Single Blog Title

This is a single blog caption
25
Mar

Cuando la ortografía no importa… ¿Cómo hacer una contraseña segura?

!Oh no¡ ya pasaron 30 días desde mi último cambio de contraseña y lo más seguro es que pronto me va a pedir el sistema que la vuelva yo a cambiar, ya se voy a poner la misma contraseña pero de manera inversa.

 !Que listo soy¡

                                                                                                                                 El usuario promedio

El ingeniero Héctor Jesús Pérez Mancilla es el Information Security Officer (ISO) de ATEB Servicios, empresa dedicada a la Asistencia Tecnológica en E – Business, hoy en día una de las más reconocidas en el giro de la Facturación Electrónica en México al ser Proveedor Autorizado de Certificación (PAC) por parte del Servicio de Administración Tributaria (SAT). Nos habla de la importancia de poder tener una contraseña segura y no vulnerable.

 

password

En el ambiente empresarial, la mayoría de los usuarios cuando se requiere que escriban contraseñas utilizan las contraseñas más comunes que al hablar de vulnerabilidades la propia contraseña es un riesgo de vulnerabilidad.

En el mundo de la seguridad informática en el que me he desenvuelto he tenido la oportunidad de encontrar contraseñas muy predecibles, muchas de ellas ni siquiera han tenido que usar algún método de hackeo para poder descubrirlas, como un ejemplo puedo dar el más común de todos los usuarios.

Patricia es la mejor vendedora de una empresa comercializadora seria vital encontrar su contraseña para poder acceder a su equipo, a sus archivos y sobre todo a sus contactos ya que ella posee una cartera muy atractiva de clientes de primer nivel, como todo usuario Patricia ronda su contraseña entre las siguientes de la lista:

Patricia

patricia

Pati

Paty

Pato

Patricia123

patricia123

Pati123

Paty123

Pato123

Patricia1234

patricia1234

Pati1234

Paty1234

pato1234

Este tipo de contraseñas son fácilmente hackeables, el tiempo de cómputo es relativamente corto ya sea por rompimiento de fuerza bruta (combinaciones consecutivas de caracteres alfanuméricos) o por diccionario (una colección de palabras alfanuméricas), los usuarios normalmente suelen ser muy predecibles ya sea por la falta de conocimiento o por el exceso de confianza.

Otros ejemplos muy comunes de contraseñas vulnerables son el nombre seguido de la fecha de nacimiento del propio usuario, o la fecha de nacimiento del esposo, hijo, padre o madre. Este tipo de contraseñas son consideradas igual de vulnerables que las anteriores e igual de sencillas e atacar pero normalmente a parte de los ataques mencionados con anterioridad se pueden utilizar también Ingeniería Social.

La Ingeniería Social es la técnica de utilizar a los usuarios como eslabón débil de la cadena y a través de ellos obtener la información deseada que nos pueda llevar a la obtención de la rotura de un sistema. Es muy común aplicar ingeniería social ya que todos lo hacemos día con día solamente que hay que saber aplicarla y es tan normal ya que el ser humano es un ser normalmente predecible y se puede llevarlo a tener un solo objeto de conversación.

Atacante: ¿Qué hiciste ayer?

Víctima: Fíjate que mi esposo y yo fuimos al centro comercial a comprar zapatos…

Atacante: y ¿El sábado que hiciste?

Víctima: Ah, fuimos a comprar el arbol de navidad.

Atacante: ¿Fuimos?

Víctima: Si, mi esposo y yo —————-> Primera Obtención de Información Vital.

Atacante: ¿Cuándo es tu cumpleaños?

Víctima: Eso no se pregunta

Atacante: Es porque deseo regalarte algo

Víctima: ah, es el 2 de Marzo

Atacante: Entonces, ¿Tienes 30 años?

Víctima: ¿Cómo crees?, si yo soy de 1991 —————-> Segunda Obtención de Información Vital

Atacante: ¿Entonces eres mayor que tu esposo?

Víctima: No, yo soy menor que el, el es de 1984

Atacante: ¿Es del 2 de Marzo de 1984?

Víctima: No, yo soy del 2 de Marzo el es del 12 de septiembre —–> Tercera Obtención de Información

Atacante: A entonces Saul es del 12 de septiembre de 1984

Víctima: ¿Estas confundido?, mi esposo de llama José —————> Cuarta Obtención de Información

Como se puede observar en el ejemplo anterior se hace un ataque o técnica de ingeniería social a una víctima mujer, casada, nacida el 2 de marzo de 1991 y su esposo se llama José nacido el 12 de septiembre de 1984 y la información fue proporcionada en su totalidad por ella. Se obtuvieron fechas de nacimiento conjunto a las vulnerabilidades que presentan la mayor parte de los usuarios que se han comentado solo se requiere que ahora el atacante dedique un pequeño análisis para poder realizar su cometido.

password (1)

Entonces, ¿Cómo puedo tener una contraseña segura?

El EC-Council recomienda una contraseña mayor a 8 caracteres y estos caracteres sean la combinación de letras, números y caracteres especiales de esta manera se obtiene una contraseña muy fuerte. Pero al hacer una contraseña muy fuerte con esa combinación de caracteres el usuario tiende a olvidarla y despreciarla por el exceso de seguridad que presenta y tendera con el tiempo a regresarla a su estado sencillo y vulnerable.

Cuando la Ortografía no Importa… Es porque tratamos de seguridad informática

Muchas han sido las ocasiones en que los usuarios me han pedido el enseñarles a diseñar una contraseña segura pero que no sea difícil de recordar. Lo primero que les indico es que debe de tener algo importante para que tu lo recuerdes por ejemplo es válido cualquier dato que no sean tus datos personales por ejemplo el nombre de tu padre, madre, esposo, hijo, perro o de tu lugar favorito. Seguido a esto puede componerse anteponiendo o seguido de secuencias de números que pueden ser la fecha de nacimiento de tu esposo, hijo, padre, madre, perro, artista favorito.

Vamos a poner un ejemplo:

Nombre del Hijo: Daniel

Fecha de nacimiento del esposo: 25 de Noviembre de 1981

Primer Filtro de contraseña:

 

daniel25111981

 

Segundo filtro de contraseña: Vamos a dividir la cadena de números de la fecha y ponemos la mitad antes del nombre y la segunda mitad al finalizar el nombre.

2511daniel1981

Tercer Filtro de Contraseña: Aplicamos caracteres especiales ya que aquí la ortografía no importa por ejemplo cambiando las letras a por @, la letra d por D, la letra e por el número 3, y la letra l por L y agregamos para aumentar más la seguridad dos caracteres especiales en este ejemplo agregaremos dos * y nos quedara de la siguiente forma:

*2511d@ni3L1981*

 

Esta es una contraseña fuerte, segura, no vulnerable pero sobre todo fácil de recordar, hay muchas formas de crear contraseñas seguras yo solamente les describo una manera sencilla que me ha funcionado en mi carrera como analista de seguridad.

Leave a Reply