La lista negra de las contraseñas más fáciles de descifrar

P.Avendaño

ACTUALIDAD

Los usuarios repiten patrones predecibles y los expertos recomiendan abandonar las reglas clásicas para apostar por frases fáciles de memorizar

23 may 2023 . Actualizado a las 10:13 h.

Si usted es de esos que utiliza de contraseña la enumeración «123456» sepa que un hacker tardaría menos de un segundo en descifrarla. Es la clave más común en España. En realidad, da igual si cuenta hasta el siete, hasta el ocho, o si por el contrario elige una combinación de ceros o de cincos. La seguridad es la misma, según se desprende de un estudio realizado por la compañía Nordpass.

Las peores contraseñas cambian cada año, pero los seres humanos son criaturas de costumbres. Por eso, los patrones se repiten. Muchos utilizan marcas de ropa: «tiffany» es en este caso la más usada; nombres de equipos de fútbol; personajes de películas, con «joker» a la cabeza de la lista; o incluso marcas de coches, «kia» «mini» y «ford» son las más usadas. De hecho, la actualidad afecta a las contraseñas. Películas y series como Batman y Euphoria fueron algunos de los estrenos más populares del 2021. En ese año «batman» se utilizó  2.562.776 veces y «euphoria» 53.993. Otra pista: si usa Tinder, es poco recomendable que la clave de su cuenta sea precisamente esa palabra, y sin embargo se utilizó casi 40.000 veces en el último año.

El fin de las mayúsculas y minúsculas

Durante los últimos tiempos, los usuarios han sido bombardeados con decenas de reglas, normalmente excesivamente complejas, sobre cómo elegir la mejor contraseña. Aún sucede: si se registra en una aplicación o una página web, es probable que se le pida incluir tanto mayúsculas como minúsculas, números y varios caracteres especiales para generar la mejor clave posible. «Por desgracia, hacer que se cumplan a rajatabla este tipo de reglas no hace más que desalentar a los usuarios, ya que les impide memorizarlas, lo que provoca que generen estas contraseñas siguiendo un patrón predecible», aseguran desde la compañía de ciberseguridad ESET. 

Las nuevas recomendaciones pretenden evitar este efecto. Los expertos apuntan ahora a utilizar frases compuestas por palabras aparentemente sin conexión. Son más largas que las contraseñas habituales —y por lo tanto más difíciles de romper— pero más fáciles de recordar. Hace unos años, la longitud mínima recomendada eran ocho caracteres. Hoy en día, las herramientas automatizadas y su potencia pueden adivinar una contraseña de este tipo en cuestión de minutos, sea cual sea la combinación. 

Según las pruebas realizadas por la empresa Hive Systems y publicadas en abril del 2023, una contraseña sencilla que solo contenga minúsculas y mayúsculas pero que tenga al menos 18 caracteres tarda muchísimo más en descifrarse que una supuestamente elaborada de forma más compleja, pero de una longitud menor. Por ejemplo, una clave de 12 elementos que contenga números, letras y símbolos tardaría en romperse 226 años. En resumen, cuando más larga sea una contraseña, mejor.

La reutilización

Cualquier recomendación de ciberseguridad incidirá en ello: las claves no pueden reutilizarse. Los usuarios siguen haciendo caso omiso y eso constituye un peligro real, porque permite a los atacantes comprometer varias cuentas a la vez solamente consiguiendo robar una contraseña. El promedio de claves que utiliza una persona es de cinco, según un estudio de Ponemon Institute.

Además, aunque es frecuente, los expertos también advierten de que establecer una fecha de caducidad para las contraseñas es contraproducente. Sucede en muchas empresas, y sin embargo, varios organismos señalan que los usuarios no tienen paciencia para pensar constantemente nuevas claves razonablemente seguras, y obligarlos a hacerlo en intervalos regulares puede ser más perjudicial que beneficioso, ya que se terminan generando patrones fácilmente averiguables. También hay que escapar de las preguntas de seguridad. Para cualquier hacker,  adivinar «el nombre de tu primera mascota» es relativamente sencillo con un poco de investigación.

 Método más seguro

En realidad, las contraseñas tienen los días contados. Apple, Google y Microsoft anunciaron hace casi un año que apoyaban el estándar común de inicio de sesión sin contraseña, creado por la Alianza FIDO. Este organismo se creó en el 2013 para desarrollar estándares de seguridad con el objetivo de superar la primacía de las contraseñas. El acuerdo conjunto no se concretó en nada, pero sí supuso una apuesta decidida por emprender un nuevo camino basado en reconocimiento biométrico. Google subió la apuesta hace un par de semanas y presentó una nueva forma de acceder a las cuentas personales de la plataforma denominada «passkeys» o llaves de acceso. En un comunicado, la compañía aseguró que este sistema «permite a los usuarios iniciar sesión desbloqueando su ordenador o dispositivo móvil con su huella digital, el reconocimiento facial o un PIN local». La empresa propiedad de Alphabet considera que esta nueva medida es «un gran paso» hacia un «futuro sin contraseñas».