Instituto Nacional

de Tecnologas
de la Comunicacin

Poltica de contraseas y seguridad de la informacin

En los ltimos aos, el perfil de los usuarios de Internet y los usos que estos hacen de la
Red, ha variado, alcanzndose unas notables tasas de penetracin en determinados
servicios. As, por ejemplo en Espaa, el correo electrnico, con un 99,5%, es el servicio
ms utilizado entre los usuarios habituales de Internet entre 16 y 74 aos, un 63% ha
utilizado servicios de banca electrnica y actividades financieras y el 52% ha realizado
compras online. 1
El resultado de todo este proceso de incorporacin a la sociedad de la informacin es que
el nmero de dispositivos desde los que se puede acceder a las redes de informacin se
ha ampliado, y las gestiones desde los mismos son ms numerosas, ms frecuentes, y
de mayor trascendencia econmica.
En este contexto, y con el objetivo de que todo el proceso de comunicacin sea
gestionado de forma segura, a la hora de hacer dichos usos y transacciones a travs de
Internet, han de tomarse una serie de medidas y buenas prcticas encaminadas a
mejorar la seguridad. En este sentido, la concienciacin del usuario para gestionar de
modo eficiente su informacin tiene uno de sus pilares en la correcta gestin y creacin
de las contraseas que este ha de utilizar en la mayora de los procesos y operaciones
que requieren de su autenticacin.
Habitualmente, cuando un usuario pretende realizar una transaccin con una empresa
por medio de la Red le es requerida una clave de usuario (login) y una contrasea
(password). As, en el 24% de los casos de las empresas que ofrecen sus servicios a
travs de Internet, el usuario ha de registrarse como tal e identificarse para acceder a
dichos servicios mediante una contrasea. 2
Sin embargo, observando los datos estadsticos sobre usos y hbitos en Internet, se
constatan carencias y lagunas en la gestin de la seguridad de la informacin en relacin
con el empleo de las contraseas. En general, slo el 41% de los usuarios habituales de
Internet espaoles utiliza claves o contraseas como medidas de seguridad 3 y, en

INTECO: Estudio sobre la Seguridad de la Informacin y e-Confianza de los hogares espaoles (1 Oleada:Dic-Ene 07)www.inteco.es
2

INE: Encuesta sobre el uso de TIC y comercio electrnico en las empresas (2005-2006). www.ine.es

Red.es: XI oleada del panel de las TIC en los hogares espaoles. www.red.es

Poltica de contraseas y seguridad de la informacin

Observatorio de la Seguridad de la Informacin

Pgina 1 de 7

Instituto Nacional
de Tecnologas
de la Comunicacin

particular, apenas la mitad (51,6%) utiliza dicha medida para el acceso y proteccin de
los ficheros ubicados en los ordenadores domsticos. 4
Sin embargo, y a pesar de ser una medida de seguridad no demasiado extendida, la
importancia de la utilizacin y robustez de las contraseas y claves es muy elevada.
Debemos ser cuidadosos a la hora de elegir nuestras contraseas
Tanto en el ordenador del trabajo, como en el propio del hogar existe informacin y se
realizan operaciones cuya repercusin econmica y personal es muy importante. Esto
afecta al los sistemas de las empresas y equipos informticos, as como a la privacidad
del usuario. A ninguno se nos ocurrira dejarle la llave de nuestro hogar a cualquier
desconocido que nos la pidiera, incluso al perderla se procede a cambiarla
inmediatamente. Algo parecido sucede con nuestras contraseas.
A nadie se le ocurrira dejarle el nombre de usuario y contrasea de acceso a nuestros
servicios bancarios por la Red a un desconocido, o siquiera, a un conocido. La
repercusin de este hecho puede suponer desde que nos vacen la cuenta suplantando
nuestra persona, o en el caso de nuestro trabajo, que se apoderen de todos los datos en
nuestro equipo contenidos o, incluso, puedan eliminarlos, perdiendo hasta aos de
trabajo por una descuidada gestin de nuestras contraseas. Un reciente estudio
elaborado entre 325 empleados seala que un 30% de trabajadores americanos guarda
sus contraseas, apuntadas en un papel cerca del propio equipo, y un 66% lo hace en un
archivo en su propio ordenador o en su mvil. Estas conductas poco cuidadosas facilitan
enormemente las incidencias de seguridad que, de ocurrir, pueden llegar a tener
consecuencias graves.
As, el phishing, uno de los fraudes ms extendidos ltimamente por la Red,
precisamente centra su objetivo en conseguir las claves y contraseas del usuario, para
usarlas con fines espurios. As, en el caso ms habitual se suplanta la pgina web de una
entidad bancaria o financiera (aunque pueden ser tambin pginas de la administracin,
buscadores, subastas) para de este modo, robar los datos del usuario y realizar
operaciones y transacciones econmicas en su cuenta bancaria. 5

INTECO: Estudio sobre la Seguridad de la Informacin y e-Confianza de los hogares espaoles (1 Oleada:Dic-Ene 07)www.inteco.es
5
INTECO: Estudio sobre usuarios y entidades pblicas y privadas afectadas por la prctica fraudulenta conocida como
phishing. www.inteco.es

Poltica de contraseas y seguridad de la informacin

Observatorio de la Seguridad de la Informacin

Pgina 2 de 7

Instituto Nacional
de Tecnologas
de la Comunicacin

Consecuencias de la sustraccin o revelacin de nuestras contraseas

El objetivo de la sustraccin de nuestras contraseas para con ellas apropiarse de
informacin sensible para el usuario con una finalidad de tipo econmico o bien realizar
otras acciones dainas o delictivas como borrado de toda informacin, chantaje,
espionaje industrial, etc. Las consecuencias son diversas y varan segn el valor que
cada usuario haya establecido para la informacin.
Por ejemplo, si la contrasea corresponde a la de un servicio bancario podran
sustraernos dinero de la cuenta o efectuar otras operaciones con perjuicio econmico
para el usuario.
Si la contrasea pertenece al ordenador de nuestro hogar podran tomar su control o
robar toda la informacin contenida en l: como otras contraseas o listados de usuarios
y correos electrnicos o archivos personales y documentos. Otra consecuencia podra ser
el borrado completo de toda la informacin all incluida.
En el mbito laboral, las consecuencias pueden llegar a ser catastrficas si un tercero
suplanta nuestra identidad utilizando nuestro usuario y contrasea. As, podra acceder a
los sistemas corporativos con nuestro usuario y, bien sustraer todo tipo de informacin
del trabajador y/o la empresa, o bien utilizar esta entrada para modificar o incluso eliminar
archivos, con las consecuencias econmicas, de responsabilidad jurdica y prdidas de
imagen que ello supondra.
Mtodos por los que nuestras contraseas quedan al descubierto
Los mtodos para descubrir las contraseas de un usuario son variados. En primer lugar,
se basan en la utilizacin de la ingeniera social, por ejemplo utilizando el telfono o un
correo electrnico para engaar al usuario para que ste revele sus contraseas. Dentro
de este grupo destaca el fraude conocido como phishing. En este tipo de estafa online
el objetivo consiste en obtener las contraseas o nmero de la tarjeta de un usuario,
mediante un e-mail, sms, fax, etc. que suplanta la personalidad de una entidad de
confianza y donde se le insta al usuario que introduzca sus contraseas de acceso.
Tambin es posible que el usuario se la comunique o ceda a un tercero y, por accidente o
descuido, quede expuesta al delincuente, por ejemplo, al teclearla delante de otras
personas. Puede ser que el atacante conozca los hbitos del usuario y deduzca el
sistema que ste tiene para crear contraseas (por ejemplo, que elige personajes de su
libro favorito) o que asigne la misma contrasea a varios servicios (correo electrnico,
cdigo PIN de las tarjetas de crdito o telfono mvil, contrasea de usuario en su
ordenador, etc.).

Poltica de contraseas y seguridad de la informacin

Observatorio de la Seguridad de la Informacin

Pgina 3 de 7

Instituto Nacional
de Tecnologas
de la Comunicacin

Otro mtodo, consiste en que el atacante pruebe contraseas sucesivas hasta encontrar
la que abre el sistema, lo que comnmente se conoce por ataque de fuerza bruta. Hoy
en da un atacante, con un equipo informtico medio de los que hay en el mercado,
podra probar hasta 10.000.000 de contraseas por segundo. Esto significa que una
contrasea creada con slo letras minsculas del alfabeto y con una longitud de 6
caracteres, tardara en ser descubierta, aproximadamente, unos 30 segundos.
Igualmente, se aplican tcnicas ms sofisticadas para realizar la intrusin. Se trata de
mtodos avanzados que en consiguen averiguar la contrasea cifrada atacndola con un
programa informtico (crackeador) que la descodifica y deja al descubierto.
Un ltimo grupo de tcnicas se basan en la previa infeccin del equipo mediante cdigo
malicioso: con programas sniffer o keylogger. Un programa sniffer o monitor de red
espa las comunicaciones del ordenador que tiene residente dicho malware, a travs de
la red, y de ellas obtiene los datos de las claves. El keylogger o capturador de
pulsaciones de teclado consiste en un programa que se instala en el ordenador del
usuario de modo fraudulento, y almacena en un archivo toda aquella informacin que se
teclea en el ordenador. Ms adelante dicho archivo puede ser enviado al atacante sin
conocimiento ni consentimiento del usuario y, con ello, el intruso puede obtener las
distintas contraseas que el usuario ha utilizado en el acceso a los servicios online o que
ha podido incluir en correos electrnicos .
Recomendaciones de INTECO en relacin a la gestin y establecimiento de
contraseas.
Para gestionar correctamente la seguridad de las contraseas, desde el Instituto Nacional
de Tecnologas de la Comunicacin (INTECO) se recomienda a los usuarios tener en
cuenta las siguientes pautas para la creacin y establecimiento de contraseas seguras:
Poltica y acciones para construir contraseas seguras:
1. Se deben utilizar al menos 8 caracteres para crear la clave. Segn un estudio de la
Universidad de Wichita, el nmero medio de caracteres por contrasea para usuarios
entre 18 y 58 aos habituales de Internet es de 7. Esto conlleva el peligro de que el
tiempo para descubrir la clave se vea reducido a minutos o incluso segundos. Slo un
36% de los encuestados indicaron que utilizaban un nmero de caracteres de 7 o
superior.
2. Se recomienda utilizar en una misma contrasea dgitos, letras y caracteres
especiales.
3. Es recomendable que las letras alternen aleatoriamente maysculas y minsculas.
Hay que tener presente el recordar qu letras van en mayscula y cules en
minscula. Segn el mismo estudio, el 86% de los usuarios utilizan slo letras
Poltica de contraseas y seguridad de la informacin
Observatorio de la Seguridad de la Informacin

Pgina 4 de 7

Instituto Nacional
de Tecnologas
de la Comunicacin

minsculas, con el peligro de que la contrasea sea descubierta por un atacante casi
instantneamente.
4. Elegir una contrasea que pueda recordarse fcilmente y es deseable que pueda
escribirse rpidamente, preferiblemente, sin que sea necesario mirar el teclado.
5. Las contraseas hay que cambiarlas con una cierta regularidad. Un 53% de los
usuarios no cambian nunca la contrasea salvo que el sistema le obligue a ello cada
cierto tiempo. Y, a la vez, hay que procurar no generar reglas secuenciales de
cambio. Por ejemplo, crear una nueva contrasea mediante un incremento secuencial
del valor en relacin a la ltima contrasea. P. ej.: pasar de 01Juitnx a 02Juitnx.
6. Utilizar signos de puntuacin si el sistema lo permite. P. ej.: Tr-.3Fre. En este caso
de incluir otros caracteres que no sean alfa-numricos en la contrasea, hay que
comprobar primero si el sistema permite dicha eleccin y cules son los permitidos.
Dentro de ese consejo se incluira utilizar smbolos como: ! " # $ % & ' ( ) * + , - . / : ;
<=>?@[\]^_`{|}~
7. Existen algunos trucos para plantear una contrasea que no sea dbil y se pueda
recordar ms fcilmente. Por ejemplo se pueden elegir palabras sin sentido pero que
sean pronunciables, etc. Nos podemos ayudar combinando esta seleccin con
nmeros o letras e introducir alguna letra mayscula. Otro mtodo sencillo de
creacin de contraseas consiste en elegir la primera letra de cada una de las
palabras que componen una frase conocida, de una cancin, pelcula, etc. Con ello,
mediante esta sencilla mnemotecnia es ms sencillo recordarla. Vg: de la frase
Com mucho chocolate el domingo 3, por la tarde, resultara la contrasea:
cmCeD3-:xLt. En ella, adems, se ha introducido alguna mayscula, se ha
cambiado el por en una x y, si el sistema lo permite, se ha colocado algn signo de
puntuacin (-).
Acciones que deben evitarse en la gestin de contraseas seguras:
1. Se debe evitar utilizar la misma contrasea siempre en todos los sistemas o servicios.
Por ejemplo, si se utilizan varias cuentas de correo, se debe recurrir a contraseas
distintas para cada una de las cuentas. Un 55% de los usuarios indican que utilizan
siempre o casi siempre la misma contrasea para mltiples sistemas, y un 33%
utilizan una variacin de la misma contrasea.
2. No utilizar informacin personal en la contrasea: nombre del usuario o de sus
familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en ninguna
ocasin utilizar datos como el DNI o nmero de telfono.

Poltica de contraseas y seguridad de la informacin

Observatorio de la Seguridad de la Informacin

Pgina 5 de 7

Instituto Nacional
de Tecnologas
de la Comunicacin

3. Hay que evitar utilizar secuencias bsicas de teclado (por ejemplo: qwerty, asdf o
las tpicas en numeracin: 1234 98765)
4. No repetir los mismos caracteres en la misma contrasea. (ej.: 111222).
5. Hay que evitar tambin utilizar solamente nmeros, letras maysculas o minsculas
en la contrasea.
6. No se debe utilizar como contrasea, ni contener, el nombre de usuario asociado a la
contrasea.
7. No utilizar datos relacionados con el usuario que sean fcilmente deducibles, o
derivados de estos. (ej: no poner como contrasea apodos, el nombre del actor o de
un personaje de ficcin preferido, etc.).
8. No escribir ni reflejar la contrasea en un papel o documento donde quede constancia
de la misma. Tampoco se deben guardar en documentos de texto dentro del propio
ordenador o dispositivo (ej: no guardar las contraseas de las tarjetas de
dbito/crdito en el mvil o las contraseas de los correos en documentos de texto
dentro del ordenador),
9. No se deben utilizar palabras que se contengan en diccionarios en ningn idioma.
Hoy en da existen programas de ruptura de claves que basan su ataque en probar
una a una las palabras que extraen de diccionarios: Este mtodo de ataque es
conocido como ataque por diccionario.
10. No enviar nunca la contrasea por correo electrnico o en un sms. Tampoco se debe
facilitar ni mencionar en una conversacin o comunicacin de cualquier tipo.
11. Si se trata de una contrasea para acceder a un sistema delicado hay que procurar
limitar el nmero de intentos de acceso, como sucede en una tarjeta de crdito y
cajeros, y que el sistema se bloquee si se excede el nmero de intentos fallidos
permitidos. En este caso debe existir un sistema de recarga de la contrasea o vuelta
atrs.
12. No utilizar en ningn caso contraseas que se ofrezcan en los ejemplos explicativos
de construccin de contraseas robustas.
13. No escribir las contraseas en ordenadores de los que se desconozca su nivel de
seguridad y puedan estar monitorizados, o en ordenadores de uso pblico
(bibliotecas, cibercafs, telecentros, etc.).
14. Cambiar las contraseas por defecto proporcionadas por desarrolladores/fabricantes.
Poltica de contraseas y seguridad de la informacin
Observatorio de la Seguridad de la Informacin

Pgina 6 de 7

Instituto Nacional
de Tecnologas
de la Comunicacin

Herramientas y soluciones informticas

Existe tambin la posibilidad de recurrir a herramientas y soluciones de software que
creen las contraseas seguras que vamos a utilizar. A continuacin, ofrecemos una
recopilacin de enlaces que pueden ser de utilidad al usuario:
-

MaxPassword: http://www.max2k.com/

lameGen: http://lame-industries.net/

ViPNet Password Roulette: http://www.infotecs.biz

Password Generator: http://www.wincatalog.com/

Password Strength Analyser and Generator: http://pwdstr.sourceforge.net/

Cryptix: http://www.rbcafe.com/

Poltica de contraseas y seguridad de la informacin

Observatorio de la Seguridad de la Informacin

Pgina 7 de 7