Contraseñas

CUIDARSE

Aprende más acerca de la tecnología que usas. Descubre que pasos puedes tomar para asegurar que tu experiencia en línea sea segura. Aquí puedes encontrar consejos e ideas acerca de como proteger tu privacidad mientras navegas y comunicas vía internet.

Contraseñas

¿Cuántas contraseñas tienes? ¿Cuántas veces te solicitan una contraseña al utilizar diferentes espacios en internet: desde el correo electrónico hasta las redes sociales y todas esas herramientas “geniales” a las que te has registrado basadas en internet? Nos imaginamos que te la preguntan muchas veces. Y esperamos que tu navegador no sepa la respuesta.

Uno de los principales problemas – y preocupaciones – citado por activistas de los derechos de las mujeres en talleres de comunicación segura en línea es el “hackeo” de las cuentas de correo electrónico y redes sociales. Hay muchas maneras de acceder a nuestras cuentas privadas que no implican hackeo propiamente dicho; una de las más comunes son las contraseñas mal gestionadas.

¿Cuál es el riesgo?
Buenas prácticas para estar seguras
Recursos y herramientas

 

¿Cuál es el riesgo?

1) Mala gestión de contraseñas

Es común utilizar la misma contraseña una y otra vez. Después de todo, es difícil ser una persona creativa y pensar en una nueva contraseña cuando te enfrentas al formulario de inscripción de un nuevo servicio. Empiezas a hacer cosas como anotarlas en algún lado, pedirle a tu navegador que las recuerde, usar términos secretos como “letmein” (“dejamentrar”, la octava contraseña más popular según un estudio de 2011) o guardarlas en un archivo en tu computadora con un nombre inteligente como “contraseñas” o “la llave de mi corazón”. ¡O en un cartelito pegado al lado de la computadora!

Con frecuencia compartimos nuestras contraseñas con amigos/as y parejas, o elegimos contraseñas fáciles de adivinar o que incluso están disponibles públicamente, como por ejemplo el nombre de nuestras parejas, de familiares y mascotas o las fechas de sus cumpleaños.

Es importante que tengamos cuidado con nuestras contraseñas para mantenerlas seguras. No son sólo nuestra privacidad y seguridad las que están en riesgo, son las de todas las personas con las que tenemos contacto, incluyendo a nuestros/as compañeros/as activistas y las mujeres que nuestras organizaciones apoyan. Puede ser que, dentro de tu cultura y contexto, no haya problemas en compartir determinada información; pero puede suceder también que no sea apropiada para otros entornos, como las opiniones sobre religión, sexualidad o política. Una contraseña violada es el primer paso para que se filtre información privada, lo que podría perjudicarte o a personas que son importantes para ti.

2) Programas de hackeo de contraseñas

Las contraseñas malas permiten que alguien obtenga acceso no autorizado a tu cuenta porque son fáciles de adivinar o porque se pueden descifrar con programas de hackeo de contraseñas disponibles gratuitamente en internet.

Por ejemplo, en internet abundan los programas que recuperan las contraseñas del administrador de Windows. Quien realiza el mantenimiento de tu computadora o las de tu organización puede acceder a sus contenidos extrayendo el disco duro y copiando los archivos en otro equipo. Si se hace eso, a esta persona no se le pedirá tu contraseña porque evita usar Windows por completo.

Hay dos tipos de programas para hackear contraseñas que se emplean más comúnmente para rápida y repetidamente adivinar tu contraseña: los “ataques de diccionario” prueban tu contraseña contra diccionarios enteros de palabras en varios idiomas; los ataques de “fuerza bruta” prueban todas las combinaciones posibles con los caracteres, números y signos de puntuación del teclado. Puedes hacerles mucho más difícil a estos programas la tarea de descubrirlas si usas contraseñas más largas y con más combinaciones de letras mayúsculas y minúsculas, signos de puntuación y números.

El tiempo que lleva descubrir tu contraseña depende de la velocidad de procesamiento de la computadora que realiza el hackeo. Lo que podría llevarle a una computadora “normal” días o meses, apenas le toma unos segundos a un equipo potente con altísimas velocidades de procesamiento, como las super computadoras de Google. Una contraseña de ocho letras en minúsculas puede hackearse en menos de un día con una computadora normal pero si reemplazas dos de los caracteres con una letra mayúscula y un signo de puntuación, a una computadora normal le llevaría unos meses descifrarla. Debido a esto y al hecho de que las velocidades de procesamiento de las computadoras mejoran constantemente (las tarjetas gráficas cuentan ahora con procesadores potentes para juegos, por ejemplo), es importante tomar conciencia y crear contraseñas más largas y complejas.

Una vez que los/as hackers tienen una de tus contraseñas, inmediatamente tratarán de acceder a otros espacios que utilizas en línea y si siempre usas la misma contraseña serás muy vulnerable a otros ataques.

3) Programas espía, keyloggers y sniffing

Los programas espía como los keyloggers son programas ocultos instalados en una computadora que pueden registrar cada letra que se escribe. Algunos también hacen capturas de pantalla para ver qué se está cliqueando. Aunque las malas contraseñas son comunes, incluso una contraseña excelente se puede descifrar si nuestras computadoras tienen programas espía como los keyloggers instalados por alguien que tiene acceso a ellas, ya sea la propia o una que estemos usando prestada. Puede ser difícil darse cuenta si hay un keylogger instalado porque generalmente se esconden bajo un nombre o un archivo de aspecto inocente.

Si estamos utilizando nuestra computadora con redes inalámbricas - incluso las que están protegidas con contraseña - nuestra información puede ser vulnerable a “sniffing” (husmear). Sniffing significa que otras computadoras conectadas a la misma red inalámbrica pueden examinar nuestro “tráfico”: los sitios web que visitamos, nuestros chats y, en algunos casos, incluso nuestras contraseñas. Para más información sobre cómo evitar el sniffing, visita Navegación en internet en la sección Cuidarse.

4) Phishing

A veces podemos ser víctimas de un engaño mediante el que se nos pide nuestro nombre de usuario/a y contraseña en sitios que se parecen a nuestro banco, redes sociales o servicios de librería pero que en realidad son imitaciones muy bien diseñadas para hacernos creer que son auténticos. Esto se conoce como “phishing”. Una vez que introducimos nuestra información de acceso (login) en el sitio falso puede aparecer un mensaje de error; muchas personas simplemente pensarían que el sitio está temporalmente fuera de servicio. Sin embargo, nuestro nombre de usuario/a y contraseñas ya quedaron registradas durante el proceso. La mayoría del phishing ocurre directamente en nuestro correo electrónico, donde nos llegan mensajes de servicios de “apoyo” o de “recursos humanos” que nos dicen que están actualizando sus bases de datos o nos advierten de un posible fraude en nuestra cuenta bancaria para que cliqueemos directamente en el sitio web indicado en el mensaje falso.

 

Buenas prácticas para estar seguras

1) Ten cuidado con tu contraseña

El primer nivel de protección de tu contraseña es no divulgarla. Así como insistimos en las mejores prácticas en nuestro activismo, necesitamos también desarrollar buenas prácticas para mantener segura la información contenida en nuestras computadoras y para aumentar nuestra propia protección en línea. Tenemos que ser concientes de la gente que pasa a nuestro lado o mira por encima de nuestro hombro cuando ingresamos nuestras contraseñas y observar si hay cámaras de video en los cibercafés o en los sitios de trabajo donde accedemos a internet.

Al tomarnos tiempo para crear un espacio seguro y protegido, en realidad estamos respetándonos a nosotros/as mismos/as, a nuestras familias, amistades y colegas. En las relaciones personales, la privacidad es una parte importante del respeto y la confianza y nunca deberíamos sentirnos en la obligación de compartir nuestras contraseñas para demostrar nuestra confianza en alguien o esperar que otras personas lo hagan con nosotros/as.

2) Cambia tus contraseñas con regularidad

  • Sin duda ya escuchaste los siguientes consejos pero es muy importante que los tomes en serio:
  • No utilices la misma contraseña en más de un servicio
  • Nunca compartas tus contraseñas con nadie
  • Nunca escribas tus contraseñas
  • Cambia tus contraseñas con frecuencia

Si te has visto en la necesidad de dar a alguien tu contraseña por cualquier razón o crees que alguien puede haberla visto, no dudes en cambiarla de inmediato.

El cambio de contraseñas puede hacer descarrilar los programas de hackeo y bloquear el acceso ya obtenido. Crear y recordar algunas contraseñas muy seguras cada mes es una compensación razonable por tu seguridad en línea. Si administras tus contraseñas con una clave de seguridad tal como KeePass, en combinación con frases de acceso y contraseñas seguras, podrás fortalecer tu seguridad enormemente.

Si ves CUALQUIER actividad sospechosa en un servicio en línea debes cambiar inmediatamente tu contraseña. Tomemos como ejemplo tu correo electrónico. Si en la bandeja de salida ves mensajes que tú no enviaste, si entre tus contactos hay algunos que no reconoces, si tus amistades te avisan que estás enviando spam o virus o notas que ciertos elementos en el entorno de tu correo electrónico se han reorganizado, verifica de inmediato la configuración de tu cuenta. Comprueba si tu correo está siendo reenviado a algún otro lado, si el correo electrónico de referencia para restablecer la contraseña es realmente el tuyo y si la pregunta de verificación de contraseña o el teléfono celular que figura también son los tuyos. Luego cambia tu contraseña. Te aconsejamos que también repases otros elementos de la sección Cuidarse, como el mantenimiento básico de la computadora y la navegación segura para que tu computadora esté más protegida.

3) Protege tu computadora con una contraseña

Los diferentes sistemas operativos como Mac, Linux y Windows tienen diferentes requisitos de contraseña. Por ejemplo los sistemas operativos Macintosh y Linux requieren una contraseña del administrador para instalar cualquier programa. Con Windows, el administrador es la cuenta predeterminada y no requiere una contraseña. Deberías crear una cuenta de administrador y usarla sólo para instalar programas. Crea tu propia cuenta de usuario/a para todas las demás actividades que realices en tu equipo.

Activa la protección con contraseña para tu computadora. Si abandonas tu computadora – aunque sólo sea por un momento para tomar un café o ir al baño – asegúrate  de “bloquearla”, es decir, que para acceder debas introducir una contraseña. Así será más difícil que alguien instale un programa keylogger en tu computadora. También evita que puedan acceder y utilizar las cuentas en las que hayas iniciado sesión en tu navegador de internet, como webmail o Twitter. Proteger tu computadora con una contraseña no es suficiente, como vimos más arriba, pero es un primer paso importante.

La contraseña que te permite acceder a tu computadora es una de las pocas que deberás recordar siempre y siempre debe ser lo más segura posible.
 

4) Mantenimiento básico de la computadora

Es importante asegurarte de que tu equipo no tenga virus ni programas espía. Los sistemas Windows sufren más ataques y son más vulnerables que los sistemas Macintosh y Linux. Tener un buen antivirus y un cortafuego es una parte importante del mantenimiento básico de la computadora y te ayudará a protegerte contra el espionaje remoto.

Asegúrate de que tus programas de antivirus estén actualizados con las últimas definiciones de virus y tómate tiempo para escanear todos tus archivos a diario. Esto también vale para Mac y Linux. A pesar de que estos sistemas operativos son menos propensos a sufrir ataques de virus, sí pueden propagar virus a otros/as usuarios/as de Windows.

Los/as diseñadores/as están constantemente mejorando los sistemas en tanto se descubren nuevos problemas y debilidades diariamente. También mantén tus sistemas operativos actualizados, especialmente si recibes aviso sobre entregas de parches de seguridad.
 

5) Instala un cortafuego

Los cortafuegos son programas que tienen por objeto impedir el acceso no autorizado a/desde una red a la que tu computadora está conectada, tales como internet. Los cortafuegos te avisan si algo sospechoso está tratando de acceder a tu computadora a través de uno de los puertos de tu equipo. Un puerto es un punto de entrada o salida de tu computadora y cada puerto se ha programado con una función específica – por ejemplo, los navegadores de la red por lo general presentan la información de los sitios web a través del puerto 80. Si algo, además de una página web, solicita entrar por el puerto 80, el cortafuego bloqueará la entrada y preguntará si se puede aceptar la solicitud. El cortafuego también controla los esfuerzos de salida de los programas de tu computadora para conectarse con internet. Esto se conoce generalmente como un cortafuego inverso. Si un programa está tratando de conectarse a internet y tú no has pedido que lo haga, el cortafuego inverso dará la voz de alerta. Visita la sección de Recursos para obtener más información sobre cortafuegos.
 

6) Evita ataques de phishing

Las maniobras de phishing son bastante convincentes: utilizan logotipos de empresas de renombre y el enlace aparentemente te dirige al sitio oficial de la compañía. Siempre debes  dudar cuando recibas mensajes de los diferentes servicios que utilizas habitualmente, como tus bancos, redes sociales o incluso tu proveedor de correo electrónico, esto es, de cualquier espacio que normalmente requiere que inicies sesión con tu contraseña de acceso. Si pasas el ratón sobre el enlace que proporcionan los mensajes de phishing podrás notar ligeras variaciones en la dirección, como pequeños cambios en la ortografía del nombre o de un prefijo. Siempre examina el enlace con cuidado antes de copiarlo y pegarlo en la ventana de tu navegador para visitar el sitio. Una vez cargada la página, comprueba de nuevo la dirección del sitio en la barra de navegación.

Nunca cliquees un enlace enviado por correo electrónico o en los anuncios pop-up. Siempre es mejor copiar el enlace y pegarlo en una ventana separada del navegador para que la visita al enlace no se asocie a tu correo electrónico.

7) Sugerencias para crear una contraseña más segura

Aquí te damos algunas sugerencias para construir una contraseña más segura que puedas recordar:

a) Piensa en una frase de acceso seguro en lugar de una contraseña. Es más fácil de recordar y nos puede ayudar a interconectar asociaciones importantes que sólo nosotros/as conocemos. En general, las frases son mucho más largas que las contraseñas, lo que las hace más difíciles de descifrar.

b) No utilices palabras de diccionario o nombres propios. Como mencionamos anteriormente, los programas de hackeo de contraseñas incluyen los que examinan todas las palabras de los diccionarios y en diferentes idiomas, por lo que sustituir palabras de un idioma con otro no es infalible.

c) No utilices información que pueda asociarse fácilmente contigo: cumpleaños, nombres de familiares, etc.

d) Crea contraseñas complejas que incluyan caracteres, mayúsculas y minúsculas, números y signos de puntuación. Si el servicio lo permite, utiliza también espacios entre caracteres.

e) Y cuanto más larga sea, mejor. Por lo menos 10, 12 y hasta 20 caracteres.

También puedes crear contraseñas complejas y largas que sean fáciles de recordar a partir de frases de acceso que sólo tengan sentido para ti. A continuación te sugerimos cómo hacerlo:

Primero:

  • Selecciona una línea o el título de tu poema o canción favorita
  • Recuerda el cartel o el eslogan que más te guste de las marchas de protesta
  • Abre un libro y selecciona un fragmento al azar o elige tu cita preferida
  • Rememora tus cosas favoritas a una cierta edad: música, deportes, comida, un juguete.

Después:

  • Crea una contraseña seleccionando letras de cada palabra de la frase de acceso.
  • Desarrolla tu propio código o política personal para construir contraseñas. El código podría indicarte qué letra utilizar de cada palabra, es decir, la primera letra de cada palabra o tal vez la última. Siempre puedes optar por capitalizar la primera y la última letra de la frase de acceso. Tu código personal podría indicar qué números y signos de puntuación reemplazarán siempre determinados caracteres. Por ejemplo, elige sustituir todas las letras "i" con el número 3. O escribe siempre en mayúsculas la cuarta letra porque 4 es tu número favorito.
  • Puedes aplicar estas mismas sustituciones en diferentes contraseñas. De esta manera, es fácil cambiar tu frase de acceso con frecuencia pero podrás seguir aplicando tu propio código secreto para crear tu contraseña a partir de la frase de acceso.

Por ejemplo:
“¡El feminismo es la idea radical de que las mujeres son personas!” se convierte en: ¡Efel3r&qlmsp!

El “código” personal para construir la contraseña es el siguiente:

  • Utiliza la primera letra de cada palabra y todos los signos de puntuación
  • La primera letra en mayúscula
  • Sustituye la “i” por el número 3
  • Sustituye la “d” por &
  • Asegúrate de que la contraseña tenga como mínimo 10 caracteres

Cada mes te divertirás pensando en frases interesantes para modificar su contraseña.

8) Utiliza administradores de contraseña cifrada

Algunos navegadores como Explorer y Firefox tienen una función que recuerda tus contraseñas. Quizás sientas la tentación de utilizar esa función como una manera conveniente de administrar las contraseñas de las diferentes cuentas que usas regularmente. Sin embargo, esto no es nada seguro por varias razones. La más básica es que cualquiera que tenga acceso a tu computadora – cuando la dejas conectada mientras te tomas un café o cuando te la roban, por ejemplo – puede acceder fácilmente a todas tus cuentas y espacios en línea. También cualquier persona que ingrese a tu equipo a través de la cuenta administrativa puede tener acceso a la base de datos que contiene todas las contraseñas almacenadas en tu computadora.

En vez de eso, piensa en usar un administrador de contraseñas con un potente sistema de cifrado, como KeePass. Quizás pierdas algo de la comodidad que implica ingresar tus contraseñas en forma automática pero es una manera mucho más segura de almacenar y gestionar sus contraseñas. Visita recursos y herramientas por más información sobre KeePass y cómo usarlo.
 

Recursos y herramientas

KeePass

KeePass (http://keepass.info) es un lugar seguro para guardar tus contraseñas. Es un programa gratuito y de código abierto*, desarrollado por una comunidad de expertos/as técnicos/as. El programa crea un archivo cifrado que te ayuda a administrar tus contraseñas en línea y fuera de línea y otros datos importantes. KeePass incluso puede generar contraseñas muy largas y seguras para que no tengas que estrujarte la cabeza creando una contraseña segura por tu cuenta. Las contraseñas de KeePass son demasiado complejas como para que alguien pueda recordarlas. Tú simplemente debes copiarlas y pegarlas sin tener que recordarlas de memoria. Irónicamente, la contraseña más segura es la que no puedes recordar.

KeePass también produce una base de datos de contraseñas con un potente cifrado, lo que significa que la información que ingresas en ella se oculta o se “cifra” de modo que ya no es texto común y corriente. En las pautas detalladas más arriba para crear una contraseña más segura, desarrollaste tu propio código o política para ocultar tus contraseñas. En el caso del cifrado, los programas informáticos tienen varias capas de cifrados que sólo pueden ser descifradas por computadoras que ejecuten un ataque específico durante varios años. Esto es mucho más seguro que, por ejemplo, el archivo de texto simple con todas las contraseñas que puedes crear para consulta rápida en tu teléfono celular.

El programa KeePass, o variaciones del mismo, puede instalarse directamente en Windows, Mac o Linux, o puedes usar una versión portátil y ejecutarla desde tu memoria USB si la computadora que usas no te permite instalar programas. También existen versiones para diferentes modelos de teléfonos celulares.

Puedes almacenar tu base de datos de contraseñas cifradas KeePass en línea, en tu escritorio, en una memoria USB, para que siempre la puedas usar en lugar de tener que sacar cuidadosamente de tu billetera la hoja gastada donde tienes anotadas tus contraseñas.

Por supuesto, la contraseña que nunca deberás olvidar es la que abre tu base de datos de KeePass. Cuando crees la contraseña maestra, haz que sea bien difícil según las sugerencias indicadas más arriba. KeePass también te permite usar espacios en la contraseña maestra, así que aprovecha para escribir una frase o cita completa.

Puedes descargar KeePass aquí: keepass.info/download.html
Encontrarás un instructivo básico aquí: keepass.info/help/base/firststeps.html

*El software libre y de código abierto está disponible para que todo el mundo pueda inspeccionarlo y explorarlo, incluyendo el “código fuente” del software, que es el lenguaje de programación clave para el funcionamiento del programa. Muchos consideran que el software libre y de código abierto es más seguro, precisamente porque lo revisan muchas personas y está sujeto a pruebas llevadas a cabo por técnicos/as calificados/as que pueden verificar que el programa sólo hace lo que está estipulado. Con el software registrado bajo una licencia propietaria, sólo el equipo de diseñadores/as de la compañía puede ver y entender el código fuente. Hay muchas y excelentes soluciones de código abierto y libre que podemos usar en nuestras computadoras, sin importar cuál sea nuestro sistema operativo, Macintosh o Windows. El sistema operativo Linux es de fuente abierta.

Consejos adicionales para usar KeePass

Espera para usar la opción de archivo asociado extra-seguro: En el ejemplo del instructivo básico sólo usas una frase de acceso para crear tu base de datos de contraseñas. Hay también una opción para asociar un archivo a la frase de acceso para mayor seguridad. Es importante tener en claro que si alguna vez pierdes el acceso a un archivo asociado, no podrás abrir tu base de datos de contraseñas. Por lo tanto, especialmente para usuarios/as principiantes, lo mejor será que no actives esa opción.

Comienza usando las contraseñas que ya tienes
: Aunque en última instancia será mucho más seguro si aprovechas la capacidad de KeePass para generar contraseñas aleatorias para todos los servicios en línea, te recomendamos que primero pruebes KeePass introduciendo tus propias contraseñas para cada servicio. De esta manera, si olvidas tu contraseña maestra o tienes dificultades de principiante, no te quedarás sin poder acceder a todos tus espacios protegidos con contraseña. Una vez que te sientas cómodo/a con la interfaz y capaz de conectarte rápidamente con tus diversos servicios y copiar y pegar tus contraseñas, entonces podrás empezar a cambiar la contraseña de cada servicio por una generada por KeePass.

Guarda tu base de datos: Puedes guardar tu base de datos KeePass en cualquier lugar pero intenta utilizar un nombre poco llamativo y quizás quieras cambiar la típica extensión .kdb para que el archivo no se asocie automáticamente con el programa KeePass. Podrás volver a cambiar la extensión cada vez que quieras acceder al archivo. Puedes guardar tu base de datos en un dispositivo móvil USB u otros, como una cámara o un teléfono celular. También se puede almacenar en línea – como está cifrada no será transparente para leer como un archivo de texto. Para abrirlo, necesitarás el programa KeePass y tu frase de acceso. KeePass es en sí mismo un programa lo suficientemente pequeño como para guardar también en tu memoria USB. KeePass también está disponible como parte del conjunto de aplicaciones portátiles, muy recomendable para no tener que almacenar información privada en computadoras que no sean de confianza.  

Recursos adicionales

Frontline y Tactical Tech desarollaron Security-in-a-Box para defensoras de derechos humanos. Contiene, en español, muchísimos escenarios y herramientas para estar segura en línea.

Ono es un robót cuyos videos detallan riesgos de usar el internet y médidas de precaución.