Las claves del reino: seguridad de tus dispositivos y cuentas
Vamos a hablar sobre cómo puedes proteger mejor tus dispositivos y cuentas en línea.
¿Qué es la autenticación y por qué debería preocuparse?
A menudo, cuando necesitas acceder a algo (un dispositivo, una cuenta o incluso un lugar), tienes que tener una forma de demostrar que eres quien dices ser o, al menos, que tienes permiso para acceder a esa cosa. Este es un proceso que llamamos "autenticación".
Un ejemplo básico es su casa. Cuando desee entrar a su casa, probablemente tenga que usar algún tipo de llave para desbloquear la puerta. Esa clave física te permite entrar. Este es un método de autenticación muy básico, y sufre de un gran problema: si alguien encuentra o roba su clave, puede entrar en su casa.
Otro ejemplo común de autenticación es el cajero automático de su banco. Este es un ejemplo un poco más avanzado porque en lugar de tener solo una clave física (normalmente una tarjeta de plástico en su cartera) también tiene que tener un hecho recordado: su PIN, que generalmente es un número de 4-8 dígitos.
Este es un sistema más seguro porque incluso si alguien tiene su clave física (la tarjeta), no puede tomar su dinero de la máquina de efectivo porque todavía necesita saber su PIN. Si lo único que tienen es el PIN, no podrán obtener el dinero del equipo porque también necesitarán la tarjeta. Tienen que tener ambas cosas.
En un equipo, el tipo de autenticación con la que estamos familiarizados es iniciar sesión con un nombre de usuario y una contraseña. En la actualidad, nuestros dispositivos contienen tantos de nuestros datos importantes que es fundamental que se haga bien la autenticación. Si los ladrones pueden iniciar sesión en sus dispositivos o servicios como usted, pueden hacer muchas cosas malas.
Veamos cómo puedes protegerlos fácilmente.
Primer paso: Active la autenticación en sus dispositivos móviles.
La mayoría de los smartphones modernos pueden desbloquear rápidamente con una huella digital o reconocimiento facial, pero incluso los que no admiten estos métodos se pueden establecer para requerir que se desbloquee un PIN. Actíbalo.
Sí, requiere un paso adicional para desbloquear el teléfono cuando quieras usarlo, pero agregar ese pequeño paso hace que tu dispositivo sea mucho más seguro. Si pierdes el teléfono o te roban a quien tenga el teléfono, es mucho menos probable que puedas acceder a tus datos confidenciales. Esto es especialmente importante si usas el dispositivo para el trabajo o la banca.
Autenticación multifactor (AKA "verificación en dos pasos")
Cuando se presenta en su casa e inserta la llave para abrir la puerta, esa clave es lo que llamamos un "factor". Esa puerta cerrada básica es la autenticación de un solo factor. Todo lo que necesitas es esa clave física.
Hay tres tipos básicos de factores usados en la autenticación:
- Algo que conoces, como una contraseña o un PIN recordado.
- Algo que tengas, como un smartphone o una clave física de algún tipo.
- Algo que eres, como tu huella digital o tu cara, que el dispositivo puede escanear para reconocerte.
La autenticación multifactor significa que necesita más de un tipo de factor para entrar. La máquina de efectivo de la que hablamos es la autenticación de dos factores: su tarjeta ATM de plástico es un factor, y ese PIN recordado es el segundo factor.
Casi todos los servicios en línea ahora le permiten usar la autenticación multifactor para iniciar sesión también. El primer factor suele ser el nombre de usuario y la contraseña. El segundo factor suele ser un código especial de un solo uso que se envía a tu smartphone a través de un mensaje de texto. Cualquier persona que intente iniciar sesión en su cuenta necesitaría su nombre de usuario y contraseña, pero también tendría que poder recibir ese mensaje de texto especial. Eso hace mucho más difícil que los ladrones entren.
Otra opción para ese segundo factor puede ser una aplicación de autenticación en su smartphone, como el Microsoft Authenticator gratuito. La aplicación autenticador tiene varias maneras diferentes de trabajar, pero la más común es similar al método de mensaje de texto. El autenticador genera el código especial de una sola vez en el teléfono para que lo escribas. Esto es más rápido y más seguro que un mensaje de texto porque un atacante determinado puede ser capaz de interceptar sus mensajes de texto; pero no pueden interceptar un código generado localmente.
En cualquier caso, el código especial cambia cada vez y expira después de un período de tiempo muy corto. Incluso si un atacante se enteró del código con el que iniciaste sesión ayer no les hará ningún bien hoy.
¿No es una molestia?
Un concepto erróneo común sobre la autenticación multifactor o la verificación en dos pasos es que requiere más trabajo para que inicie sesión. Sin embargo, en la mayoría de los casos, el segundo factor solo es necesario la primera vez que inicies sesión en una nueva aplicación o dispositivo, o después de que hayas cambiado la contraseña. Una vez hecho, el servicio reconoce que estás iniciando sesión con tu factor principal (nombre de usuario y contraseña) en una aplicación y un dispositivo que hayas usado anteriormente y que te permita entrar sin necesidad de tener que aplicar el factor adicional.
Sin embargo, si un atacante intenta iniciar sesión en tu cuenta, probablemente no esté usando tu aplicación o dispositivo. Es más probable que estén intentando iniciar sesión desde su dispositivo, en algún lugar lejano, y luego el servicio le pedirá el segundo factor de autenticación, que casi seguro que no tienen.
Siguiente paso: Active la autenticación multifactor en todos los lugares donde pueda.
Habilite la autenticación multifactor en su banco, sus cuentas de redes sociales, las compras en línea y cualquier otro servicio que lo admita. Algunos servicios pueden llamarlo "verificación en dos pasos" o "inicio de sesión en dos pasos", pero básicamente es lo mismo.
Normalmente lo encontrarás en la configuración de seguridad de tu cuenta.
Los ataques de peligro de contraseñas son responsables de los ataques de cuenta más exitosos que vemos, y la autenticación multifactor puede derrotar a casi todos ellos.
Para obtener más información, consulte Qué es: autenticación multifactor.
Saluda a Windows Hello
Windows Hello es una forma más segura de iniciar sesión en tus dispositivos Windows 10 o Windows 11. Te ayuda a alejarte del método de contraseña antiguo mediante el reconocimiento facial, una huella digital o un PIN recordado en su lugar.
Nota
Para usar Hello Face, el dispositivo debe tener una cámara compatible con Hello y usar Hello Fingerprint, el dispositivo debe tener un lector de huellas digitales compatible con Hello. Si no tienes ninguna de esas cosas, hay cámaras y lectores de huellas digitales compatibles que puedes comprar, o simplemente puedes usar el PIN de Hello.
Hello Face o Hello Fingerprint son tan rápidas y sencillas como el reconocimiento facial o el lector de huellas digitales que puedes usar en tu smartphone. Cuando llegues al mensaje de inicio de sesión de Windows en lugar de que se te pida que escribas la contraseña, solo tienes que mirar la cámara o colocar el dedo en el lector de huellas digitales. Tan pronto como te reconozca, estarás dentro. Por lo general, es casi inmediato.
Hello PIN funciona del mismo modo que la mayoría de los sistemas de entrada de PIN. Cuando vayas a iniciar sesión, Windows te pedirá el PIN e iniciará sesión. Lo que hace que Hello PIN sea especial es que, al configurarlo, se asocia el PIN al dispositivo con el que estás iniciando sesión. Esto significa que, al igual que otras formas de autenticación multifactor, si un atacante obtiene su PIN, solo funcionará en su dispositivo. No pueden usarlo para iniciar sesión en tus cuentas desde cualquier otro dispositivo.
Siguiente paso: Activar Windows Hello
En tu Windows 10 o Windows 11 dispositivos, ve a Opcionesde inicio de sesión decuentas> de Configuración>. Allí puedes ver qué tipos de Windows Hello el dispositivo puede admitir y configurarlo fácilmente.
Elegir mejores contraseñas
Las únicas personas a las que les gustan las contraseñas son los atacantes. Las buenas pueden ser difíciles de recordar y las personas tienden a reutilizar las mismas contraseñas una y otra vez. Además, algunas contraseñas son bastante comunes en un gran grupo de personas: "123456" no solo es una contraseña incorrecta, sino que también es una de las más comunes. Y no engañas a nadie si "te amo" es tu contraseña, que fue la 8ª contraseña más común en 2019.
Esperamos que haya activado la autenticación multifactor y Windows Hello, por lo que ahora no depende del todo de las contraseñas. Sin embargo, para los servicios en los que todavía es necesaria una contraseña, vamos a elegir una buena.
¿Qué es lo que hace que una contraseña sea buena?
Para elegir una contraseña adecuada, ayuda a conocer un par de formas en que los atacantes intentan con más frecuencia adivinar contraseñas:
- Ataques de diccionario : muchas personas usan palabras comunes como "dragón" o "princesa" como su contraseña, por lo que los atacantes solo probarán todas las palabras de un diccionario. Una variación es probar todas las contraseñas comunes como "123456", "qwerty" y "123qwe".
- Fuerza bruta : los atacantes pueden probar todas las posibles combinaciones de caracteres hasta que encuentren el que funciona. Naturalmente, cada carácter agregado agrega exponencialmente más tiempo, por lo que con la tecnología actual no resulta práctico para la mayoría de los atacantes probar contraseñas de más de 10 u 11 caracteres. Nuestros datos muestran que muy pocos atacantes incluso intentan forzar contraseñas brutas de más de 11 caracteres.
En cualquier caso, el atacante no escribe estos a mano, tienen su sistema que prueba automáticamente miles de combinaciones por segundo.
Dadas estos tipos de ataques sabemos que la longitud es más importante que la complejidad y que nuestra contraseña no debe ser una palabra en inglés. Ni siquiera "cariñosamente", que tiene 14 caracteres. Lo ideal es que la contraseña tenga una longitud de al menos 12-14 caracteres, con letras mayúsculas y minúsculas, y al menos un número o símbolo.
Siguiente paso: Crear una contraseña adecuada
Esta es una sugerencia para crear una contraseña que tenga longitud, complejidad y no sea demasiado difícil de recordar. Elige una cita de película favorita, una línea de un libro o una letra de canción y toma la primera letra de cada palabra. Sustituya números y símbolos cuando sea apropiado para cumplir con los requisitos de contraseña.
Tal vez eres fan de béisbol. Las dos primeras líneas de la clásica canción de béisbol "Llégame al juego de pelota" son:
Take me out to the ballgame,
Take me out with the crowd
Tome la primera letra de cada palabra, con una sustitución obvia:
Tmo2tb,Tmowtc
Tiene 13 caracteres, mayúsculas y minúsculas, con números y símbolos. Parece bastante aleatorio y sería difícil de adivinar. Puedes hacer lo mismo con cualquier cita, lírica o línea si es lo suficientemente larga. Sólo tienes que recordar qué cita o lírica usaste para esa cuenta y decirlo a ti mismo en tu cabeza mientras escribes.
Recomendación
- Si el sistema en el que estás iniciando sesión admite espacios en las contraseñas, debes usarlos.
- Considere la posibilidad de usar una aplicación de administrador de contraseñas. Un buen administrador de contraseñas puede generar contraseñas largas y aleatorias para usted y recordarlas también. A continuación, solo necesitas una buena contraseña, o mejor aún una huella digital o reconocimiento facial, para iniciar sesión en tu administrador de contraseñas y el administrador de contraseñas puede hacer el resto. Microsoft Edge puede crear y recordar contraseñas seguras y únicas para ti.
Ahora que tienes una buena contraseña
Hay un par de otros tipos de ataques con contraseña a los que hay que tener cuidado:
Credenciales reutilizadas : si usas el mismo nombre de usuario y contraseña en tu banco y en TailwindToys.com y Tailwind se ve comprometido, esos atacantes tomarán todas las combinaciones de nombre de usuario y contraseña que recibieron de Tailwind y los probarán en todos los sitios de bancos y tarjetas de crédito.
Recomendación
Únase a Cameron a medida que aprende los peligros de reutilizar contraseñas en esta breve historia - Cameron aprende sobre la reutilización de contraseñas
Suplantación de identidad (phishing ): los atacantes pueden intentar llamarte o enviarte un mensaje fingiendo ser del sitio o servicio e intentar engañarte para que "confirmes tu contraseña".
No reutilice contraseñas en varios sitios y tenga mucho cuidado con cualquiera que se pone en contacto con usted (incluso si parecen ser una persona u organización en la que confía) y quiere que le proporcione información personal o de la cuenta, haga clic en un vínculo o abra un archivo adjunto que no esperaba.
|
¿Es malo anotar las contraseñas? No necesariamente, siempre y cuando guarde ese papel en una ubicación segura. Puede ser mejor escribir un aviso para su contraseña, en lugar de la contraseña en sí, en caso de que el papel cae en las manos equivocadas. Por ejemplo, si usas el ejemplo "Lléveme al juego de pelota" que proporcionamos anteriormente, podrías anotar el nombre de tu equipo favorito de béisbol como recordatorio de lo que usaste para la contraseña. |
|---|