La contraseña con la que más de 23 millones de cuentas han sido 'hackeadas'

La contraseña con la que más de 23 millones de cuentas han sido 'hackeadas'

Muchos de los usuarios siguen sin conceder importancia a esta barrera y repiten el mismo código para todo

Fernando Miñana
FERNANDO MIÑANA

Collection #1 nos ha quitado la venda y nos ha retratado como usuarios de internet. Collection #1 es el nombre de la carpeta con cerca de 12.000 archivos, con 87 GB de contenido, que se encontró Troy Hunt, un experto en ciberseguridad y privacidad, en la web MEGA. Allí dentro halló, gratis, para todo aquel que quisiera copiarlo, 773 millones de cuentas de correo 'hackeadas' y más de 21 millones de contraseñas únicas. Una combinación que demuestra, según Francisca Morán, directora corporativa de IMF Business School, que siete de cada diez usuarios repite su contraseña.

Collection #1 es la mayor brecha que se ha detectado y compartido nunca. Yahoo sufrió la pérdida de información de 3.000 millones de cuentas tiempo atrás, pero nunca salió a la luz. Son datos que multiplican las estafas por suplantación de identidad y el chantaje, como la 'sextorsion', la extorsión que realizan los piratas informáticos enviando un correo al usuario en el que muestran su contraseña y le aseguran que disponen de un vídeo comprometedor, supuestamente tomado con la 'webcam', viendo contenido pornográfico. En realidad, un farol que basa su eficacia en que hay muchos consumidores de pornografía.

Hunt ofrece a la gente una web gratuita -haveibeenpwned.com- en la que el usuario puede introducir su dirección de correo electrónico y comprobar si ha sido violada, y un segundo campo en el que teclear la contraseña para ver si ha sido capturada. Esto es también un juguete para curiosos, eficaz para constatar que 23,2 millones de esas personas 'hackeadas' utilizaron la contraseña más simple y obvia: 123456. Que casi tres millones, en un alarde de seguridad, la estiraron hasta el 8. O que 3,6 millones son tan originales que ponen password como password (clave). Algunos más sofisticados, cerca de 51.000, al menos lo complican hasta crear P@ssw0rd.

«Es tremendo que, de casi 800 millones de cuentas, solo 22 tienen contraseñas únicas. Aplicamos la ley del mínimo esfuerzo para protegernos a pesar de que internet se cuela imparablemente en nuestras casas. Cada vez es más habitual la compra online, cargar nuestras tarjetas, la televisión... ¡Si hasta la nevera puede llegar a estar conectada! Pues todo eso requiere entornos cada vez más seguros para evitar sustos», explica Morán, cuya empresa ofrece un máster en ciberseguridad y ha elaborado un decálogo para internautas.

Decálogo para las contraseñas

1. Más completa, mejor
Utilice un mínimo de ocho caracteres y combine mayúsculas y minúsculas, números o signos especiales para multiplicar el tiempo de un 'hackeo'.
2. Prohibido reutilizar
Use contraseñas diferentes para cada cuenta, ya sea de correo, perfiles en redes sociales o bancarias. Si una fuera 'hackeada', el resto continuaría a salvo.
3. Memoria de elefante
Nada de anotarla en un 'post it' y dejarlo al lado del ordenador
4. Un poco de imaginación
Evite claves comunes y fáciles de descifrar, como el nombre, fechas de nacimiento o códigos recurrentes.
5. Gestores de contraseñas
Son los mejores aliados. Estos servicios ayudan a aquellos que tienen problemas para memorizar contraseñas o que manejan un número considerable de ellas.
6. Nada del documento 'claves'
Muchos guardan en el escritorio un documento con todas las contraseñas, una alfombra roja para los intrusos.
7. Apostar por las preguntas
Esta doble barrera reduce las posibilidades de 'hackeo'.
8. Adiós al 'recordar clave'
clave'Esta opción puede parecer maravillosa, pero se transforma en un error fatal si perdemos o compartimos nuestro dispositivo.
9. PeriodicidadC
Cambielas regularmente.
10. ¡Alerta, mirones!
Oculte siempre la contraseña mientras se introduce.

Dice Troy Hunt que la única contraseña segura es aquella «que no puedes recordar». Por eso recomienda un gestor de credenciales. Y si eso, por edad o desconocimiento, nos resulta demasiado complicado, es preferible volver a la fórmula del gestor analógico, una libreta con las claves que esté en casa a buen recaudo, porque los nuevos cacos ya no necesitan poner un pie en tu vivienda para robarte. Aunque hay sistemas más sofisticados, como la autenticación de dos factores para proteger nuestras cuentas digitales -por ejemplo, recibir un SMS con un código de acceso cuando vamos a entrar- o aplicaciones como Google Authenticator o Authy.

España cuenta con un Instituto Nacional de Ciberseguridad (Incibe) en León, donde trabaja Jorge Chinea. Es el coordinador del área de servicios de ciberseguridad y dice que no le ha sorprendido nada que tantísima gente utilice el 123456 como patético dique para contener a los ciberdelincuentes. Aprecia más errores comunes: «En el ámbito empresarial, vemos que el 'post it' con la clave pegado en el ordenador es un hábito muy común entre los empleados. Las pequeñas y medianas empresas solo toman conciencia cuando tienen un susto o cumplen cuando la ley les obliga. Son minoría los que ven en la ciberseguridad un factor diferencial». Chinea cree que hay tres mandamientos que los usuarios deberían acatar sin excusas: no compartir, no enseñar y, de vez en cuando, cambiar. «Con las contraseñas hay que hacer como con la ropa interior», bromea.

Ejercicio mental

La teoría es relativamente sencilla, pero ponerla en práctica resulta complicado cuando hay que tener una contraseña diferente para un par de cuentas de correo, dos o tres perfiles en redes sociales, varias plataformas de televisión, series y películas, el banco, el wifi, una suscripción al periódico, el teléfono, la aplicación con los entrenamientos del gimnasio, la compañía aérea, un portal de venta de entradas, una compañía de transporte urgente, la maleta, un máster y mil cosas más que a menudo exigen establecer una combinación para tener acceso. «Yo aconsejo las reglas mnemotécnicas, reemplazar las vocales por números, arrobas u otros símbolos... E ir cambiándolas. Por ejemplo, cuando te obligan en el trabajo, aprovechar y hacerlo también en el resto de cuentas. Lo ideal es establecer unos mínimos de seguridad y poco a poco ir mejorándolos. El uso de herramientas para almacenar contraseñas está bien, pero es mejor no tener que apuntarlas», advierte el experto.

El coordinador del Incibe recomienda especialmente hacer un ejercicio mental para entender lo importante que es proteger la cuenta de correo electrónico. «¿A que nadie pegaría un 'post it' con la combinación en la caja fuerte? Pues lo mismo con las contraseñas de todo lo demás. Hay que trasladar estos hábitos a la vida virtual». Aunque, al final, lo más sensato parece ser encontrar el equilibrio, que no esté descompensada la lucha entre la comodidad y la seguridad.

Ciberseguridad, un nicho de empleo

Europa precisará en 2020 350.000 profesionales

La ciberdelincuencia avanza con el motor de un bólido. Cada día acechan más peligros por ese conducto invisible hacia nuestras vidas que es internet. Los usuarios a menudo son vulnerables; el enemigo, muy avispado; y la sociedad, lenta en formar una defensa ante esta amenaza. «Es una temática relativamente nueva. Viene desencadenada por las nuevas tecnologías, que llevan metiéndose en casa desde hace 10 o 15 años. El problema es que la imagen del profesional que debe combatir este peligro no está muy bien vista y cuando alguien tiene que escoger una carrera no conoce lo que hacen estos profesionales». Este diagnóstico rápido de la situación es de Sara García, responsable del área de talento del Incibe. Esta trabajadora del Instituto Nacional de Ciberseguridad conoce de cerca la enorme carencia de mano de obra en materia de ciberseguridad en España. No hay suficientes profesionales en un oficio que es una oportunidad para las nuevas generaciones y que subirá de manera exponencial en los próximo años.Entre septiembre de 2017 y agosto de 2018 se publicaron en Estados Unidos 314.000 anuncios demandando profesionales en ciberseguridad. Según (ISC) 2, la organización sin ánimo de lucro de profesionales certificados en seguridad cibernética más grande del mundo, ahora mismo hay una brecha de casi tres millones de empleos en todo el mundo. E irá en aumento al mismo ritmo que la digitalización de las empresas, la apuesta por la Inteligencia Artificial y el aprendizaje automático. Está claro que es una de las profesiones con más futuro.Sara García advierte de que no solo hacen falta informáticos o expertos en asuntos técnicos: «Muchos de los profesionales que hay son autodidactas -la práctica totalidad de los que tienen más de 30 años-, pero van a ser necesarios expertos en otros muchos campos. El ciberdelito precisará de jueces, fiscales y abogados especializados. También de profesores, para que enseñen la materia y convenzan a los estudiantes de los peligros de la ciberdelincuencia. Y siquiatras y sicólogos, porque hay casos de 'ciberbullying' y otros que necesitan a quien acudir con problemas mentales».Las perspectivas son deslumbrantes. (ISC) 2 estima que en 2020 serán necesarios un millón y medio de expertos para trabajar en empresas y organismos públicos. Solo Europa ya necesitará alrededor de 350.000. Cibersecurity Ventures va un año más allá y prevé que en 2021 habrá 3,5 millones de ofertas de trabajo para estos especialistas. «La magnitud de estas cifras ayuda a entender que hay un 'gap' muy importante. El 'gap' es la diferencia entre los profesionales que salen al mercado y los que hacen falta. Hay tal necesidad, que muchas empresas están contratando a gente con menos titulación y se encargan ellas de completar su formación», detalla García. No solo es un nicho de empleo, también una oportunidad de ganar dinero, con salarios que rondan los 100.000 dólares en EE UU. Eso sí, no todo está a favor. Los que tomen este camino deben saber que tendrán que estar formándose toda la vida, porque la ciberdelincuencia «siempre va un paso por delante».