Las contraseñas más comunes del 2021 son también las más inseguras y los 5 errores más comunes que deberías evitar.

Escribir una contraseña para acceder a una de las decenas de servicios que utilizamos se ha convertido en una parte tan cotidiana de nuestras vidas que rara vez pensamos en ello. A menudo procuramos que nuestras contraseñas sean simples y fáciles de recordar para poder pasar rápidamente por el proceso de iniciar sesión y continuar con lo que importa. Este es uno de los muchos errores que cometemos cuando se trata de algo en lo que confiamos para asegurar una parte de nuestra identidad digital.

Un nuevo estudio sobre las contraseñas más comunes utilizadas en 2021 revela también que los usuarios siguen optando por contraseñas débiles y fáciles de descifrar para los cibercriminales.

La contraseñas son el primer eslabón en la protección de nuestras cuentas. Pero la realidad indica que confiar la seguridad de nuestra información exclusivamente en una contraseña larga y compleja ya no es suficiente. Hoy en día es fundamental activar la autenticación en dos pasos en cada una de las aplicaciones que utilizamos para reducir significativamente las posibilidades de que alguien logre secuestrar nuestras cuentas. Sin embargo, lamentablemente la realidad demuestra que sigue siendo difícil erradicar los malos hábitos a la hora de crear algo tan básico como una contraseña.

En la edición 2021 del reporte que realiza NordPass todos los años acerca de las 200 contraseñas más elegidas por los usuarios, se analizó una base de datos de 4TB con contraseñas de usuarios de 50 países recopiladas en colaboración con investigadores independientes a partir de diferentes brechas. En la siguiente tabla te mostramos cuáles fueron las 20 contraseñas qué mas veces se repitieron a nivel global y se observa claramente la preferencia por utilizar solo números. De hecho, si observamos las 10 más populares veremos que ocho de ellas están conformadas únicamente por números.

Posición 2021ContraseñaNúmero de veces que se detectó la contraseña
11234561003925
2123456789326815
312345154075
4qwerty143513
5password106217
612345678103500
711111185937
812312385158
9123456789062649
10123456754441
11qwerty12351725
1200000049286
131q2w3e45459
14aa1234567842703
15abc12342532
16password140939
17123440244
18qwertyuiop38013
1912332137380
20password12334061

Si repasamos los resultados de la edición 2017, 2018, 2019 y 2020 de este mismo reporte y comparamos cuáles fueron las cinco contraseñas más populares en cada uno de esos años; es decir, las contraseñas que más veces se registraron en filtraciones que sufrieron distintos servicios u organizaciones, podremos notar fácilmente cómo se repiten.

Por ejemplo, 123456 se mantiene entre la primera y la segunda posición desde 2017 a 2021. También se repiten año tras año dentro de las primeras cinco posiciones —aunque en distinto orden— variaciones de esta, como 123456789, 12345678 o password.

Esto demuestra a las claras lo populares que siguen siendo contraseñas extremadamente débiles. Además, si tomamos como referencia solamente las 20 contraseñas más recurrentes, el tiempo para descifrarlas a través ataques de fuerza bruta es en la mayoría de los casos menor a un segundo.

Posición20172018201920202021
112345612345612345123456123456
2passwordpassword123456123456789123456789
312345678123456789123456789picture112345
4qwerty12345678test1passwordqwerty
51234512345password12345678password

El reporte ofrece la posibilidad de filtrar las contraseñas más populares por países, incluyendo datos de algunos países de América Latina, como Brasil, Chile, Colombia o México. Lo interesante es que algunas de las contraseñas únicas de cada país obedecen a un patrón que se repite en el resto, como es el nombre del país o versiones en el idioma local de la misma contraseña.

Pero más allá de las pocas diferencias en las listas con las contraseñas más comunes de cada país, en la mayoría se repiten las mismas del ranking global. De hecho, las dos más populares coinciden en los cuatro países y son también las que lideran el ranking global. Por otro lado, nombres de personas, equipos de fútbol o el nombre del país son comunes en estos países de la región.

PosiciónBrasilChileColombiaMéxico
1123456123456123456123456
2123456789123456789123456789123456789
3Brasil123451234512345
412345Chilechatbookmexico
5102030colocolocolombia123456789
6senha12345678123456781234567
712345678123456712345671234567890
812341234567890passwordhola
910203catalina1234567890america
10123123123412341234

Cambia las contraseñas

Si utilizas una de estas contraseñas para proteger alguna de tus cuentas, te recomendamos que la cambies cuanto antes y te tomes unos minutos para leer las siguientes recomendaciones

 

1. Reutilizar las contraseñas

Uno de los errores más frecuentes es, sin lugar a dudas, la reutilización de contraseñas. El problema a menudo comienza con la creación de la contraseña en sí. La mayoría de las veces las personas se preocupan por crear contraseñas que sean fáciles de recordar, lo que generalmente significa que son cortas y simples, aunque ahora la mayoría de los servicios tienen requisitos para ingresar una contraseña y exigen una longitud mínima y la inclusión de algunos caracteres que le aportan un poco más de complejidad.

Una vez que hayamos memorizado la contraseña y nos registremos en un nuevo servicio, y luego en otro, y otro, no queremos tener que recordar una contraseña para cada uno de estos servicios. Por eso, muchos usuarios deciden reutilizar la contraseña que han logrado guardar en su memoria. Según una encuesta realizada por Google, el 52% reutiliza la misma contraseña en varias de sus cuentas, mientras que un sorprendente 13% usa la misma contraseña para todas sus cuentas. Sustituir letras por números o minúsculas por mayúsculas y viceversa también se considera una reutilización de la contraseña, aunque algunos podrían opinar que es una ligera mejora.

El problema más grave con la reutilización de contraseñas es que los usuarios quedan expuestos a lo que se conoce como credential stuffing. ¿Qué es esto? Se trata de un ataque que busca tomar el control de las cuentas de los usuarios y para ello utiliza bots que intentan iniciar sesión utilizando credenciales de acceso que fueron filtradas en brechas de datos antiguas que sufrieron otros sitios; hasta que logran dar con la combinación correcta de un nuevo sitio en el cual se utilizaron las mismas credenciales de acceso que se filtraron. Por lo tanto, diversificar las contraseñas es lo mejor.

2. Crear contraseñas simples

Como ya hemos mencionado, muchos de los problemas comienzan cuando se crean las contraseñas. Las contraseñas simples suelen ser las más utilizadas. Es posible que haya visto la película “Acusado sin razón” (en España titulada “¡Vaya un fugitivo!”), donde Leslie Nielsen intenta vulnerar una computadora adivinando las credenciales de inicio de sesión, que simplemente resultaron ser Inicio de sesión y Contraseña.

Si crees que en la vida real las personas son más cuidadosas con la elección de sus contraseñas, lamentablemente estarías equivocado. Todos los años se publica una lista de las peores contraseñas que demuestra que cuando se trata de contraseñas, las personas toman decisiones altamente cuestionables, con “12345” y “password” entre las cinco contraseñas más utilizadas.

Además de patrones simples y palabras obvias, un error frecuente que puede estar cometiendo al crear contraseñas es utilizar datos personales como parte de las estas, lo que las convierte en fáciles de adivinar o de encontrar. Seis de cada diez adultos en los Estados Unidos han incorporado un nombre (el de ellos, el de su cónyuge, el de sus hijos o su mascota) o una fecha de cumpleaños a sus contraseñas.

Lo ideal es utilizar como contraseña una frase. El doble factor de autenticación (2FA, por sus siglas en inglés) también debe activarse cuando sea posible, ya que agrega una capa de seguridad adicional contra varios tipos de ataques que intentan revelar credenciales de inicio de sesión.

3. Almacenar las contraseñas en texto plano

Otro error frecuente es escribir nuestras contraseñas. Esto se presenta de dos formas: contraseñas anotadas en papel o notas adhesivas, o guardadas en hojas de cálculo o documentos de texto en nuestra computadora o teléfono. En el primero de los casos: a menos que el actor malicioso desee sumar a sus antecedentes el ingreso por la fuerza a un domicilio, no hay forma de que acceda a las mismas.

Eso no quiere decir que debas escribirlas en un papel o simplemente dejarlas a la vista. En todo caso las anotaciones deberían ser más bien pistas que ayuden a recordarlas, y deberían almacenarse en un lugar protegido de los ojos curiosos. En caso de almacenar las claves en alguno de sus dispositivos, estará expuesto a una serie de desafíos. Si un atacante obtiene acceso a su dispositivo y hurga en él, tendrá acceso, con poco o ningún esfuerzo, a una gran cantidad de datos confidenciales, incluidas las contraseñas almacenadas en texto plano.

Alternativamente, si su dispositivo se ve comprometido por un malware que copia sus datos y los envía a un servidor remoto, un actor malicioso podrá acceder a todas sus cuentas antes de que tenga la oportunidad de darse cuenta. En algunos casos podrá incluso examinar al detalle su dispositivo para ver si pueden encontrar datos explotables en él, incluido el archivo que contiene las contraseñas. Por lo tanto, queda claro que almacenar contraseñas en texto plano en cualquier dispositivo conectado es una mala idea.

4. Compartir contraseñas

Si bien compartir es un acto de generosidad, no se recomienda hacerlo con las contraseñas. Aunque algunos no opinan lo mismo, como el 43% de los participantes de una encuesta en Estados Unidos que admitió haber compartido sus contraseñas con otra persona. Entre ellas contraseñas para servicios de streaming, cuentas de correo electrónico, cuentas de redes sociales e incluso para acceder a cuentas para realizar compras en línea. Más de la mitad de los encuestados dijo haber compartido su contraseña con sus seres queridos. Si bien compartir la contraseña para acceder a una cuenta de un servicio de streaming es un fenómeno generalizado, es menos peligroso que el resto de las opciones mencionadas.

Una vez que comparte su contraseña con otra persona, la seguridad de su cuenta queda endeble, ya que ha perdido su control. No puede estar seguro de cómo la otra persona manipulará la clave y si la compartirá con otra persona. Mucho depende de cómo compartió la contraseña: ¿la escribió en su cuenta y la guardó? ¿O tal vez la envió por correo electrónico o mediante una aplicación de mensajería instantánea en forma de texto sin formato? Si esta última opción fuera el caso, usted está a merced de su discreción y debe esperar que sus dispositivos se mantengan protegidos, ya que en la sección anterior hemos discutido las implicaciones de guardar una contraseña en forma de texto sin formato.

Otra cosa que es importante recordar es que si compartió su contraseña en cualquier plataforma de comunicación que use, las personas con las que la compartió pueden causar estragos en sus relaciones, ya sea de negocios o personales, ya que ahora pueden iniciar sesión con su identidad. Si compartió las credenciales para cualquiera de las plataformas de compra en línea que utiliza y los métodos de pago están guardados, entonces la parte con la que compartió puede usar esta información para realizar una transacción. Incluso si la persona con la que comparte sus credenciales es su cónyuge, no es aconsejable mantener todos los huevos en una misma canasta.

5. Cambiar las contraseñas periódicamente (sin pensarlo demasiado)

Algunas organizaciones obligan a los usuarios a cambiar sus contraseñas cada dos o tres meses “por razones de seguridad”. Pero, contrariamente a la creencia popular, cambiar su contraseña regularmente, sin evidencia de que su contraseña haya sido filtrada en una brecha, no hace que su cuenta sea más segura.

La profesora de ciencias de la computación de Carnegie Mellon, Lorrie Cranor, dice que existen estudios que demuestran que cuando las personas se ven obligadas a cambiar sus contraseñas con frecuencia, no piensan demasiado en ello. Además, investigadores de la Universidad de Carolina del Norte (UNC) descubrieron que los usuarios se inclinarían hacia la creación de contraseñas que siguieran patrones predecibles que denominaron “transformaciones”. El profesor Cranor enumera algunos ejemplos de estas transformaciones: “por ejemplo, incrementar un número, sustituir una letra por un símbolo similar (por ejemplo, cambiar una S por $), agregar o eliminar un carácter especial (por ejemplo, pasar de tres signos de exclamación al final de una contraseña a dos), o cambiar el orden de los dígitos o caracteres especiales (por ejemplo, mover los números al principio en lugar del final)”. Luego añadió que escuchó de casos en los que los usuarios incluían el mes y, en algunas ocasiones, el año del cambio de contraseña como una solución fácil para recordar estos cambios frecuentes.

Esto hace que sea bastante fácil para los atacantes hacer su trabajo, ya que, como los investigadores de UNC demostraron, una vez que los cibercriminales conocen una contraseña pueden adivinar estas transformaciones con poco esfuerzo. También vale la pena señalar que una vez que los ciberdelincuentes obtienen acceso a su dispositivo, pueden instalar un keylogger que les permitirá realizar un seguimiento de sus contraseñas cada vez que las cambie. Por supuesto, si tiene una solución de seguridad instalada en su dispositivo, hay muchas más posibilidades de que el keylogger sea detectado y desactivado.

Conclusión

Crear una contraseña que cumpla con todas las condiciones mencionadas en este artículo puede parecer una tarea desalentadora, pero hay varias formas de hacerlo sin que se convierta en una tarea tan compleja. Como mencionamos anteriormente, crear una frase como contraseña es preferible a una contraseña simple, y agregar una capa adicional de seguridad activando el doble factor de autenticación en cada servicio que esté disponible debería ser la norma. Si le resulta tedioso recordar todas las contraseñas únicas que ha creado, entonces un administrador de contraseñas podría ser la respuesta a sus necesidades: de esa manera, tendrá que recordar solo una contraseña, pero asegúrese de que sea una que siga las pautas que hemos mencionado en esta publicación.

Recuerda que los cibercriminales suelen recurrir a los ataques de fuerza bruta para descubrir las credenciales de accesos para todo tipo de servicios y accesos disponibles desde Internet. Si encima los usuarios cometen el doble error de reutilizar estas mismas contraseñas para acceder a otros servicios, el riesgo es aún mayor. Descifrando un acceso los atacantes puede que tengan la llave para otros servicios.

Con las credenciales en su poder los cibercriminales generalmente intentan venderla en foros de la dark web y son adquiridas por otros actores maliciosos para algún tipo de campaña maliciosa.

welivesecurity.com

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *