Es hora de ponerse las pilas con las contraseñas, un estudio revela las más comunes en España
La ciberseguridad y privacidad en línea no son cosa de risa, cada vez más personas despiertan a esta realidad a medida que los robos de credenciales y hackeos se hacen más frecuentes en el mundo digital. Sin embargo, la verdad del asunto es que los usuarios también somos culpables de ponerles las cosas fáciles a los hackers, pues hace poco nos enteramos de cuáles son las contraseñas más comunes en España, y resulta sorprendente que a día de hoy todavía usemos contraseñas como “admin” y “123456” (su servidor también es culpable de esto).
En este sentido, un estudio publicado por NordPass (de la misma compañía responsable del popular NordVPN) reveló cuáles son las contraseñas más comunes en España y a nivel global, y los resultados demuestran que millones de internautas dejan su seguridad en línea al azar, pues muchas de las claves utilizadas pueden ser descifradas con suma facilidad.
La lista que verán a continuación está elaborada con la ayuda de un equipo de investigación independiente, el cual evaluó una base de datos de 4.3TB extraída de diversas fuentes, incluyendo la dark web y foros de hackers dónde las credenciales de miles de personas están expuestas a todo el mundo.
Estas son las contraseñas más comunes en España
- admin
- 123456
- 12345678
- 123456789
- 12345
- Password
- 1234567890
- Mallorca64
- Barcelona
- 000000
- 1111111
- Valencia1
- 111111
- 1234567
- Shell123
- Carl0s
- UNKNOWN
- Cuarenta
- Vodafone
- Damajito1
Si deseas consultar la lista completa de las contraseñas más comunes en el mundo, puedes visitar este enlace.
¿Qué revela al estudio?
Con esa información en mente, podemos extraer algunas conclusiones del estudio, y estas aplican a todos los países, no solo a España. En primer lugar, los usuarios tienden a usar las contraseñas más débiles en sitios de streaming, entendible considerando que no hay mucho que se pueda perder… excepto que, si lo hay, pues esto es un vector para ataques de Phishing, eso por no mencionar que brinda acceso a información personal, como la dirección y nombres de tu familia/amigos.
Mientras tanto, las contraseñas de cuentas financieras tienden a ser más robustas, pero cuando nos dicen que algunas de las más comunes son “123456789” y “paypal123”, está claro que el estándar no está muy alto.
La segunda observación del estudio es que las palabras que hacen referencia a lugares geográficos también terminan en las contraseñas de la gente. En tercer lugar, todavía hay personas que utilizan su propio nombre, y para muestra un botón, la clave número 16 más común en España es “Carl0S”. Lo sentimos Carlos, pero estás siendo muy obvio, puedes hacerlo mejor.
El cuarto dato no debería sorprendernos, pero aun así lo hace, pues no nos cabe en la cabeza como en pleno 2023 casi un tercio de las contraseñas más populares del mundo (31%) son secuencias numéricas en plan “123456”.
En quinto lugar, la mayor parte de los usuarios todavía se sigue conformado con contraseñas predefinidas. En España “Admin” sigue siendo la favorita. Sabemos que muchos módems y dispositivos la traen por defecto, pero venga, que no era para usarla toda la vida.
Por último, y no es por ser alarmistas, pero cerca del 70% de las claves de la lista global pueden hackearse en cuestión de 1 segundo, solo hace falta un programa crackeador de contraseñas y alguien con la voluntad de hacerlo.
Buenas prácticas para proteger nuestras claves
Si estás interesado/a en mejorar tus hábitos cuando se trata del manejo de contraseñas, tenemos experiencia con eso y algunos buenos consejos que dar. De igual manera, el sentido común es un gran aliado.
Crea contraseñas largas y complejas: Hoy en día cuando creamos una clave nueva se nos pide un mínimo de seguridad y cumplir con ciertos criterios por un motivo, pero podemos ir más allá y ponerles la vida difícil a los cibercriminales. Los expertos en ciberseguridad recomiendan crear claves de 20 caracteres que tengan bastantes combinaciones de letras, números y símbolos en plan ‘@#$%’. Asimismo, se aconseja evitar combinaciones de palabras comunes y frases predecibles. Como ejemplo de todo lo que no hacer basta con mirar la lista del principio.
No reutilices tus claves: Si bien es cierto que este es un hábito difícil de romper, está en nuestro mejor interés no repetir claves para los distintos sitios o servicios que utilicemos, pues en caso de una brecha de datos o hackeo, lo primero en que piensan los cibercriminales es en probar las credenciales expuestas en otras webs que utilicemos. Si es necesario anota tus contraseñas en una agenda física o, mejor aún, utiliza un gestor de contraseñas, aunque esto último también viene con sus consideraciones.
No guardes tus claves en el navegador: Si bien puede ser muy conveniente dejarle a nuestro navegador web la tarea de recordar todas las claves por nosotros, ten en cuenta que eso es un poco más inseguro que un gestor dedicado. Si tu dispositivo cae en las manos incorrectas, basta con que alguien le eche una mirada al administrador de claves para obtener tus credenciales de todo.
¿Son los gestores de contraseñas una buena idea?
Hoy en día muchas personas confían en programas gestores de contraseñas para que estos las recuerden por ellos. Considerando que el usuario promedio tiene al menos 100 claves entre todos los sitios y servicios que usa, esta parece ser una buena idea, ya que solo basta con recordar una contraseña maestra y el resto se hace solo, no tenemos que escribir la clave manualmente cada vez que queramos iniciar sesión. Cuando se trata de recomendar o no su uso, es necesario tomar en cuenta tanto los argumentos a favor como en contra de, pues como veremos a continuación, estos no son perfectos.
Entrando en materia, nadie puede negar la conveniencia de tener toda la información en un solo lugar, pues no solo hablamos de credenciales de inicio de sesión, cualquier gestor moderno puede recordar información de pagos y direcciones de envío para ahorrarnos tiempo. No obstante, esto puede ser una hoja de doble filo, pues al tener todo en un solo lugar eso significa que el daño potencial al ser hackeados crece exponencialmente.
Otra ventaja de los gestores de claves es que te protegen de los Keyloggers, esos programas maliciosos que registran todo lo que tecleamos, de manera que pueden hacerse con nuestras contraseñas. En este escenario un gestor puede ser bastante útil, pero ¿Qué ocurre si estás ingresando tu contraseña maestra en un dispositivo infectado con malware? Pues volvemos al inicio de todo, ya que podríamos comprometer todas nuestras claves a la vez.
Con eso en mente, si bien es cierto que los gestores de claves han sido hackeados en el pasado, hay que tomar en cuenta que todos ellos usan cifrado avanzado de 256 bits. Esto significa que incluso si un administrador de contraseñas fuera pirateado a gran escala, las contraseñas de los usuarios seguirían siendo inaccesibles.
Algunos gestores recomendables
Realmente no estamos aquí para promocionar ningún gestor de contraseñas en particular, de hecho, en lo personal tampoco creo que sean la solución definitiva a nuestros problemas, pero si quieres algunas recomendaciones fiables, Norton Password Manager, NordPass, Dashlane, Bitwarden, 1Password, KeePass, Keeper y LastPass se encuentran entre las mejores opciones del mercado actual.
Nuevamente, a la hora de apostar por cualquiera de ellos es importante tener en cuenta que ninguno es 100% a prueba de balas o, en este caso, de hackeos, pero nada de lo que hacemos en el mundo digital lo es. Asimismo, muchos de gestores tienen sus mejores funciones guardadas tras una barrera de pago, así que puede que haya que pasar por caja para poder obtener la mejor seguridad y experiencia posible.
A lo que queremos llegar es que hay que considerar las ventajas y potenciales riesgos de los gestores de contraseña antes de decantarnos por usar uno, y esa es una decisión que dejamos a su criterio.
Las claves por sí solas no son suficiente
Aunque sigamos todos los consejos y buenas prácticas sobre contraseñas, la verdad del asunto es que hoy en día no son suficiente, pues muy a menudo los hackers se hacen con las claves de las personas mediante métodos como malware o phishing, y en ese caso ya no hay clave segura que valga. Por esta y otras razones más, es imperativo que hoy en día usemos autenticación de dos factores (2FA) en todos los sitios o aplicaciones que nos importen.
Autenticación de dos factores
Como bien sabrán, 2FA es una capa adicional de seguridad frente a los ciberataques, la cual requiere de un segundo método para verificar nuestra identidad a la hora de iniciar sesión, como por ejemplo un mensaje de texto a nuestro móvil, una frase o pregunta de seguridad. Hoy en día (dependiendo del dispositivo) incluso podemos hacer uso de reconocimiento facial o de huella dactilar como método de autenticación. Con eso dicho, recomendamos encarecidamente usar reconocimiento biométrico dónde sea posible, pues a sol de hoy es uno de los métodos más difíciles de burlar.
One Time Passwords
Las contraseñas de un solo uso (en inglés – one time password, OTP) son claves válidas para una sola sesión de autenticación. Estas son generadas de manera dinámica y después de ese único uso pierden su vigencia. Además, es muy común que expiren en cuestión de minutos, por lo que no les da mucha ventana de oportunidad a los malos actores para interceptar un inicio de sesión. Normalmente este tipo de claves se emplean como parte de una autenticación de doble factor, como en la banca electrónica y canales de comunicación confidenciales de empresas o entidades del gobierno.
A pesar de que son una solución bastante segura, estas requieren de tecnología adicional para funcionar, eso por no mencionar que por su naturaleza no están ampliamente adoptadas en los sitios web y aplicaciones, sino que sirven a un propósito en concreto.
Otro problema inherente a las contraseñas en general es que son legibles por humanos, lo que significa que siempre estarán en riesgo de una manera u otra sin importar dónde se almacenen, y aquí es donde entran en juego las PassKeys, pues estas son puramente llaves criptográficas avanzadas que no puede ser leídas por humanos, lo que nos lleva al siguiente punto.
Passkeys ¿El futuro de las contraseñas?
Hace unos meses Google introdujo al juego las PassKeys o llaves de acceso, esto con la finalidad de cambiar el paradigma de cómo las personas normalmente se autentican en línea. En este sentido, Las claves de acceso son un nuevo tipo de credencial que nos permite iniciar sesión en sitios y servicios sin tener que ingresar una contraseña como tal.
Las claves de acceso se basan en los estándares de criptografía WebAuthentication o WebAuthn, y lo revolucionario de las mismas es que no se almacenan en los servidores de las páginas webs o aplicaciones que usemos, así que –en teoría- no pueden ser robadas por las vías usuales. En su lugar, las Passkeys funcionan creando un par de claves entre tu dispositivo y el sitio/app en cuestión. Una de las claves es pública y se usa para generar un token de autenticación, el cual se envía al dispositivo del usuario para ser verificado usando la clave privada.
Las PassKeys de Google lucen como una opción tentadora hoy en día, pues son más fáciles de usar y por lo visto también son más seguras; solo necesitamos que nuestro dispositivo de elección tenga un sensor biométrico y ni siquiera tenemos que recordar una contraseña.
Todo apunta que serán el siguiente estándar y Google ya lo está implementando en productos y servicios como Chrome, Android y Google Smart Lock. De igual manera, ya tenemos confirmación oficial de que eBay, PayPal y otros sitios grandes las están aceptando.
No podemos olvidar mencionar que Google no es la única compañía empeñada en adoptar esta tecnología, pues Apple ya las trajo al iPhone con iOS 16 y en Windows se pueden usar mediante Windows Hello, así que no sería sorprendente que las contraseñas desaparecieran por completo en el transcurso de los próximos años.
