El reciente hackeo de los correos electrónicos de miembros del Tribunal Supremo, donde Anonymous Catalonia aseguraba que el correo del magistrado Manuel Marchena estaba protegido por una clave de apenas siete caracteres con el nombre de un familiar cercano, vuelve a recordarnos de nuevo la importancia de seguir unas pautas de seguridad cuando gestionamos las contraseñas de los servicios que usamos en Internet.
Quien más, quien menos, tiene la teoría clara. Otra cosa es ponerla en práctica. ¿Cómo logramos contraseñas seguras y que a la vez podamos recordar? Helena Rifà, directora del máster de Seguretat de les TIC de la UOC y directora de la Càtedra IBM-UOC de Ciberseguretat, da algunas recomendaciones.
Cuestión de caracteres
«Para que una contraseña sea segura, ha de ser larga», explica Helena Rifà. Hablamos de 12 caracteres, frente a los 8 que todavía mantienen algunos servicios online. ¿Por qué? Para mantener a raya lo que en términos de seguridad TIC se llama «fuerza bruta». Es decir, capacidad de computación. Poner a un ordenador a probar combinaciones de letras y números hasta dar con la clave. Ocho caracteres están al alcance de bastantes ordenadores hoy. Doce quedan muy lejos.
Frases antes que palabras
¿Pero cómo recordamos doce caracteres, si ya tenemos problemas para recordar ocho? Recordando frases en lugar de palabras. Y utilizando la primera letra de cada una de las palabras que componen esa frase para configurar una contraseña. Igual nos vale el arranque de Cien años de soledad que una frase de la última canción de Rosalía.
En este segundo caso, por ejemplo, siempre va a ser mucho más sencillo recordar «Tinc un xaval contractat perquè m’obri els regals de Nadal» y transformarlo cada vez en «Tuxcpm’oerdN» (12 caracteres) que tratar de recordar a base de memoria pura esa combinación de letras.
¿Y qué pasa con los símbolos, los números y todos esos caracteres que no son letras? Pues que son mucho más difíciles de recordar. Y que, cuando alcanzamos esos 12 caracteres, ya no tienen tanta importancia. «Cuanto más larga la contraseña, mejor; aunque la percibamos como algo más fácil», prosigue Helena Rifà, que aclara: «para una máquina, fácil es una palabra que esté en el diccionario, no una frase». Será sencillo para nosotros incorporar minúsculas y mayúsculas en esa combinación de letras y, «si incorporamos números o símbolos, que sea natural, con reglas mnemotécnicas».
Generar un algoritmo
«Una vez tengamos nuestra manera de hacer contraseñas -prosigue Helena Rifà-, le añadiremos algo particular dependiendo del servicio que estemos utilizando». Siguiendo con el ejemplo de la frase de la canción de Rosalía, a la secuencia de caracteres «Tuxcpm’oerdN» podríamos añadirle luego FB para nuestra cuenta de Facebook o GM para un Gmail. La idea es que, si nos logran hackear la contraseña en algún servicio, no puedan entrar inmediatamente en el resto de cuentas que tenemos porque hayamos estado usando la misma contraseña para todo.
¿Aporta mucha más seguridad añadir GM a la contraseña que usamos para todo? No demasiado, la verdad. Por eso Helena Rifà sugiere añadir algo que a nosotros nos evoque ese servicio, que solo podamos saber nosotros, y que en todo caso podamos recordar mediante algún documento cifrado que no contenga la respuesta, sino pistas que a nosotros nos den la respuesta.
Usabilidad
Al final, la seguridad acaba convergiendo con la usabilidad. «Si nos centramos mucho en las contraseñas y en querer hacerlas muy difíciles -explica Helena Rifà-, no es usable». Así que, relata esta profesional de la ciberseguridad, «dijeron: hagámoslas más cortas y con símbolos». Menos caracteres para recordar, pero más complejo.
¿Resultado? La misma contraseña en todas partes, en el mejor de los casos.
Visto lo cual, «ahora la complejidad viene por la extensión, porque cada nuevo carácter que añades a la contraseña aumenta muchísimo la posibilidad de resistir un ataque de fuerza bruta: mejor que sea larga y fácil que corta y difícil».
¿Dónde queda entonces la seguridad de los apenas cuatro dígitos de un código PIN? «Un PIN de cuatro números es muy débil -admite Rifà-, pero se suple con el bloqueo a los tres intentos fallidos».