Si las claves mediante las que accedemos a nuestras cuentas, recursos y sitios de Internet tienen una extensión y combinación de caracteres adecuadas, los delincuentes informáticos tenderán a desistir de sus intentos de descifrarlas porque les llevaría demasiado tiempo lograrlo, según los expertos en ciberseguridad.

Las contraseñas que utilizamos para acceder al banco, al correo electrónico, al ordenador, a las redes sociales y los servicios de Internet, pueden ser descubiertas por los delincuentes informáticos con rapidez; esto si esas claves no cumplen las recomendaciones de ciberseguridad, según advierten desde la Universitat Oberta de Catalunya (UOC).

Lee también: Después de 20 años, Apple dice adiós al iPod

Si las contraseñas no tienen la extensión (cantidad de caracteres) y la combinación de letras, números y símbolos que los expertos recomiendan, podrían jaquearlas (descifrarlas para acceder ilegalmente a nuestros sistemas informáticos) “en lo que se tarda en preparar un café”, según afirma la UOC, basándose en un estudio de la firma de seguridad cibernética Hive Systems (HS).

Este trabajo de HS, publicado en 2022 es una actualización de un estudio previo de 2020; consistente en averiguar cuando tiempo le llevaría a un pirata informático descifrar la contraseña de un usuario utilizando un ordenador de mesa equipado con una tarjeta gráfica de nivel superior, según explican desde HS.

Prueba y error

Este estudio se enfocó en los denominados “ataques de fuerza bruta”,. Consisten en aplicar el método de prueba y error con la esperanza de encontrar finalmente la combinación correcta de caracteres de una contraseña.

El estudio de HS (www.hivesystems.io/blog/are-your-passwords-in-the-green) indica que las contraseñas con menos de doce caracteres se pueden jaquear al instante si solo contienen números, y algo parecido ocurre si solo están formadas por letras minúsculas, según la UOC (www.uoc.edu).

La situación mejora un poco si la contraseña incluye mayúsculas, minúsculas, números y símbolos; pero en el caso de no tenga más de ocho caracteres de extensión, un pirata informático podría tardar unos 39 minutos en descifrarla, según HS.

Contraseñas “milenarias”

En cambio, si se usa una combinación de 12 caracteres que incluyan letras mayúsculas y minúsculas, números y símbolos; los hackers tardarían en teoría nada menos que 3.000 años en averiguarla, según informa la UOC, citando a HS.

Una contraseña puede ser considerada como muy segura si se sigue la regla de crearla combinando símbolos, números y letras y dotarla de la suficiente extensión, asegura Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, y experto en criptografía y ciberseguridad.

Cuando una contraseña contiene “números, letras y símbolos especiales como +, -, (, $, @, €… , y además tiene diez o más caracteres, esto es suficiente como para que un pirata informático desista en sus intentos de descifrarla.

Esto se debe a la gran cantidad de tiempo que el hacker necesitaría para encontrar la contraseña; utilizando los ordenadores actuales y probando distintas combinaciones de letras y números, lo cual lo llevaría a dejar de intentarlo.

Palabras conocidas o de uso frecuente

Para componerla, este experto desaconseja utilizar palabras conocidas o de uso frecuente, como las del diccionario, o combinaciones de palabras y fechas conocidas.
Tampoco son recomendables los conjuntos de números como 12345, 123456 o 123456789; ni los nombres propios o de ciudades, países, clubes de fútbol, o frases como “te quiero” o “qwerty” (primera fila de letras del teclado de ordenador) o la palabra “password” (contraseña en inglés).

Los hackers cuentan con herramientas informáticas capaces de detectar con relativa rapidez este tipo de contraseñas; estas figuran en las listas de las más utilizadas por los usuarios.

Las contraseñas son un método de identificación “versátil y fácil de usar. Únicamente hay que utilizarlas bien”, señala Serra.

Este experto recomienda dedicar algo de tiempo a crear una contraseña “difícil”, que contenga más de diez caracteres con letras, números y caracteres especiales (símbolos).

“Podemos recordar una frase de algún libro o refrán, y poner las primeras letras de cada palabra, incluyendo también algún número y carácter adicionalmente, para así llegar a tener una contraseña de más de diez posiciones sin que tenga ningún sentido al ser leída”, señala Serra.

Un ejemplo podría ser ‘EuldlMdcN3+’ construida a partir de la frase ‘En un lugar de la Mancha de cuyo Nombre’, poniendo 3+ al final, según este experto.

Ataques de “fuerza bruta”

Por otra parte, según la plataforma de alojamiento web SiteGround, en un día normal se producen 57 millones de intentos de ‘login’ (acceso a un sistema informático mediante clave) en sitios webs hechos con el sistema de gestión de contenidos WordPress y alojados en sus servidores.

“La cantidad de ataques aumenta en los días con mayor número de compras como Black Friday o CiberMonday, y también cuando se producen actualizaciones de WordPress en los sitios webs”, comenta José Ramón Padrón, director general (Country Manager) de SiteGround en España (www.siteground.es).

Los ciberdelincuentes aprovechan para atacar webs con las versiones de WordPress anteriores, que todavía presentan las vulnerabilidades que subsanarán en las actualizaciones.

“Por ello es necesario mantener actualizado todo el software con las últimas versiones”, añade Padrón.

Los ataques de fuerza bruta están basados en herramientas específicas; unos programas informáticos que intentan pacientemente cada combinación de letras y números hasta que encuentran un nombre de usuario y contraseña que funcione, señala Padrón.

Además, según SiteGround hoy existen “diccionarios de tablas” que son listas de contraseñas que ya se han utilizado. También palabras que se pueden combinar para hacer una contraseña.