El mito

¿Por qué somos tan inútiles al inventarnos contraseñas? En 2011, el experto en criptografía Mark Burnett reveló que una de cada veinte personas utiliza ‘password’ o ‘123456’ como contraseña. Tras analizar más de seis millones de contraseñas, Burnett averiguó que el 90% de la gente usa contraseñas que se encuentran dentro de la lista de las 1.000 más usadas. Un reciente sondeo realizado en la calle por David Broncano sugiere que, casi diez años después, la cosa no ha cambiado tanto. ¿Debemos preocuparnos? Bueno, si nos preocupa la información que guardamos en internet, sí. Pero, quizás os preguntéis, ¿cómo hacemos una contraseña más segura? Normalmente, las páginas web recomiendan mezclar mayúsculas, minúsculas, números y símbolos tan extraños que hacen que nuestras claves recuerden a los insultos de un tebeo. Vamos, que poco más y nos piden contraseñas con emojis. Pero, ¿es cierto que añadir caracteres ‘especiales’ a una contraseña la hace más difícil de hackear?

Verdadero o falso

Siempre en busca de los mejores expertos aragoneses, para responder a esta pregunta el Desmitificador ha entrevistado a David Francos (@davidfrancos). David sabe un montón de seguridad informática, tanto que es el responsable del departamento de Desarrollo de Sipay, una solución inteligente para los pagos ‘online’. Según David, añadir caracteres rarunos "aumenta un poquito la seguridad de una contraseña, pero también la hace más difícil de recordar". "Seguramente acabaremos apuntándola en algún sitio, y esto no es para nada recomendable", añade. "Porque dejar escrita tu contraseña por ahí es como dejar las llaves de tu casa debajo de un felpudo".

Para David, "cuanto más larga, mejor". Supongo que se refiere a la contraseña. Y es que la clave de una buena contraseña (guiño, guiño) es su longitud. Los expertos en seguridad de Dropbox están de acuerdo. Como explican en su blog, la ‘fuerza’ de una contraseña puede estimarse midiendo su entropía, su desorden. Y esta magnitud física es directamente proporcional a la longitud de una contraseña. Así que insistimos: cuanto más larga, más difícil de hackear.

Lo sé. Ahora mismo estáis gritando al periódico: "Pero si no me acuerdo ni de qué narices he desayunado esta mañana, ¿cómo me voy a aprender cientos de contraseñas kilométricas?". No os preocupéis, que hoy el Desmitificador os trae un truco infalible. Solo tenéis que pensar en varias palabras que podáis recordar fácilmente, y usarlas seguidas, como explican en un cómic los geniales XKCD. Por ejemplo: ‘Pilarica’, ‘ababol’, ‘esbarizaculos’, ‘cierzo’. Los programas que usan los hackers pueden tardar siglos en descifrar una contraseña como esta mediante fuerza bruta. Es fácil de recordar, y puedes usar las mismas cuatro o cinco palabras, en orden distinto, para diferentes páginas web. Y si eres muy olvidadizo, en este caso incluso te la puedes apuntar. Simplemente anota solo las iniciales de cuatro o cinco palabras que recuerdes fácilmente. David, además, recomienda usar un carácter especial muy español y mucho español: "Incluir la letra eñe suele ser una buena idea, ya que la mayor parte de los sistemas que usan los hackers no la tienen en cuenta". Y manda un mensaje tranquilizador: "La mayoría de los usuarios no vamos a ser víctimas de ataques dirigidos, con tener unas medidas de seguridad básicas (el software actualizado, no repetir contraseñas, cambiarlas de vez en cuando…) es muy muy poco probable que tengas ningún problema".

De propina

Si crees que usas demasiadas contraseñas y es imposible recordarlas todas, lo mejor es que utilices un gestor de contraseñas, como 1Password, Lastpass o Keepass. Estos programas utilizan "una contraseña para dominarlas a todas". Es decir, almacenan todas tus claves (y, si quieres, direcciones, números de tarjeta de crédito, notas seguras) en un archivo encriptado, protegido por una única contraseña maestra. Así, solo tienes que acordarte de un ‘chorizo’. Estos programas suelen sincronizarse entre tus dispositivos, por lo que te hacen la vida bastante más fácil. Por último, David Francos también recomienda que, cuando tengas la opción, actives siempre los sistemas de verificación en dos pasos. "Estos sistemas añaden otra capa de seguridad mediante un segundo punto de comprobación de identidad, como el correo o el teléfono", explica. Tras introducir nuestra contraseña en una web, nos mandarán un mensajito con un código necesario para completar la identificación. Y no hay excusa para no activarlo, ya que, hoy en día, casi todas las páginas web (Google, Amazon, Facebook, y, sobre todo, los bancos) ofrecen esta opción.

Para saber más

Por si leer el artículo te ha dado un poco de yuyu y ahora temes que el Gobierno espíe todas tus (interesantísimas) conversaciones de guasap, David Francos recomienda visitar la página web haveibeenpwned.com, donde podrás comprobar si alguna de tus contraseñas se ha visto comprometida en algún hackeo importante. Y, si te mola la informática, descubre a la comunidad Betabeers Zaragoza, un grupo de desarrolladores que charran sobre unos y ceros mientras beben sus cervecicas favoritas. David es uno de los fundadores, y me ha dicho que a finales de este mes vuelven a la carga. ¡Atento a su página web y a su perfil de Twitter (@betabeersZGZ)!

Fernando Gomollón-Bel Químico y divulgador científico @gomobel

-Ir al suplemento Tercer Milenio