La transformación digital ha pisado el acelerador desde que irrumpió la pandemia del Covid- 19. Tanto en el ámbito profesional, como refleja el auge del teletrabajo o la multiplicación de los centros de datos, como en el personal con un aumento de las compras online o el consumo de horas de Internet, cada vez hacemos más trámites online y pasamos más tiempo conectados.

Piratas informáticos en busca de botín

Y si mayor es el número de usuarios en la Red, también lo es el botín para los piratas informáticos. Según un informe de la Interpol, la difusión de malware y phishing ha crecido un 569% desde 2020, generando pérdidas millonarias tanto por sustracciones como en pagos por rescates de información robada, siendo las contraseñas y las credenciales de tarjetas de crédito el principal objeto de deseo.

Así pues, empresas y consumidores deben protegerse ante las trampas cada vez más perfeccionadas de los ladrones cibernéticos, que buscan vulnerabilidades y descuidos en acciones tan cotidianas para los usuarios como el guardado de contraseñas en el navegador o el uso de la función de autocompletar credenciales.

Desde 20Bits hemos consultado a expertos en ciberseguridad de diversas compañías y estos son sus consejos para evitar que un ataque de malware sustraiga información sensible como contraseñas, datos de tarjetas de crédito y otras credenciales de acceso.

Un pirata informático trata de robar contaseñas. Unsplash / Mika Baumeister

¿Es seguro guardar las contraseñas en el navegador?

Para Jesús F. Rodríguez-Aragón, fundador de Iberbox, la comodidad muchas veces suele ir relacionada con la falta de seguridad. "Es un hecho que es muy cómodo tener guardadas las contraseñas en el navegador, pero eso implica tener una mayor conciencia de la falta de seguridad que supone y contrarrestar con mayores niveles de seguridad en nuestros dispositivos", aconseja.

Aunque la actividad se desempeñe online, para Rodríguez-Aragón "la ciberseguridad es un concepto exactamente igual que el de la seguridad física: un conjunto de capas de protección que debemos ir incluyendo en nuestros accesos a los datos". Por tanto, "cuanto mayor sea ese número de capas, más seguros estarán nuestros datos", explica.

En su opinión, "mantener en nuestros dispositivo las contraseñas guardadas es eliminar una capa de seguridad que, si lo hacemos, debemos ser muy conscientes de los riesgos que tiene y de las contramedidas de ciberseguridad que deberíamos aplicar en otros ámbitos: en el acceso al dispositivo, cifrado del disco de nuestro dispositivo, multi-autenticación en nuestra cuenta…".

Más crítico se muestra Simon Marchand de Nuance, compañía tecnológica de Inteligencia Artificial conversacional. En su opinión, “las contraseñas son herramientas arcaicas cuya eficiencia es cada vez más cuestionable; los PIN y las claves se venden en la dark web y se explotan para actividades fraudulentas”, señala el responsable de Fraud Prevention.

Los rasgos biométricos, más seguros

huella dactilar wikipedia

Como alternativa, Marchand propone normalizar que los usuarios se acrediten con rasgos biométricos tales como la huella dactilar, el reconocimiento facial, etc. Es un sistema que “permite acreditarse al usuario de forma inmediata basándose en sus características únicas, eliminando la necesidad de recordar PINs, contraseñas y otras credenciales antiguas y propensas a ser explotadas por actores maliciosos”.

En la misma línea se expresa Hervé Lambert de Panda Security, quien apunta que “tus credenciales, si están guardadas en el navegador, están claramente en peligro”. El experto en ciberseguridad no los considera seguros frente a ataques de malware por diversos motivos, como “los retrasos en aplicar parches de seguridad cuando se encuentran vulnerabilidades de los sistemas de cifrado, almacenaje, comunicación…”, o simplemente porque “si alguien usurpa tu identidad y entra en tu navegador (da igual que sea del ordenador o el móvil), podría iniciar sesión en cualquiera de los servicios”, explica.

“Si no cuentas con una autenticación de doble factor como un gestor de contraseñas en otro dispositivo, si alguien se hace con tu móvil o tu ordenador te puede generar muchos problemas en sólo 3 minutos”, apunta Lambert.

La unanimidad es total entre los expertos consultados. Miguel Ángel Ordóñez, director de Ciberseguridad y Resiliencia de Kyndryl, afirma que “muchos navegadores guardan esas claves en una lista de texto, y en algunos casos, ni si quiera cifrada”.

Así lo constatan desde Kaspersky, uno de los líderes mundiales en soluciones de ciberseguridad, reconociendo que “guardar contraseñas en tu navegador no es la opción más segura, ya que muchos no tienen cifrada la lista donde se almacenan las claves de acceso, por lo que quedan desprotegidas. ante ataques de programas maliciosos como los troyanos.”

Consejos y buenas prácticas para escoger y almacenar contraseñas

Apple, Microsoft y Google quieren cambiar las contraseñas por claves de acceso. 20BITS vía Canva

Algunos de los expertos en ciberseguridad de España comparten sus métodos para elegir y guardar una contraseña.

En el caso de Rodríguez-Aragón (Iberbox), “las contraseñas deben ser una palabra compleja, con un cierto tamaño, con números, mayúsculas, minúsculas, caracteres especiales, que no se pueda relacionar con nosotros (por ejemplo poniendo fechas de nacimiento, nombres, etc), que sea distinta para cada plataforma que utilizamos…” La premisa a seguir es que “cuanto mayor sea la complejidad de nuestra contraseña, mayor será la seguridad que tenemos”, explica el profesional.

El analista senior de seguridad en OpenText, Tyler Moffitt, recomienda usar un gestor de contraseñas para administrar todas las claves de nuestras cuentas y dificultar que un ciberdelincuente pueda conseguirlas. “Los gestores de contraseñas permiten cifrar todos los nombres de usuario, las contraseñas y la información de tarjetas de crédito para ayudar al usuario a permanecer seguro en Internet”, considera el experto.

También es partidario de esta medida el portavoz de Panda Security, pues “con un password manager sólo necesitarás recordar una contraseña maestra que tú creas y el gestor hace el resto: genera contraseñas seguras, aleatorias, y casi imposibles de recordar, para cada una de las cuentas en línea”, explica Lambert. Esta suerte de caja fuerte virtual aumenta el número de capas de encriptación, si bien la llamada ‘contraseña maestra’ “debe ser fuerte y única, no utilizada en otros programas ni siquiera una variación de ella”.

Desde Kyndryl, su director de Ciberseguridad y Resiliencia, Miguel Ángel Ordóñez define una contraseña ‘segura’ aquella que “contiene al menos 10 caracteres y está formada por una combinación de letras minúsculas y mayúsculas, números y caracteres especiales para que sea tan buena como indescifrable”. También se puede optar por las llamadas ‘frases-contraseña’, son “combinaciones de palabras que no tengan relación entre sí y contengan de 20 a 30 caracteres, no ser frases hechas o conocidas, incorporar palabras que no estén en el diccionario y evitar nombres de usuario, empresa o tu nombre real”. Si bien, también reconoce que “lo mejor es configurar un gestor automático de contraseñas”.

