Más de la mitad de los ciberataques que se produjeron el año pasado en el mundo tuvieron su origen en el robo de credenciales, una asignatura, la de su robustez, aún pendiente entre los usuarios. Las contraseñas más comunes en España, 'admin', '123456' o '12345678', se pueden descifrar en menos de un segundo.

Esta debilidad en las claves supone una clara señal de que hace falta un cambio en los métodos de autentificación y de la falta de concienciación sobre la ciberseguridad. Cada primer jueves de mayo se celebra el Día Mundial de la Contraseña, una iniciativa impulsada por varias empresas del ámbito de la informática y la ciberseguridad para llamar la atención entre los usuarios.

Proteger las cuentas de usuario es crucial porque almacenan información personal y confidencial, como datos bancarios, correos electrónicos, conversaciones privadas, fotos, vídeos y teléfonos.

Si alguien accediera a ellas, tal y como recuerda el Instituto Nacional de Ciberseguridad (Incibe), podría utilizarlas, por ejemplo, para cometer fraude en nombre de la víctima o robar su identidad.

Una contraseña robusta debe tener al menos entre 8-10 caracteres, combinar letras mayúsculas y minúsculas, números y caracteres especiales y no debe incluir información personal, ni tampoco palabras comunes ni secuencias del teclado, como 123456 o qwerty.

Cambiarlas al menos dos veces al año

Pero además, hay que crear credenciales diferentes para cada cuenta online y cambiarlas periódicamente, al menos cada seis meses, especialmente en aquellas cuentas sensibles y con información de valor como la bancaria o de correo electrónico.

Debido a la multitud de servicios online que se utilizan y la necesidad de tener múltiples contraseñas, agrega el Incibe, muchas veces por comodidad el usuario cae en el error de utilizar la misma para todo -según el informe Influencia de la tecnología en la vida de los españoles de Kaspersky, cerca del 20% de los encuestados utilizan siempre las mismas-.

Gestor de contraseñas y verificación en dos pasos

Por ello, es importante conocer las ventajas que ofrece un gestor de contraseñas, que proporciona, entre otros, mayor comodidad porque no es necesario recordar todas las claves, solo saber la contraseña maestra robusta.

Pero esto no es suficiente, alerta el Incibe: siempre que sea posible en un servicio online se debe configurar la autentificación de dos factores, también conocida como doble factor o verificación en dos pasos.

Esta función añade una capa extra de seguridad ya que, para acceder a las cuentas, además de la contraseña, se requiere un segundo paso, algo que sólo el usuario tiene, como puede ser un código de un solo uso enviado al móvil.

Tácticas de los ciberdelincuentes

Entre los principales métodos para robar las claves están el phishing, smishing y vishing (tácticas persuasivas a través de correos, llamadas o mensajes para engañar a los usuarios y obtener sus claves); ataques de fuerza bruta (un software automatizado intenta adivinar una contraseña probando diversas combinaciones hasta dar con la correcta); y Keyloggers (programas maliciosos que registran las pulsaciones de teclas).

Como ocurre con todo lo relacionado con ciberseguridad, la concienciación es una de "las asignaturas pendientes" y en la que queda mucho camino por recorrer, resume a EFE Juan Manuel Pascual, experto en ciberseguridad y director ejecutivo de Innovery España, Latinoamérica y Estados Unidos.

"Es de vital importancia que la sociedad en general interiorice estos riesgos y se tome en serio la gestión de sus contraseñas para reducir los riesgos".

Las contraseñas inseguras no solo facilitan el acceso a sistemas personales y empresariales, sino que también eliminan una barrera crucial contra los ciberataques, recalca el experto de Innovery: las claves son la primera línea de defensa para proteger la privacidad y seguridad en el terreno digital.

No obstante, "una contraseña robusta es básicamente aquella que es de un solo uso", concluye Pascual.

"Escuchamos constantemente que las contraseñas deben ser largas para que sean más difíciles de descifrar, pero lo cierto es que esto de nada servirá con la llegada de la computación cuántica", asegura este experto.

Las contraseñas más débiles, en servicios de 'streaming'

NordPass, gestor en contraseñas para empresas y usuarios particulares, publica cada año un informe que compara las 200 contraseñas más comunes en 35 países diferentes; hasta un 70% pueden hackearse en menos de un segundo.

En 2023, las más comunes en España, por este orden, fueron 'admin', '123456', '12345678', '123456789', '12345' y 'password', todas ellas muy débiles -menos de un segundo para descubrirlas-. En el puesto ocho aparece 'mallorca64', con 6 días para desvelarla.

La situación no ha cambiado mucho respecto al informe anterior. En 2022 la más utilizada en España fue '123456', seguida de '123456789' -ambas a descubrir en menos de un segundo-. La tercera posición la ocupó 'swing', a averiguar en seis segundos.

El estudio concluye que se usan, también en España, las contraseñas más débiles para cuentas de streaming y las más robustas para las cuentas financieras. Esto podría deberse a que los accesos de las plataformas en continuo o en directo se comparten entre varios usuarios y, por comodidad, optan por las fáciles de recordar.