Cómo elegir clave y mantenerla a salvo

- Escoger claves de más de 10 caracteres.

Es recomendable usar mayúsculas, minúsculas, algún número y algún símbolo (como $,_/#). Cuando se quiere forzar el acceso de un usuario, un método muy común es el ataque por fuerza bruta, es decir, probar todas las claves de usuario posibles. Cuando más cortos y sencillos sean los passwords, más rápido tendrán éxito estos ataques. Sin embargo, el tamaño no lo es todo.

- Usar claves que no puedan deducirse por el hecho de conocer a la persona.

Las claves como el número de teléfono, el nombre, la fecha de nacimiento o la ciudad donde se vive son muy fácilmente deducibles, por largas que puedan ser. Por supuesto, nunca hay que usar el mismo nombre de usuario como clave.

- Evitar el uso de palabras fáciles de encontrar en los diccionarios.

Una forma de acelerar el éxito de los ataques por fuerza bruta es usar diccionarios con palabras de uso frecuente: el mismo Diccionario de la Lengua Española, nombres de películas, actores, artistas, canciones, deportistas, etc.

- No usar palabras visibles en la página de login como clave de acceso.

Es común rastrear las páginas de acceso en busca de palabras que puedan ser usadas como claves para añadirlas a un diccionario que acelere la búsqueda.

- Evitar cualquier combinación de los datos anteriores.

Es una práctica común la combinación de datos anteriores para generar diccionarios que aceleren la búsqueda. Aunque añada a su clave un valor que le parezca impredecible, como el año en que se dio de alta, por increíble que parezca, derivar una clave basada en este tipo de datos es muy rápido con la preparación adecuada. “Luis2011Enrique”, a pesar de la longitud, no es una buena clave.

- Usar claves diferentes para diferentes servicios.

Evite usar la misma clave para diferentes servicios. Si alguien consigue robar su clave de acceso para un servicio, inmediatamente tendrá acceso a todos los demás que compartan clave.

- No facilitar claves a nadie.

Las claves son personales e intransferibles. El banco nunca le llamará por teléfono para que le facilite su clave. Con el aumento de ataques de phising (robo de credenciales mediante e-mail que suplantan al prestador de servicios), ningún prestador le pedirá tampoco su clave por e-mail.

- No apuntar las contraseñas en papeles ni post-it.

Da igual lo buena que sea la clave que eligió, si luego se puede leer junto a su ordenador.

- Mucho cuidado con la pregunta secreta para recuperar claves.

Muchos servicios le ofrecen una pregunta secreta para recuperar su clave en caso de olvido. Suelen ser preguntas de tipo personal, que podría contestar con éxito cualquiera que le conozca o le investigue en las redes sociales. Escoja siempre una respuesta que no tenga nada que ver con la pregunta, siguiendo los consejos anteriores para la elección de clave.

- Analizar con antivirus periódicamente el ordenador.

Aunque están lejos de ser perfectos, es mejor tener antivirus y usarlos. Existen virus para Windows, Linux y Apple, aunque haya oído lo contrario. Analice el ordenador con su antivirus semanalmente y, al menos una vez al mes, haga un análisis con algún otro antivirus on-line de otro fabricante. Hay excelentes productos on-line y gratuitos para uso personal. Más información: http://cert.inteco.es/software/Proteccion/utiles_gratuitos/.

- No ejecutar programas y contenidos de orígenes dudosos.

Cualquier programa no original que alguien le haya dejado, o que haya descargado de Internet podría contener software espía. Ocurre cada vez con más frecuencia.  

- Mantener el ordenador actualizado.

La película o las canciones que descargó podrían explotar fallos de seguridad de programas no actualizados y ganar acceso a su ordenador. Muchos ataques de Internet tienen éxito gracias a programas no actualizados.

Consejos de Luis E. Corredera de Colsa, ingeniero en
Informática y Socio fundador-CTO de FLAG Solutions S.L.