Día mundial de las contraseñas 2017 (4 de mayo)
Desde hace varios años, el primer jueves de mayo se celebra el día mundial de las contraseñas, por lo que, aprovechando esta fecha, queremos volver a recordar la importancia de crear y mantener las contraseñas a salvo.
Vivimos en la era digital. Todos nuestros dispositivos pueden interconectarse entre sí y todos tenemos parte de nuestra información personal y confidencial en ellos o en servicios de Internet, aunque, hay algunos casos en los que esa información es mucha y totalmente confidencial. Disponer de contraseñas seguras y robustas es fundamental, más si manejamos datos personales de otros.
PROBLEMAS MÁS HABITUALES A LA HORA DE GESTIONAR CONTRASEÑAS
Cuando adaptamos a empresas al cumplimiento normativo en materia de protección de datos, nos encontremos con situaciones “tipo” que se repiten en muchas de ellas, sobre todo, a la hora de implantar la obligatoriedad de los cambios de contraseñas ya que, en muchos casos, por el miedo que tiene el usuario a perderlas o bien por la comodidad de no tener que recordarlas, nos encontramos con:
· Contraseñas débiles (“yo123”, “asdfg”, “ admin”, “12345678”), nombre del usuario, fechas.
· Contraseñas anotadas en pegatinas o post-it al alcance de cualquiera.
· La misma contraseña para varios usuarios del mismo departamento.
· La misma contraseña para varios usuarios que comparten un mismo ordenador.
· Número de móvil como contraseña.
También existe otro problema muy extendido: la contraseña con la que se accede al ordenador del puesto de trabajo, es la misma que para el resto de los dispositivos y servicios que se utilicen como móviles, tablets o portátiles, la cuenta de correo electrónico de la empresa, para acceso a la banca electrónica, servicios online o, en algún caso, para la firma electrónica.
Por último, hay usuarios que utilizan las mismas contraseñas en su vida laboral y en su vida privada, comprometiendo, ya no sólo su información personal (correos, alojamiento de fotos, perfiles en redes sociales, etc.), sino la de la entidad para la que trabajan.
CÓMO DEBEMOS ACTUAR
Repetimos a continuación las normas básicas que todos debemos respetar para que las contraseñas cumplan con su función de “abrirnos la puerta” para acceder a información y servicios que necesitamos pero que, a la vez, esa puerta sólo esté abierta para nosotros, resumidas en la siguiente infografía.
1.- Cambia tus contraseñas
Ya sabemos que cuesta, que cuando ya nos hemos aprendido una contraseña, hemos de cambiarla. Pero es que, además de que el cambio es obligatorio por ley (art. 93 del Reglamento de desarrollo de la LOPD, RLOPD 1720/2007) y no puede ser superior a 1 año, en los casos en que se traten datos especialmente protegidos, es aconsejable cambiarla con una periodicidad menor. Nosotros aconsejamos el cambio cada 6 meses.
Si hay dudas, en primer lugar hay que consultar con el Responsable de seguridad de la entidad y siempre se tienen que cambiar de forma inmediata si se sospecha que la contraseña puede haber sido descubierta.
A nivel personal: cambia las contraseñas cuando lo creas necesario, aunque tampoco está demás que las modifiques cada cierto tiempo y te acostumbres a hacerlo.
2.- Crea contraseñas robustas
De nada sirve que las cambies a menudo si no creas una contraseña robusta. Como mínimo, que tenga 8 caracteres y que contenga de todo: mayúsculas, minúsculas, números y caracteres especiales.
Si, ya sabemos que hay servicios y sitios web que no permiten introducir contraseñas de más de 6 dígitos (incluso menos) y que tampoco permiten utilizar caracteres que no sean letras o números y hablamos de bancos o compañías de electricidad o telefonía. Está claro que, si queremos acceder a estos servicios no nos queda más remedio que aceptar sus normas y ellos son responsables de proteger los accesos, pero, en el resto, crear una contraseña robusta es fundamental.
Algún usuario nos ha comentado que es imposible recordar una contraseña de 14 dígitos pero, imposible, no es. Sólo hay que saber construirla. En nuestras adaptaciones hemos incluido un pequeño programa generador de contraseñas con hasta 14 caracteres con diferentes patrones y que incluyen los caracteres mínimos.
Pero, si te cuesta acordarte de “1Lh8/01m”, haz tu mismo tu contraseña segura. Comienza por generar las cortas, las de 8 caracteres. Para ello busca una palabra o dos que sumen 8 letras. Vamos a utilizar la palabra AGUJEROS:
1. Sustituye letras por números que se “parezcan”: la “G” por un “6”, la “O” por un “0” y la “S” por un “5”. De momento nos queda: A6UJER05.
2. Ahora cambiamos la “J” por un carácter especial (“/”) y la “E” por un “3”: A6U/3R05.
3. Nos quedan por cambiar vocales para lo que dejamos alguna en mayúsculas y otras en minúscula. Contraseña final: a6U/3R05
Aunque te resulte difícil de creer, vas a recordar la forma en que llegaste a la contraseña partiendo de tu palabra inicial sin ningún tipo de dificultad. Te animamos a que lo pruebes con una de 14. Construye primero una frase hasta que, sin espacios, tengas los 14 caracteres y ve haciendo el mismo proceso. Por supuesto, siempre puedes construirlas con ayuda de programas pero luego tienes que acordarte de ella. Si esto te supone un problema, echa un vistazo al punto 9.
Todas las posibilidades que se te ocurran son factibles: añadir números delante o detrás, partir de una palabra sin consonantes para insertar números o caracteres especiales, utilizar “patrones de teclado” (memorizar movimientos en el teclado como si “pintaras una letra T”, por ejemplo), unir dos palabras en una intercalando letras de las dos, etc. Si te resulta difícil, puedes ver más ejemplos en Internet.
3.- No utilices la misma contraseña en distintos dispositivos o servicios
Si lo haces quedas expuesto a que, si se descubre tu contraseña, otra persona acceda a todos tus dispositivos , entre en todos tus perfiles en redes sociales, a tu banca electrónica, a tus cuentas de correo electrónico, a las fotos que almacenas en algunos servicios … ¿Te das cuenta del problema?. Pero es que, si además utilizas esta contraseña común tanto en tu vida privada como en tu vida laboral, estarás “abriendo la puerta” no sólo a exponer tu intimidad, que ya es grave, sino a que información confidencial de tu empresa quede al descubierto.
De forma inmediata, genera nuevas contraseñas y elimina las que has venido utilizando.
4.- No utilices contraseñas previsibles
Por miedo a no recordar una determinada contraseña, a veces se recurre a utilizar algunas que, por ser tan obvias, ni son seguras ni permiten proteger la información, como por ejemplo:
· Palabras muy sencillas: “ontraseña”, “password”, “miequipo”, “contabilidad”
· Nombres y apellidos, nombre y año de nacimiento (“juanlopez”, “luis1992”, “21/03/1991”). Piensa que tu fecha de nacimiento puede ser conocida por tus compañeros pero también por otras personas.
· Nombre de mascota, cuando en tu mesa hay una foto de “Toby” con su nombre en colores o tienes más fotos de él que tuyas en Facebook.
· Fecha de nacimiento de un hijo, cuando todo el mundo recuerda el día que te presentante diciendo “soy papá (o mamá)” o has publicado en Twitter las fotos del feliz acontecimiento.
· Nombre de tus hijos, cónyuge …
Construye contraseñas robustas y elimina todas las que tengas que se parezcan a lo que te acabamos de contar.
5.- No compartas con nadie tus contraseñas.
En primer lugar porque resulta obvio: dejaría de cumplir su función ya que no sería secreta. Si, además la compartes con la persona equivocada, podría ser que ésta utilizara tus credenciales para cometer cualquier delito del que serías responsable y por el que tendrás que responder y demostrar que no tuviste nada que ver. Pero, si se la has facilitado tú, ¿cómo demuestras lo contrario?.
La suplantación de identidad es un problema gravísimo para la persona que lo sufre y no solo por la pérdida de tus derechos y la exposición pública de tu intimidad, sino por el coste personal que puede suponerte.
Todos hemos oído hablar de los fraudes que nos llegan a través del correo electrónico para robarnos las credenciales de acceso al banco, propagación de software malicioso para robarte las contraseñas de acceso a servicios. El problema es que, en muchos casos, se hace de forma inocente para que otro haga un determinado trabajo, presente un informe, etc.
Si, por el motivo que sea se comparte la contraseña, inmediatamente cambiadla.
6.- No anotes tus contraseñas en pegatinas y post-it
Tanto en empresas privadas como públicas, en oficinas, centros comerciales o centros asistenciales, ¿quién no ha visto en un monitor una pegatina o un post-it con una contraseña? También suelen estar en las esquinas superiores del teclado, en las bandejas de documentos, en cajoneras sin cerrar…
Esta práctica es de las más extendidas. Incluso hemos llegado a ver varios post-it encadenados con varias contraseñas diferentes en un lateral de una bandeja con bolígrafos o en cajoneras sin llave. También hemos visto pequeñas libretas en las que están todas las contraseñas que utiliza el usuario, muy ordenadas eso sí, pero a la vista de todos.
Por último: la moda de sacar la foto a la contraseña de la Wifi o el acceso al correo, dejando luego el móvil sin protección y a disposición del todo el que lo quiera ver. Anula todas estas prácticas y cambia todas las contraseñas que hayan quedado expuestas.
7.- Controla las preguntas de seguridad
En muchos servicios, se nos permite asegurar nuestras contraseñas por medio de una pregunta de seguridad que, salvo que se conteste con la respuesta correcta, no habrá forma de acceder si no se conoce. Pero ¿de qué sirve que exista si dejamos anotada también, además de la contraseña, la respuesta a la pregunta de seguridad?
Este sistema es muy interesante pero deja de ser útil si dejamos la información al alcance de cualquiera o utilizamos, por miedo a no recordarla, la misma pregunta de seguridad en varios servicios ya que habremos vuelto a dejar expuesta nuestra contraseña.
Procura, además, utilizar preguntas de seguridad que no resulten obvias o que permitan ser “adivinadas” por su simplicidad.
8.- Servicios técnicos, mantenimiento de equipos o de programas
En algunas ocasiones es necesario que el ordenador en el que trabajamos sea llevado al servicio técnico. En otras, el técnico o el programador llegan a la oficina para solucionar problemas de hardware o de software.
En algunos casos, cuando no puede arrancarse el equipo ni puede abrirse otra sesión, no queda más remedio que facilitar la contraseña al técnico para que pueda acceder al equipo y reparar el problema. En estos casos, y si la empresa ha cumplido sus obligaciones y tiene firmado un contrato como encargado del tratamiento con estas empresas, existe el compromiso de que no accederán a ningún tipo de información personal y son responsables de que ningún tipo de información confidencial salga de sus establecimientos.
De todas formas, en el momento en que el equipo o el programa estén de nuevo en funcionamiento, se deben cambiar de forma inmediata las contraseñas.
También hay casos (una enfermedad repentina, accidente, etc.) en los que puedes tener que comunicar tu contraseña a un compañero a fin de no paralizar la marcha de la empresa. En cuanto te sea posible, cámbiala o solicita al responsable de seguridad de tu empresa que la cambie hasta que te reincorpores, aunque, si la empresa está adaptada al cumplimiento en protección de datos, ya se habrá establecido una gestión ágil de contraseñas y todos estos “imprevistos” ya se habrán tenido en cuenta.
9.- Utiliza un gestor de contraseñas
Si tu problema es que te resulta imposible la gestión de las contraseñas que manejas, utiliza un “gestor de contraseñas”.
Estos programas nos permiten almacenar datos de acceso de múltiples dispositivos y sitios (usuario y contraseña), cifrando el contenido de forma que sólo puede accederse a la base de datos por medio de una contraseña única (clave maestra), por lo que tan solo tendrías que memorizar ésta para tener todas las demás bajo control. La mayor parte de estos programas, te permiten generar en el momento tus propias contraseñas por lo que puedes dejar todo resuelto en muy poco tiempo.
Entra en la web de la OSI (Oficina de seguridad del internauta) y busca en el apartado “Cómo protegerte”, “Herramientas gratuitas”, “Cifrado y gestión de contraseñas”. Tienes varias utilidades que te ayudarán con la tarea.
10.- No abuses de las contraseñas guardadas en el navegador.
Resulta muy cómodo que nuestras contraseñas estén guardadas en nuestro navegador pues se han actualizado, con nuestro permiso, la primera vez que se accede a un servicio determinado.
Esto resulta muy útil para los “olvidadizos” o para los que manejan tantas contraseñas que resulte imposible recordarlas todas pero, claro, si el mismo navegador lo utilizan varios usuarios, se lo pondríamos demasiado fácil a quien quiera perjudicarnos.
También hay que pensar que hay software malicioso que podría acceder a ellas, por lo que, si compartes dispositivos con otras personas, mejor no utilices la opción “actualizar contraseña para este sitio”.