Ir al contenido principal

Cómo la reutilización de contraseñas conduce a vulnerabilidades de ciberseguridad

|W. Perry Wortman

Reutilizar contraseñas es un hábito común. Nuestras listas cada vez mayores de cuentas, aplicaciones y dispositivos no ha hecho sino acelerar esta tendencia. Después de todo, ¿no es más fácil recordar una contraseña en lugar de 100 o más? Aunque la respuesta obvia es sí, la vulnerabilidad de la reutilización de contraseñas es un problema de seguridad real que se puede abordar mediante mejores hábitos de contraseñas y nuevas herramientas de ciberseguridad.

¿Qué hace que una contraseña sea segura?

Evitar la reutilización de contraseñas es uno de los varios comportamientos que contribuyen a una mejor higiene de las contraseñas y una mejor ciberseguridad. El objetivo de estas prácticas recomendadas es evitar las violaciones de datos haciendo que las contraseñas sean menos vulnerables a las tácticas de pirateo comunes. Una contraseña segura debe ser:

  • Única para cada cuenta. Dado que siempre existe la posibilidad de que sus ingresos se pierdan o se los roben, tener una contraseña única para cada cuenta es esencial, ya que limita su exposición a una sola cuenta. Si ha reutilizado contraseñas con frecuencia o no tiene una lista precisa de sus contraseñas reutilizadas, es posible que tenga que revisar y actualizar más de 100 cuentas en caso de una violación.
  • Aleatoria. Cada una de sus contraseñas únicas también debe ser aleatoria para que un ciberdelincuente y sus herramientas de software no puedan adivinar fácilmente su contraseña. La aleatoriedad implica una falta de previsibilidad. Eso significa omitir las cadenas secuenciales (ABCD, 1234, qwerty), las frases comunes y palabras como su nombre o el nombre de la calle que se pueden asociar con su identidad.
  • Larga. Cada una de sus contraseñas debe ser lo suficientemente larga como para aumentar el número de posibles combinaciones de caracteres a un nivel aceptable. ¿Cuán larga debe ser? Aunque no todos los expertos están de acuerdo, aumentar el número de caracteres de 8 a 12 hace que una contraseña sea significativamente más segura, ya que el número de posibles combinaciones va de 200 mil millones a 95 trillones.
  • Compleja. Una contraseña compleja incluye una combinación de letras mayúsculas, minúsculas, números y caracteres especiales. Puede crear un formato no convencional insertando caracteres especiales dentro del cuerpo de la contraseña, usando más letras en mayúscula o cambiando entre letras y números más de una vez.
    • Creada con un generador de contraseñas. La forma más eficiente de crear contraseñas complejas al tiempo que guarda su creatividad para tareas más importantes es usar la función del generador de contraseñas de un administrador de contraseñas. Después de crear automáticamente cada contraseña aleatoria y compleja, el administrador de contraseñas también guardará y rellenará automáticamente la contraseña por usted para que no tenga que escribirla ni memorizarla.
  • Almacenada de forma segura. Almacenar contraseñas en cajones, cuadernos u hojas de cálculo sin cerrar o bloquear puede socavar su privacidad y la seguridad de sus contraseñas. Los administradores de contraseñas integrados en los navegadores realizan copias de seguridad de su información en sus servidores, pero también ofrecen una lista sin cifrar de sus contraseñas vulnerables en caso de una violación. La mejor forma de almacenar contraseñas es usar un administrador de contraseñas para almacenarlas en un servidor seguro y cifrado en la nube.
Texto alternativo: infografía con ejemplos de contraseñas deficientes e instrucciones adicionales sobre las mejores prácticas al crear y administrar contraseñas.

Los riesgos de reutilizar contraseñas

Un estudio reciente mostró que casi el 20 % de las contraseñas están comprometidas, y el 51 % de las contraseñas se reutilizan. Aunque estas estadísticas de la reutilización de contraseñas no son sorprendentes, arrojan algo de luz sobre algunos problemas de ciberseguridad peligrosos (y evitables). La reutilización de contraseñas no solo expone varias cuentas en caso de una violación, sino que también nos hace vulnerables a las tácticas de pirateo comunes y causa más dolores de cabeza para los usuarios de computadoras y los equipos de TI cuando son necesarias las actualizaciones de contraseñas. Estos son algunos de los riesgos de reutilizar contraseñas:    

  • Mayor facilidad de caer víctima de los piratas informáticos: los ciberdelincuentes conocen perfectamente las estadísticas de reutilización de contraseñas y otros datos publicados sobre las mismas, y desarrollan sus tácticas de pirateo en función de las debilidades que observan. La reutilización de contraseñas nos hace más susceptibles al pirateo, entre ellas:
    • Relleno de credenciales: Las combinaciones de nombre de usuario y contraseña (credenciales) se compran en la dark web para dar a un ciberdelincuente acceso no autorizado a una cuenta. Los compradores de estas credenciales robadas intentarán usarlas en muchos sitios web diferentes, confiando en el hecho de que pueden haberse reutilizado varias veces. Este potencial efecto dominó hace que el relleno de credenciales sea una de las formas más eficaces de pirateo informático.  
    • Ataques de «ransomware»: el «ransomware» puede denegar a una persona u organización el acceso a sus propios archivos y cuentas, usando el cifrado para mantener un dispositivo y su contenido como rehenes hasta que se pague un rescate usando una tarjeta de crédito o criptomoneda. Las contraseñas reutilizadas pueden aumentar el número de cuentas bloqueadas durante el ataque de «ransomware».  
    • Ataques de fuerza bruta: un ataque de fuerza bruta también usa la automatización y la prueba y error para encontrar un objetivo, pero en lugar de ser robados y revendidos, los ingresos son generados por un algoritmo de computadora. El pirata informático intentará combinaciones aleatorias de nombres de usuario y contraseñas hasta que se encuentre una coincidencia. Las contraseñas largas y complejas contrarrestan de forma efectiva esta táctica, y las contraseñas únicas contienen el impacto de los ataques de fuerza bruta exitosos al limitar la exposición a una sola cuenta.
Gráfico que representa a un pirata informático que prueba diferentes credenciales de usuario y luego accede con éxito al banco, el correo electrónico y las cuentas de las redes sociales del usuario.
  • Aumento de la probabilidad de bloqueo de varias cuentas

La reutilización de contraseñas es como hacer compras con descuento para los ciberdelincuentes, ya que se accede a muchas cuentas importantes con un solo conjunto de nombres de usuario. Si un pirata informático intenta acceder a varias de sus cuentas a la vez, sus intentos fallidos de ingreso podrían provocar el bloqueo de su cuenta, y el proceso de recuperación de la misma podría llevar mucho tiempo. Incluso sin piratería informática o violación de datos, perder u olvidar contraseñas que reutiliza para varias cuentas puede obligarle a pasar horas restableciendo los ingresos.

  • Potencial de pérdida financiera

Aunque los «hacktivistas» pueden usar sus habilidades de programación para promover una agenda política, la mayoría de los piratas informáticos lo hacen por dinero. Cada cuenta violada puede provocar pérdidas financieras por robo de identidad o exposición de información bancaria o de tarjetas de crédito. Si su cuenta de correo electrónico se ve afectada, el pirata informático podría lanzar ataques de «phishing» desde su cuenta e intentar engañar a sus contactos para que compartan su propia información privada.

6 formas de mantener sus contraseñas seguras

La reutilización de contraseñas puede convertirse en un hábito, y romper este hábito es un proceso. Afortunadamente, hay muchas herramientas y prácticas de ciberseguridad disponibles para ayudarlo a mejorar la higiene de su contraseña:

  1. Use contraseñas únicas para cada cuenta

No reutilice contraseñas, nunca. Aunque suene sencillo, puede resultar difícil si ha reciclado la misma contraseña docenas de veces a lo largo de los años. En el lugar de trabajo, algunos departamentos de informática crean una política de reutilización de contraseñas que impide repetir los ingresos. La puntuación del Análisis de contraseñas de Dashlane también le ayuda a disminuir la vulnerabilidad de la reutilización de su contraseña al proporcionar listas actualizadas de sus contraseñas débiles, comprometidas y reutilizadas.    

  1. Cambie las contraseñas cuando sea necesario

Los cambios forzados de contraseña a intervalos fijos tienen poco valor si sustituimos las contraseñas seguras por otras más débiles o hacemos cambios menores que los piratas informáticos pueden descifrar fácilmente. Sin embargo, hay algunas situaciones, como descubrir malware, ser pirateado o compartir su contraseña de forma insegura, que merecen un restablecimiento inmediato de la contraseña. También debe actualizar las contraseñas reutilizadas que descubra y asegurarse de que las nuevas contraseñas sean largas, aleatorias y complejas.

  1. Comparta contraseñas solo de forma segura

Al igual que la reutilización de contraseñas, compartirlas con amigos, familiares y compañeros de trabajo es un hábito común. También puede tener consecuencias similares, ya que aumenta su vulnerabilidad si un ciberdelito llega a afectar a estos amigos o familiares. Las prácticas seguras para compartir el ingreso descartan las notas adhesivas, el correo electrónico y los mensajes de texto. Ni siquiera los portales de intercambio en línea son intrínsecamente seguros sin los controles y el cifrado adecuados.  

La herramienta de uso compartido de contraseñas de Dashlane se puede usar para compartir contraseñas y otra información de forma segura. Como los datos están cifrados y las contraseñas se rellenan automáticamente de forma segura, no hay necesidad de seguir utilizando notas en papel o plataformas de comunicación en línea. 

Captura de pantalla del portal de uso compartido seguro de Dashlane en la extensión web.
  1. Activar la autenticación de dos factores (2FA)

A medida que elimine sus contraseñas reutilizadas, la 2FA puede proporcionar una capa de seguridad adicional para proteger las cuentas importantes. La 2FA utiliza una segunda credencial, como un código enviado a través de una aplicación o un mensaje de texto, para verificar su identidad cuando ingresa en la cuenta. Como es improbable que un pirata informático disponga tanto de sus credenciales de acceso como de su dispositivo, las posibilidades de acceso no autorizado son menores y se mitiga el riesgo de reutilización de contraseñas.

  1. Usar VPN en las redes WiFi públicas

Las redes wifi públicas que se encuentran en aeropuertos, cafeterías y centros comerciales pueden estar sujetas a tácticas de pirateo como los ataques de intermediario diseñados para interceptar su información. Una VPN (red privada virtual) protege sus ingresos y cuentas en configuraciones públicas encriptando los datos que entran o salen de su dispositivo y enrutándolos a través de un portal seguro. La VPN también enmascara su dirección IP para poder navegar por Internet de forma privada.

Una VPN le permite navegar, comprar y pagar sus facturas en línea con total privacidad, sin importar en qué parte del mundo se encuentre. Más información sobre la mejor VPN disponible sin costo adicional con muchos planes de Dashlane.

  1. Usar un administrador de contraseñas

Las tácticas de pirateo comunes como el relleno de credenciales y los ataques de fuerza bruta se basan en contraseñas débiles y reutilizadas para cumplir su propósito previsto. Un administrador de contraseñas protege todas sus cuentas importantes encriptando contraseñas e ingresos de cuentas, almacenando su información en una caja fuerte segura y habilitando la 2FA para una capa adicional de seguridad. Las funciones de generación automática de contraseñas y el llenado automático eliminan la necesidad de crear y recordar contraseñas complejas para cada cuenta.

Cómo Dashlane mantiene sus contraseñas protegidas

Dashlane le ayuda a eliminar contraseñas reutilizadas y a aumentar la higiene de su contraseña con funciones y asistencia líderes en el sector. Una contraseña maestra es todo lo que necesita recordar a medida que genera y almacena automáticamente sus ingresos. Las funciones estándar incluyen la 2FA, una puntuación del Análisis de contraseñas que le muestra las contraseñas que debe actualizar para mejorar su seguridad, el cifrado AES-256 y un portal seguro de uso compartido de contraseñas. Una VPN adicional y funciones de monitoreo de la Dark Web garantizan que sus contraseñas, cuentas y dispositivos permanezcan seguros en todo momento.

La comodidad y flexibilidad del lugar de trabajo híbrido se equilibran con los desafíos de ciberseguridad para los empleadores y los equipos de TI. Echamos un vistazo a algunas posibles barreras para mantener una cultura de seguridad en El futuro de la seguridad en el lugar de trabajo híbrido.


Referencias

  1. Dashlane, «7 Password Hygiene Best Practices to Follow» (7 buenas prácticas de higiene de contraseñas), febrero de 2023.
  2. Tech.co, «Study Reveals Average Person Has 100 Passwords», (Un estudio revela que una persona media tiene 100 contraseñas) mayo de 2022.
  3. Dashlane, “The Power of Unpredictable Passwords,” (El poder de las contraseñas impredecibles), agosto de 2020.
  4. LMG Security, «How long should your password be? The data behind a safe password length policy» (¿Qué longitud debe tener su contraseña? Los datos que respaldan una política segura de longitud de contraseñas) enero de 2020.
  5. Dashlane, «Resista los pirateos usando la herramienta del generador de contraseñas de Dashlane», 2023.
  6. Dashlane “La mejor forma de almacenar contraseñas en el hogar o el trabajo”, septiembre de 2022.
  7. Dashlane, «A look at Password Health Scores around the world in 2022», (Un vistazo a las puntuaciones del análisis de contraseñas en todo el mundo en 2022), 2022.
  8. Security Magazine, “450% surge in security breaches containing usernames and passwords,” (Aumento del 450% en las violaciones de seguridad que contienen nombres de usuario y contraseñas), junio de 2021.
  9. Dashlane, “¿Qué es un ataque de fuerza bruta?” Febrero de 2020.
  10. Cybersecurity Magazine, “What is a Hacktivist?” (¿Qué es un «hacktivista?») 2023.
  11. Dashlane, “Why Dashlane Will Never Ask You for Credentials in an Email (Because That’s How Phishing Works),” (¿Por qué Dashlane nunca le pedirá sus credenciales en un correo electrónico? (Porque así es como funciona el phishing)), noviembre de 2021.
  12.  Dashlane, “Understanding your Dashlane Password Health Score,” (Comprendiendo su puntuación del análisis de contraseñas de Dashlane), octubre de 2020.
  13. Dashlane, «How often should you change your password for online?» (¿Con qué frecuencia debería cambiar su contraseña para las cuentas en línea?) enero de 2023.
  14. Dashlane, “Case Study: How VillageReach eliminated hundreds of reused passwords within a global workspace,” (Estudio de caso: cómo Village Reach eliminó cientos de contraseñas reutilizadas dentro de un espacio de trabajo global), febrero de 2022.
  15. Dashlane, «Uso compartido de sus elementos guardados en Dashlane», 2023.
  16. Dashlane, “How Dashlane Makes 2FA Easy,” (Cómo Dashlane facilita la 2FA), junio de 2022.
  17. Dashlane, «¿Por qué necesita una VPN? No se pierda estas tres ventajas clave», agosto de 2020.
  18. Dashlane, «Administrador de contraseñas personales de confianza», 2023.
  19. Dashlane, “SSO Technology Overview & Integration With Dashlane,” (Descripción general de la tecnología SSO e integración con Dashlane), septiembre de 2022.
  20. SimpliLearn, «¿Qué es el cifrado AES y cómo funciona?» febrero de 2023.
  21. Dashlane, “The Future of Security in the Hybrid Workplace,” (El futuro de la seguridad en el lugar de trabajo híbrido), 2023.
  22. Dashlane, «7 Dangers of Sharing Passwords Without a Password Manager» (Siete peligros de compartir contraseñas sin un administrador de contraseñas), marzo de 2023.

Regístrese para recibir noticias y actualizaciones acerca de Dashlane