Los seis errores más comunes que se cometen a la hora de crear y usar una contraseña

Hoy se celebra el Día Mundial del Password o Contraseña, una efeméride que busca concientizar a la ciudadanía sobre la importancia de gestionar correctamente las claves digitales. Acá, expertos nacionales y latinoamericanos dan una mirada crítica en relación a los errores más comunes que realizan los usuarios. Además, entregan recomendaciones para crear contraseñas que sean prácticamente infranqueables y dan consejos de cómo almacenarlas en forma segura.
Muy débiles y predecibles
A pesar de que se hacen chistes y memes con claves predecibles como "12345" o "qwerty" (orden de las letras en el teclado), en los rankings de contraseñas más usadas, aún ambas siguen apareciendo entre las 10 primeras. Eso habla de que los usuarios no le dan mayor importancia a tener una contraseña segura, más bien buscan algo fácil de recordar.
"Otro de los errores es emplear palabras o datos relacionados con el usuario, como el nombre y apellido, el RUT, la fecha de nacimiento o dirección", dice Francisco Fernández, gerente general de Avantic Chile, empresa de seguridad informática.
Esto es una mala idea porque es "muy fácil encontrar en internet información relacionada con el RUT o fecha de nacimiento de una persona. Asimismo, existe todo un mercado negro donde se venden bases de datos con domicilios, correos electrónicos, números de teléfonos, etc.", agrega Fernández.
Los ciberdelincuentes realizan ataques llamados de fuerza bruta, "consistentes en probar todas las combinaciones posibles a través de la utilización de algoritmos o de diccionarios de palabras y claves comunes", explica Fernández, por lo que hacer combinaciones de palabras tampoco evita el problema.
La recomendación, entonces, es evitar claves simples y aquellas que tengan información personal. Una forma ingeniosa de hacerlas es elegir un verso de una canción y usar solo las consonantes y agregando un signo al inicio o al final: así será segura y fácil de recordar.
Reciclarlas para distintos sitios y servicios
Martina López, investigadora de Seguridad Informática de ESET Latinoamérica, dice que el reciclado de contraseñas entre varios servicios, sitios y aplicaciones conlleva peligro. "Esto causa que se vean todos vulnerados, si solo uno de ellos se ve comprometido".
"Una única contraseña filtrada no solo desbloquea una cuenta: puede convertirse en la llave maestra para acceder a toda una identidad digital", agrega Carla Roncato, VP de Identidad en WatchGuard. A pesar de ser engorroso, la recomendación es hacer pequeñas variaciones en las contraseñas o usar otras totalmente distintas para cada servicio, y en ningún caso usar la misma para todo.
Almacenar las claves en libretas o en un archivo del b loc de notas digital
Si las personas de más edad suelen anotar todas las contraseñas en una libreta que guardan en un cajón, los más jóvenes no lo hacen mejor ya que solo reemplazan la libreta por un archivo de Notepad o una nota en el celular.
"El almacenamiento de contraseñas en notas físicas, archivos de texto o incluso capturas de pantalla las vuelve fácilmente accesibles para un cibercriminal, ya sea por el robo físico del dispositivo o por una infección con un código malicioso", dice López. Así, si se roban el computador de la casa, un delincuente avezado puede también buscar la libreta de contraseñas o, al robar un celular o notebook , rastrear un archivo que tenga una lista de ellas.
Existen aplicaciones llamadas gestores o administradores de contraseñas que no solo las almacenan, "algunos, incluso, tienen integrado generadores de credenciales robustas", agrega López.
Ocuparlas en dispositivos de uso compartido
Un error común es usar claves que son importantes (como las del banco) en computadores de uso compartido o en que se use una wifi pública. Muchas veces, dice López, hasta se dejan las sesiones iniciadas, o contraseñas "recordadas" o almacenadas en esos computadores o dispositivos.
No acompañarla con la autenticación de doble factor
Otro de los errores más comunes que realizan los usuarios, dice Fernández, es no habilitar la autenticación en dos factores.
Esta característica puede habilitarse en cuentas de correos, redes sociales o sitios bancarios, entre otros. Básicamente piden que junto a la clave se introduzca un código que se manda por SMS o email.
Evitar evolucionar a tecnologías más modernas
"El Día Mundial de la Contraseña no debe centrarse únicamente en crear contraseñas más seguras, sino en visualizar y avanzar hacia un futuro en el que las contraseñas sean innecesarias", dice Alejandro Botter, ingeniero especialista para Latinoamérica de Check Point Software.
En ese sentido, recomienda usar otras formas de autenticación como la biometría (reconocimiento del rostro o la huella) o los passkeys , tecnología reciente que ya usa Google, por ejemplo, y que a diferencia de las contraseñas es resistente a ataques en línea como el phishing .
Para probar si es buenaUna clave buena debe tener entre 10 a 12 caracteres, mezclar letras mayúsculas y minúsculas y, además, añadir signos.
La herramienta https://password.kaspersky.com permite saber si la contraseña cumple con ciertas reglas y si ha sufrido una fuga de datos conocida.