¿Cómo administrar las contraseñas personales?

Por Darío Drucaroff
Si usted es de los que anotan en un papel sus passwords y lo guardan en la billetera, lea este artículo y conozca las recomendaciones de los profesionales en la materia

La administración de contraseñas personales es hoy uno de los principales riesgos que corre la seguridad de la información de una empresa. La enorme cantidad de recursos disponibles a través de cuentas personales y la falta de políticas y herramientas que ordenen su correcto uso generan vulnerabilidades difíciles de detectar y resultan en una de las principales causas de inseguridad de la información corporativa.

Por eso, si usted tiene pegada la clave debajo del escritorio, si usa la misma contraseña para todo o si guarda en la billetera un papel con toda la información confidencial, lea este artículo y conozca la opinión de los especialistas.

Diversos caracteres, diversas contraseñas

"Actualmente los ejecutivos tienen un sinfín de cuentas a las que deben acceder utilizando contraseñas", explicó Gonzalo Erroz, director regional de Consumo para América Latina Sur de Symantec. "En cuanto a las personales, a menudo los usuarios utilizan la misma contraseña para e-mail, home banking y hasta sus perfiles en redes sociales. Esto no es una práctica recomendable porque se facilita a los

Hace pocos días un investigador reveló las contraseñas más comunes de una base de datos robada con 10.000 registros de usuarios de Hotmail, MSN y Live.com, al parecer en su mayoría latinos:

1. 123456 (64 apariciones)
2. 123456789 (18)
3. alejandra (11)
4. 111111 (10)
5. alberto (9)
6. tequiero (9)
7. alejandro (9)
8. 12345678 (9)
9. 1234567 (8)
10. estrella (7)
cibercriminales el acceso a todos sus correos e informaciones privadas. La recomendación en estos casos es crear contraseñas que combinen números, letras, mayúsculas y minúsculas y hasta símbolos", aseguró.

Por su parte, Marcelo Pizani, product manager en Panda Security, sostuvo que "Lo más peligroso resulta en quienes utilizan las mismas contraseñas para múltiples servicios y de índoles diferentes, o lo que es peor, aquellos que deciden escribir sus contraseñas en archivos de la computadora, papeles que llevan en su billetera, o el peor de los casos, el teléfono móvil o PDA".

"No utilizar las mismas contraseñas es una recomendación fundamental", afirmó Pizani. "En general, no utilizar nombres propios o de familiares, fechas de casamiento o nacimiento propias o muy cercanas es una variable que agrega un factor de dificultad a las contraseñas y que puede ser tenida en cuenta. No anotar las contraseñas en ningún lado es ley, menos aún en dispositivos electrónicos que pueden ser extraviados o robados", agregó el ejecutivo de Panda.

Gonzalo Erroz agregó: "En paralelo, hay varias compañías que desarrollaron programas para guardar y administrar los diferentes códigos de acceso. Estos programas existen tanto en Internet como en los dispositivos móviles. Nuestra recomendación es utilizar estos productos que facilitarán la administración y control de las contraseñas".

Aplicaciones para almacenar contraseñas

Una posible solución a la administración personal de contraseñas son las aplicaciones especialmente diseñadas para este fin. Permiten almacenar de forma cifrada las contraseñas para diferentes sistemas o sitios Web, pero para utilizarlo también es necesario tener una clave "maestra". Una de las principales ventajas de este software es que puede trasladarse a través de dispositivos portables, y permite buscar passwords personales a través de un pen drive.

Sin embargo, Sebastián Bortnik, analista de Seguridad de ESET Latinoamérica, no está muy de acuerdo con que este tipo de programas sean una real solución. "La utilización de estas aplicaciones incluye esencialmente dos riesgos. El primero es que si el usuario olvida su clave maestra, perderá acceso a todas sus claves. Por lo tanto, siempre es recomendable para los sistemas más importantes utilizar contraseñas fuertes y recordables. También es importante mantener un backup de la base de datos (cifrada) de forma tal que si se daña la computadora donde se alojaba, sea posible acceder nuevamente a las contraseñas".

"El segundo riesgo consiste en que si la clave maestra del usuario es vulnerada, un atacante podría acceder a todos los passwords que el usuario posee en la base de datos", continuó Bortnik. "Por lo tanto, una vez más, es importante que la contraseña maestra cumpla con los principales requisitos de seguridad, además de ser recordable (y que no sea necesario anotarla en ningún papel)".

Asimismo, el ejecutivo explicó que la contraseña se considera fuerte cuando cuenta con 8 o más caracteres, y con al menos dos tipos de los siguientes caracteres (preferentemente 3): letras minúsculas (a-z), letras mayúsculas (A-Z), números (0-9) y caracteres especiales (por ejemplo ¡, $, %, #).

miperrotienepelomarron

Julio Cella, territory manager SOLA (South of Latin America) de la compañía rusa Kaspersky, sugiere una serie de productos llamados Single Sign-On (SSO), que permiten al usuario autentificar a través de un procedimiento que lo habilita para acceder a varios sistemas con una sola instancia de identificación. Además recomendó los sistemas de encriptación de archivos, que resguardan de manera segura la información. "Y también resulta esencial tener actualizado el antivirus y las suites de seguridad para evitan ataques maliciosos que puedan resultar en el robo de datos".

Pero para quienes no estén convencidos de instalar software adicional para administrar contraseñas, Cella aconsejó dos sistemas para generar y recordar las claves. "El primer consejo es utilizar frases fácilmente recordables para las contraseñas que se generan, por ejemplo miperrotienepelomarron. La segunda es tomar nota de las claves en un archivo txt con indicaciones sobre cuáles son cada una de ellas".

Por último, señaló que es importante en todos los casos que la persona esté informada acerca de los procedimientos para recuperar llaves. "De esta manera, se evitan inconvenientes en el caso eventual de que no se consiga recordar una contraseña ni el lugar en donde se almacenó esa información", concluyó el ejecutivo de Kaspersky.