Etiqueta: contraseña

Cómo crear una contraseña robusta, segura y fácil de recordar

Día a día crece la cantidad de ataques informáticos que buscan el robo de datos sensibles, y en muchos casos estos ataques son posibles por las prácticas de seguridad deficientes que tienen los mismos usuarios. Con el fin de ayudar a los usuarios a mejorar dichas prácticas, la firma de ciberseguridad ESET, acerca algunos consejos crear contraseñas fuertes y seguras.

En términos de contraseñas existe la posibilidad de mejorar la seguridad con pequeños cambios. Se deben evitar las contraseñas de una sola palabra, por ejemplo, la contraseña ‘frutillas’, puede descifrarse fácilmente. Por lo tanto, la manera de reemplazar las contraseñas como las conocemos es la utilización de frases, agregando mayúsculas y sumar algunos números o caracteres especiales.

ESET Latinoamérica comparte un video que permite crear un código más largo, más complejo e igualmente fácil de recordar, y que además ayuda estar más seguros y protegidos:

La empresa señala que es importante tener en cuenta algunos consejos extra para la seguridad de las contraseñas:

  • Las contraseñas cortas son malas, es mejor utilizar frases largas
  • No volver a utilizar contraseñas viejas
  • Para mayor seguridad usar factores de doble autenticación
  • Crear una contraseña distinta para cada cuenta
  • Cambiar las frases de contraseña periódicamente
  • Utilizar un administrador de contraseñas confiable

“Recomendamos que cada cuenta tenga su propia clave para evitar inconvenientes. En este sentido la utilización de una solución de seguridad que permita gestionar las contraseñas evita la presión de tener que recordarlas todas. Estas deben ser fuertes y robustas, combinando letras y números y evitando información personal obvia. En cuanto a la longitud, se recomiendan al menos doce caracteres. Es útil la creación de frases para que sean más fáciles de recordar. Por último, con el uso de un segundo factor de autenticación, se tendrá una barrera más para protegerse de los atacantes.”, aseguró Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

N. de P.

5 cosas que debe saber acerca de los gestores de contraseñas

Seguramente tiene en cuenta que nuevas violaciones de datos salen a la luz casi todas las semanas y revelan un simple pero preocupante hecho: muchas personas siguen optando por contraseñas débiles y las reutilizan a través de múltiples sitios. La realidad es, que recordar docenas de contraseñas complejas es casi imposible, y llevarlas en un trozo de papel que tiene que mantener actualizado es una gran molestia, a continuación, le compartimos 5 claves acerca de las contraseñas.

Gestores de contraseñas

Le decimos por qué son importantes, y cómo obtener el máximo provecho de ellos. Es importante la variedad de las contraseñas siendo las fugas de contraseñas casos de cuándo y no “si”, se debe limitar el daño que puedan hacer los atacantes mediante la elección de una contraseña diferente para cada cuenta en línea. Recordar todas esas contraseñas es difícil sin hacerlas predecibles, y ahí es donde los administradores de contraseñas pueden jugar un papel muy importante. Están disponibles para la mayoría de navegadores y sistemas operativos, incluidos los itinerantes, y proporcionan una experiencia de inicio de sesión sin problemas.

La complejidad de la contraseña importa

La mayoría de los administradores de contraseñas pueden generar contraseñas complejas, y eso es importante. Los sitios Web generalmente almacenan representaciones de cifrado de contraseñas llamadas “hash”, pero dependiendo del algoritmo utilizado, los valores hash pueden ser descifrados. Cuanto más compleja sea una contraseña, menor será la posibilidad de que un atacante pueda recuperarla a partir del hash, por lo que es recomendable utilizar contraseñas con 12 o más caracteres, combinando letras mayúsculas y minúsculas, números y símbolos especiales.

Por lo general, todavía necesita recordar una contraseña maestra que se registra en su gestor de contraseñas. También querrá saber su contraseña para algunas cuentas críticas, como el correo electrónico, en caso de que el gestor de contraseñas no esté disponible por alguna razón. En ese caso, las secuencias de palabras combinadas con números y letras mayúsculas pueden ser difíciles de descifrar. Un ejemplo sería DogsCatsRabbitsMyTop3Animals. Éstas se refieren típicamente como “contrafrases”, porque son largas.

Online contra fuera de línea

Los administradores de contraseñas emplean una variedad de modelos de seguridad. Algunos están fuera de línea, como KeePass, Password Safe o Enpass, lo que significa que no se sincronizan a través de diferentes dispositivos: tiene que mover la base de datos cifrada entre las distintas instancias del programa cada vez que añada o cambie una contraseña, o utilizar un servicio para compartir en la nube como Dropbox para mantener la base de datos sincronizada. Otros, como LastPass, Dashlane y 1Password, sincronizan automáticamente sus contraseñas a través de diferentes dispositivos, y algunos incluso ofrecen acceso basado en Web a su “bóveda” de contraseñas.

Si elige una de las implementaciones basadas en servicios, preste atención a la arquitectura y asegúrese de que descifra la base de datos a nivel local dentro de la aplicación o navegador, sin tener que compartir la contraseña maestra con el proveedor de servicios.

No se atenga a una sola contraseña maestra

Proteger todas las contraseñas con una sola llave maestra no es la mejor idea, ya que puede crear un único punto de falla. Sin embargo, muchos administradores de contraseñas ofrecen autenticación de dos factores, donde el acceso a la bóveda de contraseña también requiere un código de una sola vez a través de SMS o generado por una aplicación como Authenticator de Google. Asegúrese de que el gestor de contraseñas que elija tenga esta característica y actívela.

A pesar de que haga uso de un gestor de contraseñas, es una buena idea habilitar la autenticación de dos factores, también es llamada la verificación de dos pasos, en todas sus cuentas en línea que la ofrecen. Una capa adicional de protección nunca viene mal.

Haga uso de otras funciones de seguridad

Algunos gestores de contraseñas ofrecen la opción de desconectarlo después de un período de inactividad. Eso es útil, porque no es buena idea mantener el almacén de contraseñas abierto durante períodos prolongados de tiempo, sobre todo en una computadora compartida. Para ello desconecte de forma automática puede limitar el daño si el equipo se infecta temporalmente con malware. También es mejor no señalar los dispositivos como “de confianza”, pues se deshabilita la autenticación de dos factores para ese dispositivo.

Lucian Constantin, IDG News Service

Inbursa, primero en implementar reconocimiento biométrico facial en México

Stratus Technologies, anunció la implementación de la primera solución de reconocimiento biométrico facial para el Banco Inbursa, donde los usuarios podrán acceder a todos los servicios financieros tomándose una Selfie como único método de identificación, eliminando la necesidad de usar un pasword o cualquier otro método de autenticación.

FacePhi desarrolló una aplicación de identificación biométrica, la cual utiliza una Selfie como método de autenticación para ingresar desde dispositivos móviles, tabletas o a través del portal del banco a todos los servicios financieros en cuestión de segundos, utiliza algoritmos de biometría facial e inteligencia artificial que viajan por la red encriptados y se comparan contra el patrón matemático que se mantiene resguardado en los servidores del banco para hacer una comparación uno a uno y garantizar la seguridad y acceso del usuario, aún si usa gorra, lentes, maquillaje o si ha subido de peso entre otros métodos.

Con esta implementación, México se suma a los más de nueve bancos en América Latina que ya lo usan, al usar la aplicación en un par de minutos se hace el registro facial y activa la aplicación como método único de acceso, eliminando passwords o cualquier otro método de autenticación como Tokens.

La aplicación traza un mapa topológico de la cara y la transforma en un patrón matemático de solo 6k que es validado por el banco y en 38 milisegundos se certifica al usuario, para accesar a los servicios bancarios de manera segura.

Juan Pablo González Director General de Moneta Technologies, señaló, “nos enorgullece que Banco Inbursa sea pionero en el uso de la tecnología FacePhi que ha demostrado su sencillez, seguridad y abre un mundo de posibilidades para experimentar una banca moderna y eficiente”.

Stratus Technologies México será la empresa responsable de la implementación de FacePhi, y en las siguientes semanas ya estará disponible para los usuarios del banco, se destacó en un comunicado.

Redacción

Cinco aspectos clave de los gestores de contraseñas

Los casos donde se han infiltrado en los sistemas de las empresas se ven todas las semanas en las noticias, pero, aun así, muchas personas siguen utilizando contraseñas débiles, y peor aún, las utilizan para todas sus cuentas. Una encuesta reciente, la mayoría de los ataques a una empresa se dan en el puesto de trabajo por un mal uso de este, por lo que contar con unos empleados cautos e informados es vital para una buena protección.

Es normal no poder crear y recordar una lista de contraseñas complicadas para las diferentes cuentas que se tengan que manejar, por esta razón se crearon los gestores de contraseñas. Estas son las claves de los gestores para sacarle el máximo provecho:

La variedad es importante

Cuando se filtran las contraseñas es inevitable para todos aquellos que tomen parte en el mundo digital. Por ello lo más aconsejable es limitar el daño que se puede causar en el momento de filtrarse. Los gestores ayudan mucho en este aspecto y pueden utilizarse fácilmente y sin riesgo desde la mayoría de los navegadores.

La complejidad de la contraseña

La mayoría de los gestores pueden crear contraseñas complejas por una razón: los sitios web pueden, por regla general, aplicar prácticas criptográficas a las contraseñas mediante la representación del símbolo del asterisco, pero esos símbolos pueden hackearse también; cuanto más compleja es una contraseña, menos posibilidades hay de que puedan robarla.

Por supuesto, también habrá cuentas en las que sí es importante recordar la contraseña, como por ejemplo el correo, cuando sucede esto es aconsejable crear frases con mayúsculas y minúsculas (lo que también aportará fortaleza a la contraseña, aunque no se utilicen combinaciones aleatorias). Para el resto de las cuentas, apuesta por un gestor.

Offline vs Online

Los gestores de contraseñas emplean una variedad de modelos seguros. Algunos son offline, como KeePass, Password Safe o Enpass, por lo que no sincronizan su información en los diferentes dispositivos (sino que cada vez que cambies la contraseña debes encargarte tú de mover los datos nuevos cifrados, otros servicios gestores de contraseñas son LastPass, Dashlane o 1Password se sincronizan automáticamente a través de todos los dispositivos, algunas incluso te permiten el acceso directo a la web.

Si eliges un servicio con implementaciones, es importante prestar atención a la arquitectura para saber que descifra la base de datos de forma local en el interior de la aplicación o el navegador, sin tener que compartir la clave con el proveedor del servicio.

No confiar solo en una clave maestra

Proteger todas tus contraseñas con una sola clave crea un punto débil que puede hacer peligrar todas las cuentas. Lo mejor es utilizar un sistema de autentificación doble (en el que se exige un código que se envía por SMS o se genera por medio del Google’s Authenticator). Antes de empezar a emplear un gestor de contraseñas es necesario comprobar estas funciones y activarlas.

Utiliza todas las funciones de seguridad posible

Por ejemplo, algunos gestores te ofrecen la opción de salir de la sesión después de un periodo de inactividad, una opción muy útil en especial cuando se comparte ordenador. También es mejor no etiquetar dispositivos como de confianza, porque en muchos casos desactiva la doble autentificación en ese aparato.

Medidas para mantener a salvo cualquier dispositivo IoT

La compañía de seguridad Avnet ofrece una serie de recomendaciones para mantener protegido cualquier dispositivo IoT que esté dotado de conectividad además de tener conexión a la red. Han sido los últimos en llegar al ecosistema de movilidad y exponen datos además de la seguridad de una compañía.

Existen cuatro reglas básicas que deben ser aplicadas dentro de una estrategia de IoT, tanto a nivel particular, como en el caso de dispositivos que formen parte de organizaciones o una infraestructura. Desde la compañía Avnet sugieren su puesta en práctica si queremos minimizar las posibilidades de que puedan verse comprometidos junto con otros sistemas, datos e infraestructura de la compañía. La consultora Gartner estima que para 2020 habrá más de 25 mil millones de dispositivos de este tipo conectados, por lo que se hace necesario poner en práctica una serie de reglas básicas.

Definir contraseñas

Este es el punto donde atacan los acers, cualquier conexión a Internet es una oportunidad de romper las defensas de la red, ya estemos hablando de una PC, tableta o termostato. Es por este motivo por lo que todos los dispositivos IoT y aplicaciones que se ejecutan, necesitan estar asegurados con una contraseña.

Cambiar la contraseña de fábrica

Como ya viene siendo habitual en los router inalámbricos o cualquier dispositivo, cambiar la contraseña que el fabricante proporciona de serie puede ahorrarnos algún que otro disgusto, además de aprovechar para hacer que sea más fuerte de lo habitual. El fabricante suele incluir un código alfanumérico sencillo, con el fin de facilitar al usuario su uso para introducirlo en cada dispositivo añadido a la red.

Software actualizado

Es una premisa que ya aprendimos con los sistemas operativos de los equipos, como Windows y Mac OS X, esta costumbre debe ser replicada a los dispositivos IoT. Los fabricantes, habitualmente detectan agujeros de seguridad y la única forma de poder corregir dichas situaciones es con la actualización del firmware del dispositivo. Una vez que éste se encuentra en nuestras manos, es la única forma de poder actualizarlo y corregir dicho problema.

Un IoT también es una computadora

Quizás pensamos que un hacker tiene poco que ganar por hacerse con el control de una pulsera de fitness. Pero cuando está conectada a la red, todos los demás dispositivos y datos establecen un vínculo de confianza que puede resultar fatal para el robo de información. Hay que tratar a cualquier sensor conectado a la red, como si de un nuevo equipo de cómputo se tratara. Es la única forma de incrementar la seguridad de toda la red.

Alfonso Casas

Verificación de identidad mediante selfies, la propuesta de Mastercard

Las selfies se ha convertido en un modo muy popular de guardar un recuerdo, pero ¿una selfie para verificar la identidad del usuario cuando realiza compras online? Esta es la propuesta en la que Marstercard afirmó estar trabajando, misma que podría representar un fin para las contraseñas.

Con la aplicación de verificación de identidad con la que la compañía bancaria está trabajando se manejaría con base en selfies, haciendo un reconocimiento biométrico, los usuarios sólo tendrán que parpadear ante la cámara para que ésta les tome una selfie y dé paso al momento de identificación. Con esta nueva estrategia Mastercard quiere evitar problemas de seguridad que arrean métodos tradicionales, como las contraseñas, usando una fotografía para identificar al usuario.

Pero este método no sería el único con el que el usuario se podría identificar para realizar una transacción. Los usuarios también podrán utilizar otros métodos, como los sensores de huella digital que ya son tendencia en la mayoría de los smartphones de gama alta. Sin embargo, la aplicación con identificación mediante selfies representa una alternativa segura y confiable para aquellos dispositivos que no cuentan con estos sistemas de identificación biométrica, así como para sitios webs que tampoco incorporan  esta opción. Para los responsables de Mastercard, esta aplicación será la nueva manera, más segura, de transmitir datos que evitará que sean robados o utilizados por hackers.

Con esta nueva aplicación, la empresa de pagos pretende conseguir un método de identificación más eficaz. Según datos aportados por la BBC, los fraudes que afectan a las tarjetas de crédito derivan en unas tasas más altas para los comerciantes. Esta solución podría representar una importante reducción de dichas tasas, especialmente cuando se trata de fraudes.

Mastercard utilizará también la nueva verificación en casos en que se sospeche que las transacciones puedan ser fraudulentas. Actualmente, la compañía requiere una confirmación a través de contraseña por parte del usuario pero con la nueva app, aquellos que la tengan descargada en sus dispositivos sólo tendrán que tomarse una selfie para confirmar la transacción.

Aunque por el momento la aplicación está en modo de prueba, se estima que podría estar disponible de manera inicial para países como Estados Unidos, Reino Unido, Canadá, Holanda, Bélgica, Italia, España, Alemania, Suiza, Noruega, Suecia y Dinamarca. Al adoptar éxito en estos países, se expenderá al globo.

Consejos prácticos para prevenir el “efecto dominó” en los ataques informáticos

Efecto dominóLa debilidad de las contraseñas de muchos usuarios es una de las principales puertas de entrada a sistemas y cuentas online. Los piratas lo saben y lo aprovechan para iniciar ataques en cadena que podrían evitarse con una simple autenticación de doble factor. Es el denominado “efecto dominó”.

Muchos usuarios utilizan la misma información y contraseñas en diferentes cuentas de correo electrónico o sitios web, lo que resulta un punto débil que los atacantes pueden explotar, incluso cuando los sites y servicios utilizan protocolos de seguridad secundarios y autenticación de doble factor.

Por ejemplo, los sitios web suelen pedir una cuenta de correo alternativa, por si existe un problema con la principal. Asegurar esa cuenta no suele ser una prioridad, y un extraño puede acceder a ella fácilmente, lo que les permitirá desbloquear el resto de nuestros accesos a cuentas. Es lo que se denomina efecto dominó.

Por eso, es conveniente tener unas contraseñas lo más seguras posibles. Los expertos sugieren emplear un programa para administrar contraseñas, para ayudar a almacenar y mantener passwords complejos y difíciles de recordar.

Además, cuando un usuario se registra en un sitio web, se aconseja el uso de información falsa para responder a las preguntas de seguridad secundarias. Si la pregunta es “¿cuál es la calle en la que creciste?”, debería responderse con un juego de palabras sin sentido del tipo “extraños paparazzi”.

Estos simples consejos vienen a colación porque la mayoría de la información que utilizamos en esas preguntas de seguridad la compartimos en diferentes redes sociales. El nombre de nuestra mascota, escuela, ciudad natal, nombre de los padres o pareja, son de sobra conocidos.

Y hay que recordar que sólo es necesario un punto débil para poner en peligro nuestra seguridad.

 

Cómo crear contraseñas seguras

A pesar de que en numerosas ocasiones, a través de los años, diferentes fabricantes han destacado la importancia de disponer de contraseñas seguras, sin embargo, según un estudio el 90 por ciento de ellas son vulnerables. Panda Security recuerda qué es lo que se tiene que hacer para no tener problemas innecesarios.

 

A principios del mes de mayo se celebró el Día Mundial de la Contraseña, jornada que muchos agentes del sector aprovecharon para reincidir sobre la importancia de disponer de contraseñas seguras.

 

Y es que, un estudio de McAfee aseguraba que el 90 por ciento de las contraseñas de todo el mundo son vulnerables y que una de las “passwords” más utilizadas continuaba siendo “123456”.

 

Ante esta realidad, la industria de la seguridad se afana en remarcar la importancia de disponer de contraseñas seguras que eviten dolores de cabeza al tener perdida de datos sensibles o números bancarios. El último fabricante es Panda Security que en un blog explica qué es lo que se tiene que hacer (y lo que no) para proteger la vida digital.

 

Así, la multinacional recuerda que es necesario que una contraseña contenga números, letras, mayúsculas, minúsculas, símbolos como @, #, ¿ o %, además de una longitud mínima de 8 caracteres. “Nunca se deben crear con sucesiones de números o de letras tipo 123456; 987654; abc123”, insiste Panda Security que también advierte que no es conveniente que incluya caracteres adyacentes en el teclado: qwer123; asd987 y recomienda que “no tenga ninguna relación con nosotros”.

 

Además recuerda que no se debe de utilizar la misma contraseña para distintas cuentas ya que “si ponemos siempre la misma clave, en el momento que la adivinen, tendrán acceso a todo nuestro mundo”, recuerda que no se debe escribir en ningún sitio y  que no se debe de permitir que queden almacenadas en los navegadores. “Aunque sea más molesto, es mejor que las introduzcas cada vez que quieras acceder a algún sitio”.

 

¿La última recomendación? Cambiar la contraseña cada cierto tiempo.

-Bárbara Madariaga

Lo que debe saber para tener una contraseña segura y proteger su vida digital

Adoptar una serie de prácticas lograrán que tenga unas contraseñas seguras que le permitirán proteger su vida digital frente a ciberdelincuentes que quieran acceder a sus cuentas de correo, redes sociales o cualquiera de los sitios online en los que esté registrado.

 

Hay un conjunto de sencillas prácticas que conseguirán que su vida digital esté más protegida o, por lo menos, como dice Panda Security en una de las entradas más recientes de su blog, “ponerle las cosas un poco más difíciles a las personas malintencionadas que quieran obtener el control de alguna de nuestras cuentas de correo, redes sociales o cualquier otro servicio”.

 
La firma de seguridad da a los usuarios una serie de consejos que, si bien, ya los conocemos, la realidad nos recuerda diariamente que no los seguimos. Entre ellos, figuran que cualquier contraseña debe de incluir una combinación de números y letras, mayúsculas y minúsculas y, además, añadir símbolos como @, #, ¿, o %. Además, la clave de acceso debe tener, siempre que sea posible, una longitud mínima de 8 caracteres.

 

Aunque las recordemos más fácilmente, nunca debemos utilizar una contraseña con sucesiones de números o de letras (ej.: 123456; abcdef) pero ¡ojo!, tampoco con una combinación de ambas (abc123) ni con caracteres adyacentes en el teclado como qwer123.

 
Por último, la contraseña no debe tener ninguna relación con nosotros, así que adiós al uso de nuestro nombre, fecha de nacimiento o similares.

 
Una vez que se haya hecho esto, se habrá aumentado la seguridad de sus contraseñas, por lo que no debe estropearlo, explica Panda, empleando la misma para distintas cuentas por aquello de ‘vista una, vistas todas’ y, por supuesto, no las escriba en ningún sitio ni las deje al lado de su equipo de trabajo o en las notas de su teléfono.

 
No las almacene en los navegadores, es mejor que las introduzca cada vez que quieras acceder a algún sitio.

 
Cómo gestionarlas

Finalmente, el post recomienda que compruebe su seguridad. Hay muchas herramientas en Internet, entre las que cita ésta de Microsoft.

 

Deberá cambiarlas cada cierto tiempo y utilizar un gestor de contraseñas como, por ejemplo, el que incluye la solución de protección global de la firma, para sólo tener que recordar una clave y poder establecer contraseñas más complejas.

 

– Redacción PCWorld

El 90% de las contraseñas son vulnerables

Con motivo del Día Mundial de la Contraseña (World Passworld Day) McAfee acaba de publicar los datos de un estudio en el que se asegura que el 90 por ciento de las contraseñas son vulnerables ante ataques. “123456” y “password” siguen siendo las contraseñas preferidas por los usuarios.

 

 

El 90 por ciento de las contraseñas de todo el mundo son vulnerables. Así lo hizo saber McAfee que afirma que “los ataques cada vez son más sofisticados y se producen más brechas de seguridad, lo que hace que hoy sea más importante que nunca educar a los consumidores en la importancia de utilizar contraseñas de máxima seguridad para proteger su información personal”.

 

Es más, según Michelle Dennedy, chief privacy officer de McAfee, “las brechas de seguridad están incrementándose en todo el mundo, de manera que los consumidores necesitan conocer la importancia de la protección a través de contraseña como barrera para prevenir ataques”. Con este objetivo nació el World Password Day que cuenta con una web propia en la que los usuarios podrán conocer el nivel de seguridad de sus contraseñas y aprenderán a cambiarlas o actualizarlas para hacerlas infranqueables.

 

Para lograr que las contraseñas sean infranqueables, McAfee recomienda  anteponer la longitud a la complejidad (es mejor que tenga 14 o más caracteres y que en ésta se incorporen caracteres alfanuméricos, mayúsculas y minúsculas y que no sea una única palabra), utilizar un gestor de contraseña, cambiar la contraseña con regularidad e intentar que no sea la misma para cuentas bancarias, correo electrónico y otros sitios. Además, recuerda que no se deben utilizar ni fechas o datos significativos que puedan ser encontrados en Internet, no se deben compartir ni enviarse por mensajes o correos electrónicos.

 

Bárbara Madariaga