5 consejos esenciales para proteger sus contraseñas en línea

Un mensaje de inicio de sesión que solicita un nombre de usuario y una contraseña.



Ha escuchado el consejo, probablemente muchas veces, de que debe crear contraseñas sólidas y únicas para todas sus cuentas en línea. Sin embargo, un número significativo de personas sigue utilizando «12345», «contraseña» y «qwerty» para sus correos electrónicos, inicios de sesión bancarios y cuentas de comercio electrónico.

Hay muchos problemas con este enfoque de la seguridad digital, uno de los cuales es el riesgo de que se acceda a sus datos personales en un ataque de relleno de credenciales. El relleno de credenciales es un tipo de ataque de fuerza bruta en el que los ciberdelincuentes toman la información de inicio de sesión robada en violaciones de datos pasadas y la utilizan para intentar ingresar sistemáticamente a otras cuentas.

  • Cómo crear y recordar contraseñas súper seguras
  • Los mejores administradores de contraseñas para mantener sus inicios de sesión correctos
  • Por qué nunca debería reutilizar una contraseña

Los datos muestran que hay 3,6 millones de ataques de relleno de credenciales cada hora en los EE. UU. Si bien la tasa de éxito es extremadamente baja, el gran volumen de intentos significa que se compromete una gran cantidad de información personal. Además, a diferencia de los ataques tradicionales de fuerza bruta que se basan en conjeturas aleatorias, el relleno de credenciales aprovecha el hecho de que las personas reutilizan contraseñas que ya han sido robadas.

Entonces, ¿qué puede hacer para proteger sus contraseñas?

Utilice contraseñas únicas

Seriamente. Más del 80% de las personas usan una sola contraseña en varios sitios web, pero la reutilización de sus contraseñas lo pone en mayor riesgo de ser víctima del relleno de credenciales. Eso compromete sus datos personales y aumenta la probabilidad de sufrir pérdidas financieras y robo de identidad.

«La naturaleza humana es facilitarnos las cosas», dijo Steve Tcherchian, director de seguridad de la información de la empresa de seguridad de datos de California XYPRO. «No nos gusta que nos molesten. Nos gusta lo rápido, nos gusta lo rápido. Por lo tanto, la mayoría de los usuarios utilizan la misma combinación de nombre de usuario / contraseña o una similar para casi todos los accesos a sitios web».

Otra forma de mezclar sus combinaciones de nombre de usuario y contraseña es usar varias direcciones de correo electrónico en lugar de confiar en el mismo correo electrónico para cada inicio de sesión. Pero no es necesario que configure varias cuentas de correo electrónico para hacer esto.

Gmail y Microsoft Office 365 le permiten usar direcciones de correo electrónico «más» para este propósito. Por lo tanto, John Smith puede registrarse en Amazon con «john.smith+amazon@gmail.com» y registrarse en Facebook con «john.smith+facebook@gmail.com», pero los mensajes enviados a cada dirección llegarán a la bandeja de entrada de john.smith@gmail.com.

Fortalece tus contraseñas

Mientras crea credenciales únicas para cada cuenta, asegúrese de que sus contraseñas no sean fáciles de descifrar. Las contraseñas más seguras son largas y complejas, lo que las hace más difíciles de adivinar. Las contraseñas fáciles de recordar, por el contrario, son extremadamente débiles, incluso si son únicas.

A continuación, se muestran algunas formas de hacer que sus contraseñas sean más seguras:

  • Haga que cada contraseña tenga al menos 15 caracteres.
  • Utilice letras minúsculas y mayúsculas, así como dígitos y signos de puntuación.
  • Evite las palabras reales y cualquier parte de su nombre o dirección de correo electrónico.
  • No use ninguna información que se pueda encontrar en las redes sociales, como su fecha de nacimiento o el nombre de su mascota.

Usa un administrador de contraseñas

Si confía en su propia memoria para realizar un seguimiento de muchos inicios de sesión largos y complejos, por supuesto, es más probable que elija de forma predeterminada algunas contraseñas cortas y simples. Afortunadamente, existe una solución.

Los mejores administradores de contraseñas pueden generar contraseñas sólidas y únicas para nuevas cuentas, recordar sus contraseñas por usted y decirle cuándo está reutilizando credenciales o si su información se vio comprometida en una violación de datos.

Los administradores de contraseñas también se sincronizan en varios dispositivos, como PC, Mac y teléfonos inteligentes. Todo lo que tiene que hacer es recordar la contraseña maestra (o habilitar datos biométricos como Face ID).

Esto es más seguro que hacer que su navegador recuerde contraseñas. Por ejemplo, en una Mac donde Chrome usa su llavero de Apple, un ciberdelincuente podría tener acceso a todo una vez que tenga su contraseña de Gmail.

Habilitar la autenticación multifactor

La autenticación multifactor (MFA) agrega una capa de seguridad al requerir que verifique su identidad con algo además de una contraseña cuando inicia sesión en una cuenta en un nuevo dispositivo o desde una nueva ubicación. Sin esta clave secundaria, un pirata informático no podrá ingresar incluso si tiene su contraseña. Habilite MFA o 2FA siempre que sea una opción.

Como explica Pieter VanIperen, experto en seguridad y fundador de PWV Consultants en Nueva York, estas claves pueden bloquear el relleno de credenciales «porque su contraseña solo los lleva a la puerta de al lado, incluso si la han comprado y no se quedan adivinando».

Los segundos factores comunes de autenticación incluyen contraseñas temporales que se envían a su teléfono a través de un mensaje de texto o una aplicación. Si bien esto puede parecer seguro, y puede ser mejor que nada, no es tan difícil para los delincuentes interceptar SMS o transferir su número de teléfono a su propia tarjeta SIM.

Las mejores opciones incluyen aplicaciones de autenticación (Google Authenticator funciona con la mayoría de los servicios principales) o llaves de seguridad físicas como YubiKey o Google Titan.

Aviso: si recibe notificaciones para autenticar cuentas en las que no está iniciando sesión activamente, es una buena indicación de que alguien más está intentando acceder a su información.

Monitorear las violaciones de datos públicos

Esté atento a las noticias de seguridad para saber cuándo su información puede verse comprometida. Luego ingrese su correo electrónico en https://haveibeenpwned.com/ para averiguar si sus datos han sido expuestos en una violación de datos públicos.

Línea de fondo

Es posible que no pueda evitar las filtraciones de datos y el relleno de credenciales por completo, pero puede minimizar la probabilidad de que los ciberdelincuentes tengan éxito en acceder a sus cuentas.