Las contraseñas son la primera y, a menudo, la única barrera contra los ciberdelincuentes. Pero en un mundo donde tenemos docenas, si no cientos, de cuentas en línea, el manejo de contraseñas se ha convertido en un verdadero desafío.
Mientras que las amenazas tales como Relleno de credenciales y phishing También debemos mantenernos al día con nuestras prácticas de seguridad de contraseñas. Aquí están las mejores prácticas clave, sus pros y sus contras, y los riesgos que enfrentamos.
Buenas prácticas #1: Usar contraseñas únicas para cada servicio
Qué es: Para cada cuenta en línea, se crea una contraseña individual y aleatoria que no se usa en ningún otro lugar. Esta es la base absoluta de cualquier buena estrategia de contraseña.
Beneficios:
- Protección contra Relleno de credenciales: Esta es la protección más fuerte. Si una contraseña se ve comprometida por un servicio, todas las demás cuentas permanecen seguras. Dado que los delincuentes no reconocen patrones, no pueden usar los datos robados para otros ataques.
- Minimiza el daño: Un ataque exitoso se limita a una cuenta comprometida. El daño se puede reparar rápidamente sin un efecto dominó.
Desventajas:
- Recordatorio: Es imposible que una persona memorice cientos de contraseñas complejas y aleatorias. Esto lleva a la necesidad de ayudas.
Buenas prácticas #2: Uso de gestores de contraseñas
Qué es: Un administrador de contraseñas es una aplicación que almacena todas sus contraseñas en una base de datos cifrada a la que solo se puede acceder a través de una contraseña principal única y segura.
Beneficios:
- Simplicidad: El administrador genera y almacena contraseñas complejas y únicas para usted y las rellena automáticamente cuando inicia sesión. Todo lo que tienes que hacer es recordar la única contraseña principal.
- Elimina la reutilización: Elimina la necesidad de reutilizar contraseñas o crear patrones.
- Versatilidad: La mayoría de los administradores están disponibles como extensiones de navegador y aplicaciones móviles, por lo que puede acceder a sus contraseñas desde cualquier lugar.
Desventajas:
- Confianza: Debe confiar en el proveedor del administrador de contraseñas de que su cifrado es seguro. -> Alternativamente, acoja usted mismo.
- El único vector de ataque: La contraseña principal es el único punto débil. Si cae en las manos equivocadas, todas sus contraseñas están en peligro.
Buenas prácticas #3: Activación del Autenticación de dos factores (2FA)
Qué es: 2FA requiere una segunda prueba de identidad además de la contraseña, por ejemplo, un código enviado por SMS, un código de una aplicación de autenticación (como Google Authenticator) o una clave de hardware (YubiKey).
Beneficios:
- Red de seguridad: Incluso si su contraseña se pasa a través de un Relleno de credencialesEl ataque o intento de phishing fue robado, el atacante no puede iniciar sesión porque carece del segundo factor.
- Detener bots: La mayoría de los bots no pueden evitar 2FA.
Desventajas:
- Conveniencia: Requiere un paso adicional en el proceso de registro, que puede ser percibido como molesto.
- Gestión del código de sustitución: Los códigos de copia de seguridad en caso de que pierda su teléfono deben mantenerse seguros.
Bien, ahora tengo una contraseña segura. ¡Compruébalo! ¿Y cómo nos aseguramos de que las contraseñas ya no se pierdan?
La idea de que el hacker encuentre la contraseña correcta escribiendo al azar es tan obsoleta como poco realista. En el mundo digital actual, los ciberataques están altamente profesionalizados y explotan las debilidades del comportamiento humano y los sistemas técnicos. Aquí hay un vistazo más de cerca a los métodos más comunes que usan los atacantes para obtener contraseñas y cómo puede protegerse de ellas.
1. Ingeniería Social y Phishing: Manipulación de la confianza
Este método se dirige directamente a las personas, no a la tecnología. En ingeniería social, los atacantes se hacen pasar por una persona de confianza, como un empleado de TI, consultor bancario o servicio al cliente. Intentan que usted divulgue voluntariamente información confidencial, como contraseñas o números de tarjetas de crédito.
phishing Es una de las formas más utilizadas de ingeniería social. Recibirá un correo electrónico, mensaje de texto o mensaje privado engañosamente real en las redes sociales. Este mensaje le pide que haga clic en un enlace que conduce a un sitio web falso. Allí debe iniciar sesión con sus datos de inicio de sesión reales, que luego se transmiten directamente a los atacantes. Uno de los trucos es que su Gestor de contraseñas no introduce automáticamente los datos de inicio de sesión porque la URL de la página falsa no coincide con la del servicio real. Esta es una clara señal de advertencia que nunca debes ignorar.
- Medidas de protección: Siempre sospeche de los mensajes no solicitados. Compruebe la URL cuidadosamente antes de iniciar sesión en cualquier lugar. Las empresas reales nunca piden contraseñas por correo electrónico.
2. Relleno de credenciales: Explotación de la conveniencia
Como se discutió anteriormente, este método se basa en el hábito humano de reutilizar contraseñas. En lugar de adivinar contraseñas, los atacantes usan cantidades masivas de credenciales robadas de filtraciones de datos anteriores para iniciar sesión en otros servicios independientes. Se basan en el hecho de que una gran proporción de usuarios utilizan los mismos nombres de usuario y contraseñas para diferentes cuentas.
Las herramientas modernas de relleno de credenciales automatizan este proceso con bots, intentar iniciar sesión en miles o millones de cuentas utilizando los datos robados. El pequeño porcentaje de inicios de sesión exitosos es suficiente para que el ataque sea rentable para los delincuentes.
- Medidas de protección: Utilice una contraseña única y compleja para cada servicio. Uno Gestor de contraseñas Esta es la solución indispensable para hacer un seguimiento de la situación.
3. Descifrado de contraseña: Ataques y hashes de diccionario
Incluso si una empresa no utiliza contraseñas en texto sin formato, sino encriptadas hash Si se almacenan, los datos no son completamente seguros. Un hash es una cadena criptográfica generada a partir de su contraseña. No se puede convertir fácilmente de nuevo a la contraseña original.
Sin embargo, los atacantes pueden intentar hash contraseñas a través de los llamados Ataques de diccionario para descifrar. Utilizan una gran lista de palabras comunes, frases y contraseñas filtradas conocidas, calculan sus hashes y los comparan con los valores de hash robados. Dado que ya existen «tablas de búsqueda» ya preparadas con sus equivalentes hash para contraseñas populares, este método es alarmantemente eficiente. Una contraseña débil como contraseña123 Se puede agrietar en segundos.
- Medidas de protección: Seleccione contraseñas que no contengan palabras o frases comunes. Usa cadenas aleatorias que sean largas y complejas. Aquí, también, es un Gestor de contraseñas la mejor herramienta para generar automáticamente dichas contraseñas.
4. Sorteo / Encuestas / etc.
Solo este verano, por ejemplo, han estado circulando varias competiciones en las redes sociales, que han prometido, por ejemplo, un mini refrigerador de marcas de cerveza populares u otros grandes premios. Esto a menudo es difundido por amigos como una carta en cadena, a menudo se dice en las competiciones que tienes que reenviar el enlace para participar en al menos 3 personas. Si el malware no proviene directamente del navegador, el enlace de participación también conducirá al malware. ¡Quita los dedos, por favor!
Las encuestas también son populares o algunos de los minijuegos más conocidos pueden ser excelentes para recopilar datos adecuados y luego comenzar un ataque con ellos más tarde. La cuestión del lugar de nacimiento, por ejemplo, idealmente se puede usar posteriormente para un restablecimiento de contraseña por pregunta de seguridad. El nombre de soltera de la madre, su propio apodo o primera mascota también es una opción popular. Creo que entiendes lo que quiero decir. ??
Es posible que algunos de ustedes todavía lo sepan por sus propios familiares, tiene sentido explicar a la abuela o al abuelo que la policía no llamará y recogerá los objetos de valor «por seguridad», incluso si ya han ocurrido varios robos en el vecindario. Así es como los nativos digitales quedan atrapados. Luego, por ejemplo, una carta de advertencia falsa viene debido a supuestas descargas de películas o música y en el primer momento la mente puede detenerse y simplemente haga clic en ella. Aquí hay un consejo general: Correos electrónicos no solicitados con enlaces casi siempre desconfianza. Eso es la mitad de la batalla.
conclusión
El peligro para sus contraseñas es real y de múltiples capas. Los métodos de los ciberdelincuentes son sofisticados y explotan las vulnerabilidades en los sistemas y el comportamiento humano. Por lo tanto, la protección integral es esencial:
- Uso Contraseñas únicas y complejas para todos sus servicios.
- Gestionarlo de forma segura con un Gestor de contraseñas.
- Activarlos Autenticación de dos factores (2FA), siempre que sea posible.
- Manténgase alerta y averigüe sobre nuevas estafas.
Con estas medidas, crea un fuerte baluarte contra los métodos de ataque comunes y hace que sea extremadamente difícil para los delincuentes acceder a sus datos.
En resumen, se puede decir: La reutilización de elementos de contraseña es la raíz de muchos problemas de seguridad digital. La única forma sostenible de proteger sus cuentas en línea es a través de la aplicación consistente de Contraseñas únicas y seguras para cada servicio, administradas por un administrador de contraseñas y aseguradas por autenticación de dos factores. Si ignora estas mejores prácticas, no se trata de si, sino de cuándo será víctima de un ataque.
TL:DR
¿No quieres tener que lidiar con contraseñas y no quieres seguir las mejores prácticas? Entonces puede ser. el sistema Passkey Qué para ti.
ES 
DE 
EN 
FR 
IT