Lo que tarda un hacker en averiguar tu contraseña en base a lo larga y compleja que sea

La diferencia puede llegar a ser impresionante

Hoy es el típico Día Mundial de “algo”, aunque como ya hemos comentado otras veces, todos los días lo son. Y, tal y como suele ocurrir en estas fechas “señaladas”, el mundo tecnológico no ha perdido la oportunidad de aprovechar el “tirón” de estas efemérides.

Lo pongo todo entrecomillado porque, por muchas notas de prensa con opiniones y consejos sobre este Día Mundial de la Contraseña que nos hayan llegado, con la imposibilidad de publicarlas todas (como es lógico), no vemos que la cosa se haya convertido en “trending topic”… Igual es que lo de las contraseñas ya está muy visto. Mira que hay cosas de ciberseguridad sobre las que opinar últimamente, de las cuales no para de hablarse (hola, espionaje en la política) …Pues nada oye, ninguna nota de prensa sobre Pegasus.

Respecto a lo manido que está el tema de las contraseñas, no en vano hace ya años que se vaticina el final de dicho método de autenticación digital, dando paso a tecnologías como la biometría. Que también te digo, por mucho final que estuviera ya apunto de certificarse, me parece que aquí seguimos la inmensa mayoría, viéndonoslas y deseándonoslas para recordar o anotar o gestionar tropecientas contraseñas.

De entre todos esos artículos recibidos sobre este trascendental día de las contraseñas, el único que no es un comentario de un experto o una lista de consejos sin más (que ya nos sabemos de memoria aunque luego no apliquemos, porque si los aplicamos lo que nos será imposible saber de memoria serán las propias contraseñas), es uno que, aunque seguramente no sea tampoco una novedad, al menos aporta datos que son más que llamativos acerca de la efectividad de currarse lo máximo posible esa suerte de agrupación random de números, letras y caracteres, con los que no se podría elaborar nada con sentido en el concurso aquel de Cifras y Letras.

Dice el estudio en cuestión que un hacker puede tardar apenas una hora, o menos, en adivinar una contraseña de siete caracteres, pero para sacar una con doce caracteres (cinco más), si combina mayúsculas, minúsculas, números y símbolos, podría llegar a necesitar 3.000 años, con lo que ni viviendo tres veces lo que Matusalén lo conseguiría. Necesitaría ser Gándalf, o bien convertirse en eterno por vía digital, como en el capítulo San Junípero de Black Mirror. Es posible que esa gigantesca diferencia de tiempo entre un caso y otro no sorprenda a un experto en combinatoria, pero al resto nos deja ojipláticos.

Luego ya el resto del artículo es más convencional, y por ejemplo nos habla de otro detalle trillado, que es el de las típicas listas de las contraseñas más usadas, que ya sabemos todos cuáles son, pero que a pesar de su obviedad, tan escandalosa que dan la misma sensación de seguridad que Eduardo Manostijeras metido a fisioterapeuta, seguimos usándolas para no tener que apuntarlas o recordarlas. Pero, en cualquier caso, tiene un toque más interesante o curioso de lo habitual, razón por la que os lo ofrecemos en este vuestro blog.

 

¿Tu contraseña tiene menos de ocho caracteres? Podrían hackearla en menos de una hora

2

Se usan para casi todo: acceder al banco, al correo, al ordenador, a las redes sociales..., pero ¿qué seguridad ofrecen? Si las contraseñas no tienen la extensión y la combinación de letras, números y símbolos que los expertos recomiendan, podrían hackearlas en lo que se tarda en hacer un café. Así lo concluye un reciente estudio de la compañía de seguridad cibernética Hive Systems, que afirma que las contraseñas con menos de doce caracteres se pueden hackear al instante si solo contienen números. Y algo parecido ocurre en el caso de que solo estén formadas por letras minúsculas.

¿Y si se incluyen mayúsculas, minúsculas, números y símbolos? Entonces la situación cambia, aunque se sigue estando desprotegido si se opta por una contraseña corta. De hecho, al hacker solo le haría falta algo más de paciencia: en caso de que no tenga más de ocho caracteres, en 39 minutos podría dar con ella. Por el contrario, si se usa una combinación de 12 caracteres con mayúsculas, minúsculas, números y símbolos, los hackers tardarían nada menos que 3.000 años en averiguarla.

¿Cuál es entonces la extensión y combinación recomendadas para estar lo suficientemente protegidos sin tener que contar con una gran memoria para recordarla? "Si hay números, letras y símbolos especiales como +, -, (, $, @, €... , a partir de diez caracteres ya se considera que, con los ordenadores actuales, el tiempo necesario para encontrar la contraseña, si no es una palabra conocida, es suficiente como para no perder el tiempo intentándolo", explica Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, que añade que todo depende de cómo esté construida esa contraseña. "Si es a partir de palabras que están en el diccionario, no es muy relevante la longitud. Hay herramientas que prueban combinaciones de palabras conocidas agregando también fechas. Para el resto, lo que se hace es crear combinaciones de letras y números, e ir probando. Cuantas más letras tenga, más combinaciones posibles se deberán probar hasta encontrar la buena".

En cualquier caso, siempre será buena idea no utilizar las más frecuentes. En España, en el primer lugar del ranquin de contraseñas más usadas en 2021 se encuentra la combinación de números 12345, seguido de 123456 y 123456789, según el estudio anual de NordPass, que también ofrece otros datos curiosos. Por ejemplo, que en la posición 10 se encuentra "barcelona"; en la 12, "España"; en la 16, "alejandro", y en la 18, "tequiero". O que, al igual que en España, en los países latinoamericanos el nombre del equipo de fútbol preferido tampoco es una buena opción, ya que figura en la quinta posición en algunas regiones. Y si buscamos las contraseñas más empleadas a escala mundial, además de las combinaciones numéricas que también aparecen en las primeras posiciones en España, la primera fila de letras del teclado de ordenador es la favorita: la combinación "qwerty" ocupa el cuarto lugar. El siguiente puesto de la lista lo ocupa "password".

Los tres métodos de identificación

A pesar de que hace años los expertos en ciberseguridad predijeron un mundo futuro sin contraseñas, hoy la mayoría augura larga vida para la contraseña al considerarla muy segura si se sigue la máxima de crearla combinando símbolos, números y letras con la suficiente extensión. Sin embargo, no es el único método de identificación. Como explica Jordi Serra, en la actualidad hay tres, que se resumen en tres aspectos: "Uno de ellos es lo que sabemos (contraseñas), otro es lo que somos (biometría, huella dactilar...), y el tercero, lo que tenemos (un dispositivo único al que enviar un código)".

En cuanto a cuál es el más seguro, el profesor de la UOC afirma que el dispositivo, bien utilizado, es muy útil. "Si podemos asegurar que no se nos duplican estos dispositivos, o los roban, es seguro enviar un código único de acceso. El problema es la usabilidad, ya que hay que tenerlo a mano cada vez que se quiera entrar en un servicio, por lo que es poco usable", explica. Respecto a la biometría, hasta la fecha se ha descrito como única porque no se ha podido demostrar que haya dos personas con la misma huella dactilar. El problema con este método de identificación es que se obtengan los datos asociados a la biometría. En ese caso, "no podríamos cambiar esa característica de nuestro dedo para cambiar el acceso, y solo tenemos diez dedos". Por último, están las contraseñas, "que, si bien son las más débiles, son las más versátiles y fáciles de usar. Únicamente hay que utilizarlas bien", advierte.

La buena noticia es que, al haber varios métodos posibles de identificación, podemos proteger mejor nuestros accesos. La recomendación es hacer uso de ellos de manera combinada. En opinión de Jordi Serra, si queremos ponérselo difícil a quien intente hackear nuestros accesos, lo mejor es "activar, si se puede, el segundo factor de autenticación, es decir, emplear dos de los tres sistemas de identificación. Lo más habitual es la contraseña y el código único al móvil a la vez", pero siempre que dediquemos algo de tiempo a crear una contraseña "difícil" que contenga más de diez caracteres con letras, números y caracteres especiales. "Podemos recordar una frase de algún libro o refrán, y poner las primeras letras de cada palabra, además de incluir también algún número y carácter adicionalmente para llegar a tener una contraseña de más de diez posiciones sin que tenga ningún sentido leído". ¿Un ejemplo? "'EuldlMdcN3+' podría ser para la frase 'En un lugar de la Mancha de cuyo Nombre' y poner 3+ al final. ¡Ahora no usemos todos esta contraseña para todo!", advierte.