Según un estudio del Centro Nacional de Ciberseguridad de Reino Unido (NCSC, por sus siglas en inglés) millones de personas intentan proteger sus datos en Internet con contraseñas muy débiles o fáciles de adivinar. De acuerdo al informe, más de 23 millones de personas en el mundo usan la secuencia numérica “123456” como contraseña para “asegurar” sus cuentas privadas. La segunda contraseña más popular es “123456789”, utilizada 7,7 millones de veces. Además, la investigación mostró que miles de usuarios optan por contraseñas con nombres de personajes de ficción, sus equipos de fútbol o los nombres de artistas famosos. Para la investigadora de la empresa de seguridad informática ESET Cecilia Pastorino “muchos usuarios no son conscientes del valor de la información que dan al usar las redes sociales o los diferentes servicios ni de las consecuencias que puede tener para su privacidad”.
El estudio, que concluyó que millones de personas “facilitan el trabajo de los ciberdelincuentes al usar claves débiles o previsibles”, analizó las 100.000 contraseñas más utilizadas a partir de los datos de cuentas (usuario y contraseña) que fueron publicados en la web tras filtraciones globales masivas.
De acuerdo a los datos relevados, el tercer lugar en la lista de las claves más usadas figura “qwerty” (la combinación de las primeras seis letras del teclado, al leerlas de izquierda a derecha), con 3,8 millones, seguida por “password” (contraseña en inglés), 3,6 millones y “1111111” 3,1 millones.
El análisis, que surgió de los datos recopilados por el experto en ciberseguridad Troy Hunt, señala también que los cibernautas usan para acceder a servicios vía web como el homebanking, las cuentas de correo electrónico, redes sociales o plataformas para compras online, los nombres propios, de clubes de fútbol o personajes de ficción. Los más populares: Michael, Daniel, Jessica, Charlie o Ashley, este último empleado por más de 432.000 personas; entre los equipos de fútbol: Liverpool, Chelsea, o Arsenal, por mencionar algunos, fueron elegidos por más de 600.000 mil personas; y entre los personajes de ficción, con cerca de un millón de contraseñas: Superman, Naruto, Pokemon o Batman.
Para Pastorino, hay que relativizar un poco los números, porque la mayoría de los estudios se hacen sobre bases de datos que fueron robadas y publicadas Internet sin poder discernir cuáles pertenecen a personas físicas reales y cuáles fueron cuentas de prueba o para ser usadas una única vez. No obstante, remarcó que “sigue habiendo mucha gente que usa esas contraseñas absolutamente inseguras”.
“El punto de partida es entender qué estamos protegiendo y para qué. La gente no es consciente de que la información que brinda al usar los servicios tiene un valor. No solo en el mercado negro, donde se venden datos de tarjetas de crédito, bases de datos y donde se puede comprar una identidad digital, sino también para empresas que se hacen millonarias con los datos de los usuarios”, detalló Pastorino, y señaló que “cuando el usuario empieza a darse cuenta no solo del peligro que significa para su datos personales sino que su perfil en redes sociales tiene valor también comienza a pensar como gestionar sus contraseñas”.
En ese sentido advirtió que el principal error de los internautas es usar claves muy cortas, con sólo números o letras, o utilizar palabras que se pueden derivar del entorno del usuario a partir del análisis de sus redes sociales. El otro punto clave es no recurrir al segundo factor de autenticación.
Para empezar a hablar de una contraseña mínimamente robusta, Pastorino dijo que la “recomendación básica es que la clave sea algo que uno se pueda acordar para que no termine escrita en cualquier lado. Con 8 caracteres con letras, números y símbolos, y algún complemento como segundo factor de autenticación que puede ser un SMS o tarjeta de coordenadas”. “Es preferible eso a una clave de 20 caracteres que uno no se terminan acordando”, evaluó. Y agregó que “cuando hablamos de autenticación hay tres formas: con lo que uno sabe, la contraseña; segundo, con lo que uno tiene, que puede ser un sms o la tarjeta de coordenadas; y tercero, con lo que uno es, por medio del reconocimiento facial, de voz, huella dactilar, es decir por medio del sistema biométrico. La idea es combinar al menos dos de estos factores”.
Sin embargo, la especialista, quien remarcó que “hoy no alcanza con una contraseña sin ningún otro factor de autenticación”, afirmó que si no se lo va a utilizar, “en ese caso hay que poner una contraseña de 20 a 30 caracteres”. En ese caso, “puede ser con números, letras, símbolos, mayúsculas y minúsculas, o una sucesión de nombres separados por símbolos, los integrantes de una banda musical, alguna frase de una canción. Hay que construir la propia regla mnemotécnica para que sea fácil de recordar y difícil de adivinar”.
La otra recomendación es que, ante la necesidad de usar varias contraseñas, ya que no es seguro utilizar la misma en las diferentes plataformas, hay que recurrir a alguno de los servicios de gestión de claves, como el KeePass, que es un gestor de contraseñas gratuito y de código abierto.