Las llaves del reino: proteger sus dispositivos y cuentas

¿Qué es la autenticación y por qué debería importarle?

A menudo, cuando necesita acceder a algo, un dispositivo, una cuenta o incluso un lugar, debe tener una manera de demostrar que es quien dice ser, o al menos que se le permite acceder a esa cosa. Este es un proceso que llamamos «autenticación».

Un ejemplo básico es tu hogar. Cuando quieras entrar en tu casa probablemente tengas que usar algún tipo de llave para abrir la puerta. Esa clave física te permite entrar. Este es un método muy básico de autenticación, y sufre de un gran problema: si alguien encuentra o roba su llave, puede entrar en su casa.

Otro ejemplo común de autenticación es el cajero automático de su banco. Este es un ejemplo un poco más avanzado porque en lugar de solo tener una clave física (generalmente una tarjeta de plástico en su billetera) también debe tener un hecho recordado: su PIN, que generalmente es un número de 4-8 dígitos.

Este es un sistema más seguro porque incluso si alguien tiene su clave física, la tarjeta, no puede sacar su dinero del cajero automático porque aún necesita conocer su PIN. Si todo lo que tienen es su PIN, todavía no pueden obtener su efectivo de la máquina porque también necesitan la tarjeta. Tienen que tener ambas cosas.

Una imagen de una familia entrando en una casa.

En una computadora, el tipo de autenticación con la que todos estamos familiarizados es iniciar sesión con un nombre de usuario y una contraseña. En estos días, nuestros dispositivos contienen tantos de nuestros datos importantes que es fundamental que nuestra autenticación se realice bien. Si los delincuentes pueden iniciar sesión en sus dispositivos o servicios como usted, pueden hacer muchas cosas malas.

Entonces, veamos cómo puede asegurarlos fácilmente.

Primer paso: Activa la autenticación en tus dispositivos móviles.

La mayoría de los teléfonos inteligentes modernos pueden desbloquearse rápidamente con una huella digital o reconocimiento facial, pero incluso los que no admiten esos métodos se pueden configurar para que requieran que se desbloquee un PIN. Enciéndelo.

Sí, requiere un paso adicional para desbloquear su teléfono cuando desee usarlo, pero agregar ese pequeño paso hace que su dispositivo sea mucho más seguro. Si pierde o le roban su teléfono, es mucho menos probable que pueda acceder a sus datos confidenciales. Esto es especialmente importante si usa su dispositivo para el trabajo o la banca.

Autenticación multifactor (también conocida como «verificación en 2 pasos»)

Cuando se presenta en su casa e inserta su llave para abrir la puerta, esa llave es lo que llamamos un «factor». Esa puerta cerrada básica es la autenticación de un solo factor. Todo lo que necesitas es esa llave física.

Hay tres tipos básicos de factores utilizados en la autenticación:

  • Algo que sabes, como una contraseña o un PIN recordado.
  • Algo que tienes, como un teléfono inteligente o una llave física de algún tipo.
  • Algo que eres, como tu huella digital o tu cara, que el dispositivo puede escanear para reconocerte.

La autenticación multifactor significa que necesita más de un tipo de factor para entrar. El cajero automático del que hablamos es la autenticación de dos factores: su tarjeta de cajero automático de plástico es un factor, y ese PIN recordado es el segundo factor.

Casi todos los servicios en línea ahora le permiten usar la autenticación multifactor para iniciar sesión también. El primer factor suele ser su nombre de usuario y contraseña. El segundo factor suele ser un código especial de un solo uso enviado a su teléfono inteligente a través de un mensaje de texto. Cualquiera que intente iniciar sesión en su cuenta necesitaría su nombre de usuario y contraseña, pero también tendría que poder recibir ese mensaje de texto especial. Eso hace que sea mucho más difícil para los ladrones entrar.

Otra opción para ese segundo factor puede ser una aplicación de autenticación en su teléfono inteligente, como el Microsoft Authenticator gratuito. La aplicación de autenticación tiene algunas formas diferentes de funcionar, pero la más común es similar al método de mensaje de texto. El autenticador genera el código especial de un solo uso en su teléfono para que lo ingrese. Esto es más rápido y más seguro que un mensaje de texto porque un atacante determinado puede interceptar sus mensajes de texto; pero no pueden interceptar un código generado localmente.

The Microsoft Authenticator app showing several accounts.

En cualquier caso, el código especial cambia cada vez y expira después de un período de tiempo muy corto. Incluso si un atacante descubriera con qué código inició sesión ayer, no le servirá de nada hoy.

¿No es una molestia?

Un concepto erróneo común sobre la autenticación multifactor, o verificación en dos pasos, es que requiere más trabajo para iniciar sesión. En la mayoría de los casos, sin embargo, el segundo factor solo se requiere la primera vez que inicia sesión en una nueva aplicación o dispositivo, o después de haber cambiado su contraseña. Después de eso, el servicio reconoce que está iniciando sesión con su factor principal (nombre de usuario y contraseña) en una aplicación y dispositivo que ha usado antes, y le permite entrar sin requerir el factor adicional.

Sin embargo, si un atacante intenta iniciar sesión en tu cuenta, es probable que no esté usando tu aplicación o dispositivo. Lo más probable es que estén tratando de iniciar sesión desde su dispositivo, en algún lugar lejano, y luego el servicio PEDIRÁ el segundo factor de autenticación, ¡que es casi seguro que no tienen!

Siguiente paso: ¡Activa la autenticación multifactor en cualquier lugar que puedas!

Habilite la autenticación multifactor en su banco, sus cuentas de redes sociales, compras en línea y cualquier otro servicio que lo admita. Algunos servicios pueden llamarlo «verificación de dos pasos» o «inicio de sesión de 2 pasos», pero es básicamente lo mismo.

Por lo general, lo encontrará en la configuración de seguridad de su cuenta.

Los ataques de compromiso de contraseñas son responsables de la mayoría de los hackeos de cuentas exitosos que vemos, y la autenticación multifactor puede derrotarlos a casi todos.

Para obtener más información, consulte Qué es: Autenticación multifactor.

Saluda a Windows Hello

Windows Hello es una forma más segura de iniciar sesión en sus dispositivos Windows 10 o Windows 11. Le ayuda a alejarse del antiguo método de contraseña mediante el uso de reconocimiento facial, una huella digital o un PIN recordado en su lugar.

Nota: Para usar Hello Face, su dispositivo debe tener una cámara compatible con Hello y para usar Hello Fingerprint, su dispositivo debe tener un lector de huellas dactilares compatible con Hello. Si no tiene ninguna de esas cosas, hay cámaras compatibles y lectores de huellas dactilares que puede comprar, o simplemente puede usar Hello PIN.

Hello Face o Hello Fingerprint son tan rápidos y simples como el reconocimiento facial o el lector de huellas dactilares que puede usar en su teléfono inteligente. Cuando llegue al mensaje de inicio de sesión de Windows en lugar de que se le pida que ingrese su contraseña, solo tiene que mirar su cámara o colocar el dedo en el lector de huellas dactilares. Tan pronto como te reconoce, estás dentro. Por lo general, es casi inmediato.

Hello PIN funciona de la misma manera que la mayoría de los sistemas de entrada de PIN. Cuando vayas a iniciar sesión Windows te pedirá tu PIN e iniciará sesión. Lo que hace que Hello PIN sea especial es que cuando lo configuras, asocia el PIN al dispositivo con el que estás iniciando sesión. Eso significa que, al igual que otras formas de autenticación multifactor, si un atacante obtuviera su PIN, solo funcionaría en su dispositivo. No pueden usarlo para iniciar sesión en sus cuentas desde ningún otro dispositivo.

Siguiente paso: Activar Windows Hello

En tus dispositivos Windows 10 o Windows 11, ve a Configuración > Cuentas opciones de inicio de sesión. Allí puede ver qué tipos de Windows Hello puede admitir su dispositivo y configurarlo fácilmente.

Elegir mejores contraseñas

Las únicas personas a las que les gustan las contraseñas son los atacantes. Los buenos pueden ser difíciles de recordar, y las personas tienden a reutilizar las mismas contraseñas una y otra vez. Además, algunas contraseñas son bastante comunes en un gran grupo de personas: «123456» no solo es una contraseña incorrecta, sino que también es una de las más utilizadas. Y no estás engañando a nadie si «iloveyou» es tu contraseña, esa fue la 8ª contraseña más común en 2019.

Con suerte, ha activado la autenticación multifactor y Windows Hello, por lo que ahora no depende tanto de las contraseñas. Pero para aquellos servicios donde una contraseña sigue siendo necesaria, elijamos una buena.

¿Qué hace que una contraseña sea buena?

Para elegir una buena contraseña, es útil conocer un par de las formas en que los atacantes intentan adivinar las contraseñas con mayor frecuencia:

  • Ataques de diccionario: muchas personas usan palabras comunes como «dragón» o «princesa» como contraseña, por lo que los atacantes simplemente probarán todas las palabras de un diccionario. Una variación es probar todas las contraseñas comunes como «123456», «qwerty» y «123qwe».
  • Fuerza bruta: los atacantes pueden probar todas las combinaciones posibles de personajes hasta que encuentren la que funcione. Naturalmente, cada carácter agregado agrega exponencialmente más tiempo, por lo que con la tecnología actual no es práctico para la mayoría de los atacantes probar contraseñas de más de 10 u 11 caracteres. Nuestros datos muestran que muy pocos atacantes intentan contraseñas de fuerza bruta de más de 11 caracteres.

En cualquier caso, el atacante no los está escribiendo a mano, sino que su sistema prueba automáticamente miles de combinaciones por segundo.

Dados ese tipo de ataques sabemos que la longitud es más importante que la complejidad y que nuestra contraseña no debe ser una palabra en inglés. Ni siquiera «cariñosamente», que tiene 14 caracteres. Lo ideal es que nuestra contraseña tenga al menos 12-14 caracteres, con letras mayúsculas y minúsculas, y al menos un número o símbolo.

Siguiente paso: Vamos a crear una buena contraseña

Aquí hay un consejo para crear una contraseña que tenga longitud, complejidad y no sea demasiado difícil de recordar. Elija una cita favorita de una película, una línea de un libro o una letra de una canción y tome la primera letra de cada palabra. Sustituya los números y símbolos cuando sea apropiado para cumplir con los requisitos de contraseña.

Tal vez seas un fanático del béisbol. Las dos primeras líneas de la canción clásica de béisbol «Take me out to the ballgame» son:

Llévame al juego de pelota,

Llévame con la multitud

Tome la primera letra de cada palabra, con una sustitución obvia:

Tmo2tb, Tmowtc

Eso es 13 caracteres de largo, caso mixto, con números y símbolos. Parece bastante aleatorio y sería difícil de adivinar. Puedes hacer lo mismo con cualquier cita, letra o línea si es lo suficientemente larga. Solo tienes que recordar qué cita o letra usaste para esa cuenta y decirte a ti mismo en tu cabeza mientras escribes.

Consejos:

  • Si el sistema en el que está iniciando sesión admite espacios en las contraseñas, debe usarlos.
  • Considere la posibilidad de usar una aplicación de administrador de contraseñas. Un buen administrador de contraseñas puede generar contraseñas largas y aleatorias para usted y recordarlas también. Entonces solo necesita una buena contraseña, o mejor aún, una huella digital o reconocimiento facial, para iniciar sesión en su administrador de contraseñas y el administrador de contraseñas puede hacer el resto. Microsoft Edge puede crear y recordar contraseñas seguras y únicas para usted.

Ahora que tienes una buena contraseña

Hay un par de otros tipos de ataques de contraseña a tener en cuenta:

  • Credenciales reutilizadas: si usa el mismo nombre de usuario y contraseña en su banco y en TailwindToys.com y Tailwind se ve comprometido, esos atacantes tomarán todas las combinaciones de nombre de usuario y contraseña que obtuvieron de Tailwind y las probarán en todos los sitios bancarios y de tarjetas de crédito.Propina: Únase a Cameron mientras aprende los peligros de reutilizar contraseñas en esta breve historia – Cameron aprende sobre la reutilización de contraseñas
  • Phishing: los atacantes pueden intentar llamarlo o enviarle un mensaje, fingiendo ser del sitio o servicio, e intentar engañarlo para que «confirme su contraseña».

No reutilice las contraseñas en varios sitios y tenga mucho cuidado con cualquier persona que se comunique con usted (incluso si parece ser una persona u organización en la que confía) y quiera que les brinde información personal o de cuenta, haga clic en un enlace o abra un archivo adjunto que no esperaba.

¿Es malo escribir tus contraseñas?No necesariamente, siempre y cuando mantenga ese papel en un lugar seguro. Puede ser una mejor idea escribir un recordatorio para su contraseña, en lugar de la contraseña en sí, en caso de que el papel caiga en las manos equivocadas. Por ejemplo, si estuvieras usando el ejemplo «Llévame al juego de pelota» que dimos anteriormente, podrías escribir el nombre de tu equipo de béisbol favorito como un recordatorio de lo que usaste para la contraseña.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.