2020 ha sido un año muy diferente a lo esperado para casi todo el mundo, pero hay algo que no ha cambiado apenas. Nos referimos a la lista de las peores contraseñas que, como cada año, se presenta por estas fechas y que demuestra que aún queda mucho trabajo por hacer, no solo en labor de concienciación, sino también en la implementación de nuevas medidas que sustituyan a un método de autenticación demasiado frágil.
Pocas novedades en la lista
Tal y como viene sucediendo en los últimos años, el listado de las peores contraseñas elaborado por la empresa NordPass muestra pocos cambios. Vemos como las combinaciones (por llamarlas de algún modo) de números siguen predominando en el TOP10, combinaciones que son extremadamente fáciles de averiguar por cualquier software especializado en romper contraseñas y sin utilizar un hardware especialmente potente.
No obstante, vemos como en el tercer puesto se ha colado una nueva contraseña (picture1) un poco más difícil de averiguar, pero que tampoco representa una capa especialmente robusta de seguridad en caso de utilizarla. Lo mismo sucede con la otra novedad que encontramos en el TOP10 con la palabra “senha” (contraseña en portugués).
En el informe elaborado por esta empresa se muestra las veces que se han visto expuestas en alguna filtración y cuántos usuarios únicos las estaban utilizando. Durante los últimos meses no hemos dejado de ver filtraciones de datos de todo tipo, por lo que el número de contraseñas expuestas es preocupante, lo que nos lleva al siguiente punto.
¿Es suficiente usar solo contraseñas?
A la hora de hablar de la seguridad de las contraseñas y su gestión hemos de tener en cuenta que hay aspectos que el usuario puede controlar y otros que están fuera de su alcance, ante los cuales solo puede reaccionar de forma adecuada. Por supuesto, se pueden crear contraseñas robustas y almacenarlas de forma segura siguiendo indicaciones que dificulten que sean averiguadas por los atacantes, algo que es muy recomendable para todo tipo de usuarios.
Sin embargo, cuando la seguridad de las contraseñas depende de las empresas y servicios donde se almacenan y estas sufren ataques que las filtran, el usuario tan solo puede revisar periódicamente si alguno de estos servicios de sus contraseñas se ha visto comprometido y cambiar las contraseñas asociadas.
Por ese motivo es necesario añadir nuevas capas de seguridad, capas como el doble factor de autenticación para que, en caso de robo o filtración de contraseñas, no se pueda acceder a nuestras cuentas. No obstante, no todos son igual de efectivos, ya que, por ejemplo, el doble factor basado en mensajes SMS enviados a nuestros dispositivos ha perdido buena parte de su efectividad debido a que los delincuentes ya hace tiempo que diseñan sus amenazas pensando en la interceptación de estos mensajes para, entre otros, acceder a una cuenta bancaria y sustraer dinero de la misma.
En el campo de las medidas de seguridad basadas en doble factor de autenticación se están popularizando cada vez más las aplicaciones generadoras de códigos temporales de un solo uso (OTP), ofreciendo un equilibrio entre nivel de seguridad y comodidad de cara al usuario doméstico y profesional, aunque en el sector financiero aún son pocas las entidades que las implementan. Los usuarios más preocupados por su seguridad pueden optar también por soluciones hardware como las llaves de seguridad.
Conclusión
Como vemos, las contraseñas débiles (y su reutilización en varios servicios) siguen estando muy presentes, poniendo las cosas extremadamente fáciles a los delincuentes. En nuestra mano está poner soluciones, no solo para evitar que se consigan romper las contraseñas que usamos a diario, sino también para prevenir problemas derivados de filtraciones o robo de credenciales desde servicios y empresas que hayan sufrido un ciberataque.