virus.
  • Se solicitará el correo electrónico o móvil al que está asociada la cuenta y luego la contraseña antigua para tratar de recuperarla.
• Gmail:
  • Visita el asistente de recuperación de la cuenta, que tratará de verificar la identidad de la dueña de la cuenta a través de una serie de preguntas.
• Instagram:
  • Busca en la bandeja de entrada del correo asociado a la cuenta de Instagram un correo electrónico notificando el cambio de correo electrónico o contraseña.
  • El correo electrónico informa de que “Si tú no has cambiado tu contraseña/correo electrónico, puedes asegurar tu cuenta”. Haz clic en “asegurar tu cuenta”, lo cual redirigirá al perfil y la posibilidad de cambiar nuevamente el correo electrónico en Ajustes > Cuenca > Información personal.
• Outlook:
  • Completa el formulario de recuperación de cuenta. Si este proceso falla, Microsoft recomienda volver a enviarlo.
• Twitter:
  • Comunícate con Twitter a través de una solicitud de soporte.
  • Escribe el nombre de usuaria, el correo electrónico de la cuenta y la descripción del problema.
  • Presiona Enviar.
• Yahoo:
  • Accede al asistente de inicio de sesión que guía paso a paso la recuperación en este enlace.
  • Ingresa uno de los elementos de recuperación de cuenta mencionados.
  • Presiona Continuar y sigue las instrucciones.

Prevención / Sensibilización

Una gestión segura de contraseñas es la principal estrategia de fortificación de la seguridad digital. Se recomienda trasladar las siguientes medidas preventivas.

Consejos para una contraseña segura

• Utiliza una contraseña única por cuenta, servicio y dispositivo.
• Debe contener, como mínimo, 20 caracteres de longitud.
• Utiliza letras mayúsculas y minúsculas, números y caracteres especiales. La ñ, como no está en todos los teclados, es una letra buena para usar. Para incluir números, se usa el truco de subsctitución: A/a = 4, E/e = 3, I/i = 1 y O/o = 0. Por ejemplo: Información personal se escribiría 1nf0rm4c10n p3rs0n4l.
• No utilices información personal de ningún tipo: ni año de nacimiento, ni lugar de residencia, ni nombre de mascota, ni iniciales, ningún dato que pueda asociarse a tu identidad.
• No utilices palabras o unidades semánticas.
• No utilices técnicas mnemotécnicas como, por ejemplo, contraseñas en las que se repite una clave pero cambia solo una parte (año, nombre del servicio, etc) por cuenta.
• Cambia las contraseñas cada tres meses si estás en peligro o una vez al año como mínimo.
• No envíes contraseñas a través de canales inseguros: correo electrónico, mensajería instantánea, redes sociales, etc.
• No escribas contraseñas en papeles que queden en lugares visibles, como post-its pegados en el monitor, por ejemplo.
• Utiliza gestores de contraseñas con clave maestra. Si deseas aumentar la seguridad también se pueden utilizar con llave de hardware.
• Si necesitas recordar una clave segura, por ejemplo, la contraseña maestra de tu base de datos de KeepassXC, puedes usar frases que contengan palabras aleatorias o una frase con sus palabras en distintos idiomas.
• Si necesitas compartir tu contraseña, mejor hazlo con uno de estos programas:
  • Yopass en inglés.
  • Password Pusher en español. Usa Google Tag Manager para seguirte por internet.
• Comprueba que la contraseña que has elegido no es débil en este test (inglés) Kaspersky (español)
• No es bueno guardar la contraseñas en el navegador porque se pueden robar por apps o webs. Si alguien entra en tus dispositivos o navegador, podrá leer tus cuentas. Según la situación, lo móbiles también ofrecen la posibilidad de hacerlo. Si lo has hecho, intálate KeepassXC u otro gestor de contraseñas, pásatelás y bórralas del navegador/app/sistema operativo.

Gestores de contraseñas

Los gestores de contraseñas permiten almacenar las contraseñas de manera cifrada. De esta manera, solo tienes que recordar una contraseña maestra con la que descifras la base de datos que contiene el resto de contraseñas. Por lo general, estos programas cuentan con generadores de contraseñas y permiten organizarlas en grupos, asignarles etiquetas, fechas de vencimiento, adjuntar documentos, etc.

Existen muchos gestores de contraseñas: algunos son programas que se instalan en los dispositivos o en servidores (nube), otros son extensiones del navegador. Se recomienda utilizar gestores de contraseña que sean software libre o, al menos, de código abierto, para asegurarse de su transparencia.

Si nunca has utilizado un gestor de contraseñas es útil hacer una analogía con las hojas de cálculo, en las que tienes que crear una base de datos primero y, luego, crear entradas para cada una de las contraseñas/servicios.

KeepasXC

KeepassXC (un fork de Keepass) es un gestor de contraseñas libre (licencia GNU GPL) y multiplataforma (GNU/Linux, macOS y Microsoft Windows) que cifra las contraseñas con el estándar 256-bit AES.

• Descargas: https://keepassxc.org/download/.
• Manual de uso: instrucciones de la Surveillance Self-Defensa de EFF.
• Información: https://keepassxc.org/docs/.

Keepass XC también tiene una extensión para el navegador que extiende las funcionalidades del programa. Disponible para Chrome/Chromium. El complemento de Firefox no está siendo monitoreado por Mozilla, pero está hecho por los desarrolladores del programa, es FLOSS y, por lo tanto, de confianza.

Comentarios

• Usar un gestor de contraseñas es una buena práctica de seguridad. No obstante, tiene sus riesgos. Si se olvida la contraseña maestra no es posible recuperar la base de datos o si un atacante conoce la contraseña maestra y accede a la base de datos puede conocer todas las contraseñas de su objetivo. Por eso resulta imperioso mitigar esas vulnerabilidades.
• Recuerda tener copias de seguridad actualizadas de la base de datos de KeepasXC en más de un lugar seguro.
• Si se dan las condiciones, se puede optar por soluciones de baja tecnología como tener las contraseñas anotadas en una libreta y guardarla en un lugar seguro. Esta elección dependerá de los resultados del análisis de riesgos.
• Usar un gestor de contraseñas y contraseñas seguras implica, necesariamente, un cambio en las prácticas digitales cotidianas. Es importante recalcar que no se puede estar más segura haciendo lo mismo que hasta el momento. Es cuestión de acostumbrarse a incorporar nuevas prácticas de seguridad que redundarán en fortalecer la seguridad y la sensación de protección en línea.

Consideraciones seguridad física

• Si se guardan las contraseñas en una libreta o la base de datos de KeepassXC en un dispositivo de almacenamiento externo (USB, disco externo, etc.) hay que guardarlos en lugares que no sean de fácil acceso y que estén protegidos de la humedad, el sol, imanes, fuentes de calor directo, polvo, etc.

Enlaces de interés

• Instrucciones del Centro de soporte Apple de como cambiar la contraseña del ID de Apple.
• Instrucciones de como cambiar la contraseña de Facebook.