Proteger sus inicios de sesión
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Crear una contraseña segura.
- Explicar las ventajas de los gestores de contraseñas.
- Definir la autenticación de múltiples factores.
Crear contraseñas seguras
Según un estudio en el que un grupo de investigación recopiló contraseñas de filtraciones de datos, se descubrió que los patrones numéricos y el uso de la palabra “hello” (hola) representaban tendencias comunes en las contraseñas utilizadas alrededor del mundo. Es posible que usted piense: “Yo nunca les haría las cosas tan fáciles a los ciberdelincuentes. Uso el nombre de un familiar, mi comida favorita o mi color preferido para que nadie pueda adivinar mi contraseña”. Lamentablemente, esta es una táctica que los atacantes también conocen y, con un poco de investigación en sus redes sociales y su actividad pública en Internet, pueden adivinar su contraseña con facilidad. Si usa una misma contraseña en varias cuentas, incluso pueden buscarla en la Dark Web a partir de una filtración de datos anterior. Entonces, ¿cómo se puede proteger?
-
Cree una contraseña segura. Cuantos más caracteres use, más difícil será que el atacante obtenga su contraseña. Use una contraseña larga (cada sistema tiene sus requisitos técnicos; en general, cuanto más larga es la contraseña, más difícil es adivinarla) y evite palabras comunes, y secuencias de caracteres y repeticiones como 12345 o aaaaaa. También evite usar dentro de la contraseña información que lo identifique personalmente, su nombre de usuario o el servicio al que está accediendo. De esta manera, para el atacante es más difícil comprometer su cuenta. Una forma de crear una contraseña segura es usar una frase, por ejemplo, la letra de una canción o la frase de una película: EnImpactoFulminantede1983ClintdiceAlégrameElDía@!
-
Utilice contraseñas distintas para cada cuenta. Cuanto más distintas sean las contraseñas que cree, más tendrá que esforzarse el atacante para adivinarlas. Si usa la misma contraseña en varias cuentas y le hackean una, todas sus cuentas estarán en peligro.
-
No comparta sus contraseñas. Son solamente suyas, y nadie más que usted debe conocerlas. Además, tenga en cuenta que puede compartirlas sin intención si las guarda en un lugar poco seguro. ¡No las deje escritas en papelitos adhesivos!
-
Cambie los valores establecidos de fábrica para nombres de usuario y contraseñas.
-
Tenga cuidado con la función para guardar la contraseña en el navegador. Aunque sea práctico, guardar las contraseñas en el navegador puede dejarlas expuestas a cualquiera que acceda a su computadora.
-
Cierre las sesiones en computadoras compartidas. Cierre siempre las sesiones en computadoras compartidas o públicas para asegurarse de que la contraseña no quede almacenada y el siguiente usuario no pueda acceder.
-
Considere la posibilidad de desactivar el relleno automático de contraseñas. El relleno automático puede ser práctico, pero supone un riesgo para la seguridad si alguien accede a su dispositivo.
Probablemente se esté preguntando cómo va a crear y recordar todas estas contraseñas tan largas y distintas. Aquí es donde entran en juego los gestores de contraseñas.
No omitir los gestores de contraseñas
Los gestores de contraseñas son herramientas en línea que almacenan y recuerdan contraseñas mientras navega por la Web. Piense que son como una casa donde residen todas sus contraseñas, y que solo usted tiene acceso a la llave maestra.
El gestor de contraseñas se encuentra en el navegador que elija y completa las credenciales de inicio de sesión en todas sus cuentas. Usted solo tiene que recordar una contraseña maestra (muy segura) para el gestor en sí, y este se encarga del resto. Excelente, ¿verdad? Estas herramientas no solo almacenan contraseñas: también lo ayudan a generar nuevas.
Existen muchos gestores de contraseñas. Una vez que elija el adecuado para usted, siga estos pasos para configurarlo.
-
Lea la guía del usuario: destine tiempo a leer la guía del usuario o las preguntas frecuentes del administrador de contraseñas que haya elegido para comprender todas sus funciones y cómo utilizarlas de manera eficaz.
-
Defina sus credenciales —nombres de usuario y contraseñas— para todas sus cuentas. Primero, revise los gestores de contraseñas integrados en sus dispositivos y navegadores. Luego, revise su inbox. Probablemente tenga un nombre de usuario y una contraseña para cada compañía que le envía emails frecuentes.
-
Importe sus credenciales al gestor de contraseñas. Puede hacer esto de distintas maneras. La más sencilla es aprovechar las herramientas de importación automática que incluye su nuevo gestor de contraseñas. También puede ir agregando las contraseñas a medida que inicia sesión en los sitios. Otra opción es siempre ingresar la información de la cuenta manualmente.
-
Actualice sus contraseñas poco seguras. Una vez ingresada toda la información en el gestor de contraseñas, analice sus cuentas en busca de contraseñas poco seguras. Use el generador de contraseñas integrado en la herramienta y comience el proceso de actualizar sus cuentas.
-
Sincronice el gestor de contraseñas en todos los dispositivos. Muchos gestores de contraseñas se sincronizan en los distintos dispositivos, por lo que puede acceder a ellas desde cualquier lugar; incluso, desde su teléfono o tablet.
-
Actualice a diario el administrador de contraseñas. Las actualizaciones de software suelen incluir parches de seguridad. Asegúrese de que el administrador de contraseñas esté configurado para actualizarse automáticamente o recuerde hacerlo de manera manual.
-
Compruebe las extensiones del navegador. Algunos administradores de contraseñas ofrecen extensiones de navegador para facilitar el inicio de sesión y el relleno de formularios. Asegúrese de que solo los instala de fuentes confiables.
Estos pasos ayudan a crear contraseñas únicas y seguras en sus diferentes cuentas. Gracias a su nuevo gestor de contraseñas, no tendrá que recordarlas. No obstante, sus contraseñas pueden seguir en peligro. Veamos, entonces, de qué modo la autenticación de múltiples factores puede protegerlo un poco más.
Cómo dominar la autenticación de múltiples factores
La forma tradicional, y no tan segura, de iniciar sesión en sus cuentas en línea es ingresar un nombre de usuario y esa contraseña conocida que probablemente use para la mayoría de sus cuentas. Usar solo contraseñas, y siempre la misma en distintas cuentas, les facilita la tarea a los atacantes, que hackean varias cuentas adivinando una sola contraseña. Una forma sencilla de proteger sus cuentas es mediante la autenticación de múltiples factores o MFA.
La autenticación de múltiples factores es una mejora de la seguridad que requiere proporcionar dos o más factores de autenticación de diferentes tipos de verificación al iniciar sesión en una cuenta. Sus credenciales se clasifican en alguna de estas tres categorías:
-
Qué sabe. Es la clásica combinación de nombre de usuario y contraseña. Su cerebro sabe algo y, luego, lo vuelca para obtener acceso a su información.
-
Qué tiene. Este método es un poco más complejo. En general, se utiliza un token que genera un número y se le pide que lo ingrese para aprobar una solicitud de inicio de sesión, o bien una tarjeta, como una insignia o una tarjeta de débito.
-
Quién es. Estos son los métodos de autenticación biométrica que son tendencia últimamente. Se utilizan huellas digitales, reconocimiento facial, geometría de la mano, reconocimiento del iris o de la retina, escritura a mano y análisis de voz. También incluye rasgos de comportamiento o mediciones de sus movimientos y conducta. Esta tecnología funciona en segundo plano y vigila constantemente su comportamiento, de modo que cuando intenta iniciar sesión, lo reconocen solo por la forma en que se mueve. Algunos ejemplos son el ritmo de pulsación de las teclas y el uso del mouse.
Si ingresó su tarjeta bancaria en un cajero automático (lo que tiene) y, luego, su número de identificación personal o PIN (lo que sabe), entonces ya utilizó la autenticación de múltiples factores. Otro ejemplo es cuando inicia sesión en un sitio web que le envía un código numérico a su teléfono para que lo ingrese y, así, poder acceder a su cuenta. Si un proveedor tiene una opción de MFA, será un método más seguro que el uso de una contraseña solamente. Cuando sea posible, la mejor opción será usar un token físico, como una YubiKey, o una contraseña simultánea basada en tiempo (TOTP), ya que son los métodos más difíciles de comprometer para el atacante si no puede robar el dispositivo. Si esta opción no está disponible, seguirá siendo mejor utilizar un SMS o email como segundo factor, en lugar de solo un nombre de usuario y una contraseña.
En rigor, no importa qué tan segura sea una contraseña: siempre es posible que sea vulnerada. Basta con que hackeen una de sus cuentas, y su información más importante podría quedar expuesta a los ciberdelincuentes. Un aspecto fundamental: habilite la MFA para priorizar continuamente la protección de todas sus cuentas que tienen muchos privilegios, acceso remoto y activos importantes. De este modo, se asegurará de que usted sea la única persona con acceso a su cuenta para usar el email, la banca en línea, las redes sociales y otros servicios que requieren iniciar sesión. Para obtener más información sobre la autenticación de múltiples factores, consulte este sitio.
Comprobación de conocimientos
¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para comenzar, arrastre la función en la columna izquierda y suéltela debajo de la categoría coincidente a la derecha. Cuando finalice la comparación de todos los elementos, haga clic en Enviar para comprobar su trabajo. Si desea empezar desde el principio, haga clic en Restablecer.
¡Bien hecho!
En la siguiente unidad, veremos más formas de mantener a resguardo su vida digital; específicamente, sus dispositivos.
Recursos
-
PDF: Verizon: Reporte de investigación sobre la filtración de datos de 2023 (registro obligatorio)
-
Sitio externo: Fortinet: Autenticación de múltiples factores (MFA)
-
Sitio externo: Cyber News: ¿Es seguro usar administradores de contraseñas en 2023?
-
Sitio externo: Instituto Nacional de Estándares y Tecnología de EE. UU: Volver a lo básico: Implementar la autenticación de múltiples factores (MFA)
-
Sitio externo: Publicación especial del NIST 800-63B: Directrices para la identidad digital
-
Sitio externo: Expert Insights: El futuro de la autenticación de usuarios: Guía sobre la biometría del comportamiento