Instituto Nacional de Tecnologas de la Comunicacin

Recomendaciones para la creacin y uso de contraseas seguras

En los ltimos aos, el perfil de los usuarios de Internet y los usos que estos hacen de la Red, ha variado, alcanzndose unas notables tasas de penetracin en determinados servicios. As, por ejemplo en Espaa, el correo electrnico, con un 99,5%, es el servicio ms utilizado entre los usuarios habituales de Internet entre 16 y 74 aos, un 63% ha utilizado servicios de banca electrnica y actividades financieras y el 52% ha realizado compras online. 1 El resultado de todo este proceso de incorporacin a la sociedad de la informacin es que el nmero de dispositivos desde los que se puede acceder a las redes de informacin se ha ampliado, y las gestiones desde los mismos son ms numerosas, ms frecuentes, y de mayor trascendencia econmica. En este contexto, y con el objetivo de que todo el proceso de comunicacin sea gestionado de forma segura, a la hora de hacer dichos usos y transacciones a travs de Internet, han de tomarse una serie de medidas y buenas prcticas encaminadas a mejorar la seguridad. En este sentido, la concienciacin del usuario para gestionar de modo eficiente su informacin tiene uno de sus pilares en la correcta gestin y creacin de las contraseas que este ha de utilizar en la mayora de los procesos y operaciones que requieren de su autenticacin. Habitualmente, cuando un usuario pretende realizar una transaccin con una empresa por medio de la Red le es requerida una clave de usuario (login) y una contrasea (password). As, en el 24% de los casos de las empresas que ofrecen sus servicios a travs de Internet, el usuario ha de registrarse como tal e identificarse para acceder a dichos servicios mediante una contrasea. 2 Sin embargo, observando los datos estadsticos sobre usos y hbitos en Internet, se constatan carencias y lagunas en la gestin de la seguridad de la informacin en relacin con el empleo de las contraseas. En general, slo el 41% de los usuarios habituales de Internet espaoles utiliza claves o contraseas como medidas de seguridad 3 y, en

INTECO: Estudio sobre la Seguridad de la Informacin y e-Confianza de los hogares espaoles (1 Oleada:Dic-Ene 07)www.inteco.es
2 3

INE: Encuesta sobre el uso de TIC y comercio electrnico en las empresas (2005-2006). www.ine.es Red.es: XI oleada del panel de las TIC en los hogares espaoles. www.red.es

Recomendaciones para la creacin y uso de contraseas seguras Observatorio de la Seguridad de la Informacin

Pgina 1 de 7

Instituto Nacional de Tecnologas de la Comunicacin

particular, apenas la mitad (51,6%) utiliza dicha medida para el acceso y proteccin de los ficheros ubicados en los ordenadores domsticos. 4 Sin embargo, y a pesar de ser una medida de seguridad no demasiado extendida, la importancia de la utilizacin y robustez de las contraseas y claves es muy elevada. Debemos ser cuidadosos a la hora de elegir nuestras contraseas Tanto en el ordenador del trabajo, como en el propio del hogar existe informacin y se realizan operaciones cuya repercusin econmica y personal es muy importante. Esto afecta al los sistemas de las empresas y equipos informticos, as como a la privacidad del usuario. A ninguno se nos ocurrira dejarle la llave de nuestro hogar a cualquier desconocido que nos la pidiera, incluso al perderla se procede a cambiarla inmediatamente. Algo parecido sucede con nuestras contraseas. A nadie se le ocurrira dejarle el nombre de usuario y contrasea de acceso a nuestros servicios bancarios por la Red a un desconocido, o siquiera, a un conocido. La repercusin de este hecho puede suponer desde que nos vacen la cuenta suplantando nuestra persona, o en el caso de nuestro trabajo, que se apoderen de todos los datos en nuestro equipo contenidos o, incluso, puedan eliminarlos, perdiendo hasta aos de trabajo por una descuidada gestin de nuestras contraseas. Un reciente estudio elaborado entre 325 empleados seala que un 30% de trabajadores americanos guarda sus contraseas, apuntadas en un papel cerca del propio equipo, y un 66% lo hace en un archivo en su propio ordenador o en su mvil. Estas conductas poco cuidadosas facilitan enormemente las incidencias de seguridad que, de ocurrir, pueden llegar a tener consecuencias graves. As, el phishing, uno de los fraudes ms extendidos ltimamente por la Red, precisamente centra su objetivo en conseguir las claves y contraseas del usuario, para usarlas con fines espurios. As, en el caso ms habitual se suplanta la pgina web de una entidad bancaria o financiera (aunque pueden ser tambin pginas de la administracin, buscadores, subastas) para de este modo, robar los datos del usuario y realizar operaciones y transacciones econmicas en su cuenta bancaria. 5

INTECO: Estudio sobre la Seguridad de la Informacin y e-Confianza de los hogares espaoles (1 Oleada:Dic-Ene 07)www.inteco.es 5 INTECO: Estudio sobre usuarios y entidades pblicas y privadas afectadas por la prctica fraudulenta conocida como phishing. www.inteco.es

Recomendaciones para la creacin y uso de contraseas seguras Observatorio de la Seguridad de la Informacin

Pgina 2 de 7

Instituto Nacional de Tecnologas de la Comunicacin

Consecuencias de la sustraccin o revelacin de nuestras contraseas El objetivo de la sustraccin de nuestras contraseas para con ellas apropiarse de informacin sensible para el usuario con una finalidad de tipo econmico o bien realizar otras acciones dainas o delictivas como borrado de toda informacin, chantaje, espionaje industrial, etc. Las consecuencias son diversas y varan segn el valor que cada usuario haya establecido para la informacin. Por ejemplo, si la contrasea corresponde a la de un servicio bancario podran sustraernos dinero de la cuenta o efectuar otras operaciones con perjuicio econmico para el usuario. Si la contrasea pertenece al ordenador de nuestro hogar podran tomar su control o robar toda la informacin contenida en l: como otras contraseas o listados de usuarios y correos electrnicos o archivos personales y documentos. Otra consecuencia podra ser el borrado completo de toda la informacin all incluida. En el mbito laboral, las consecuencias pueden llegar a ser catastrficas si un tercero suplanta nuestra identidad utilizando nuestro usuario y contrasea. As, podra acceder a los sistemas corporativos con nuestro usuario y, bien sustraer todo tipo de informacin del trabajador y/o la empresa, o bien utilizar esta entrada para modificar o incluso eliminar archivos, con las consecuencias econmicas, de responsabilidad jurdica y prdidas de imagen que ello supondra. Mtodos por los que nuestras contraseas quedan al descubierto Los mtodos para descubrir las contraseas de un usuario son variados. En primer lugar, se basan en la utilizacin de la ingeniera social, por ejemplo utilizando el telfono o un correo electrnico para engaar al usuario para que ste revele sus contraseas. Dentro de este grupo destaca el fraude conocido como phishing. En este tipo de estafa online el objetivo consiste en obtener las contraseas o nmero de la tarjeta de un usuario, mediante un e-mail, sms, fax, etc. que suplanta la personalidad de una entidad de confianza y donde se le insta al usuario que introduzca sus contraseas de acceso. Tambin es posible que el usuario se la comunique o ceda a un tercero y, por accidente o descuido, quede expuesta al delincuente, por ejemplo, al teclearla delante de otras personas. Puede ser que el atacante conozca los hbitos del usuario y deduzca el sistema que ste tiene para crear contraseas (por ejemplo, que elige personajes de su libro favorito) o que asigne la misma contrasea a varios servicios (correo electrnico, cdigo PIN de las tarjetas de crdito o telfono mvil, contrasea de usuario en su ordenador, etc.).

Recomendaciones para la creacin y uso de contraseas seguras Observatorio de la Seguridad de la Informacin

Pgina 3 de 7

Instituto Nacional de Tecnologas de la Comunicacin

Otro mtodo, consiste en que el atacante pruebe contraseas sucesivas hasta encontrar la que abre el sistema, lo que comnmente se conoce por ataque de fuerza bruta. Hoy en da un atacante, con un equipo informtico medio de los que hay en el mercado, podra probar hasta 10.000.000 de contraseas por segundo. Esto significa que una contrasea creada con slo letras minsculas del alfabeto y con una longitud de 6 caracteres, tardara en ser descubierta, aproximadamente, unos 30 segundos. Igualmente, se aplican tcnicas ms sofisticadas para realizar la intrusin. Se trata de mtodos avanzados que en consiguen averiguar la contrasea cifrada atacndola con un programa informtico (crackeador) que la descodifica y deja al descubierto. Un ltimo grupo de tcnicas se basan en la previa infeccin del equipo mediante cdigo malicioso: con programas sniffer o keylogger. Un programa sniffer o monitor de red espa las comunicaciones del ordenador que tiene residente dicho malware, a travs de la red, y de ellas obtiene los datos de las claves. El keylogger o capturador de pulsaciones de teclado consiste en un programa que se instala en el ordenador del usuario de modo fraudulento, y almacena en un archivo toda aquella informacin que se teclea en el ordenador. Ms adelante dicho archivo puede ser enviado al atacante sin conocimiento ni consentimiento del usuario y, con ello, el intruso puede obtener las distintas contraseas que el usuario ha utilizado en el acceso a los servicios online o que ha podido incluir en correos electrnicos . Recomendaciones de INTECO en relacin a la gestin y establecimiento de contraseas. Para gestionar correctamente la seguridad de las contraseas, desde el Instituto Nacional de Tecnologas de la Comunicacin (INTECO) se recomienda a los usuarios tener en cuenta las siguientes pautas para la creacin y establecimiento de contraseas seguras: Poltica y acciones para construir contraseas seguras: 1. Se deben utilizar al menos 8 caracteres para crear la clave. Segn un estudio de la Universidad de Wichita, el nmero medio de caracteres por contrasea para usuarios entre 18 y 58 aos habituales de Internet es de 7. Esto conlleva el peligro de que el tiempo para descubrir la clave se vea reducido a minutos o incluso segundos. Slo un 36% de los encuestados indicaron que utilizaban un nmero de caracteres de 7 o superior. 2. Se recomienda utilizar en una misma contrasea dgitos, letras y caracteres especiales. 3. Es recomendable que las letras alternen aleatoriamente maysculas y minsculas. Hay que tener presente el recordar qu letras van en mayscula y cules en minscula. Segn el mismo estudio, el 86% de los usuarios utilizan slo letras
Recomendaciones para la creacin y uso de contraseas seguras Observatorio de la Seguridad de la Informacin Pgina 4 de 7

Instituto Nacional de Tecnologas de la Comunicacin

minsculas, con el peligro de que la contrasea sea descubierta por un atacante casi instantneamente. 4. Elegir una contrasea que pueda recordarse fcilmente y es deseable que pueda escribirse rpidamente, preferiblemente, sin que sea necesario mirar el teclado. 5. Las contraseas hay que cambiarlas con una cierta regularidad. Un 53% de los usuarios no cambian nunca la contrasea salvo que el sistema le obligue a ello cada cierto tiempo. Y, a la vez, hay que procurar no generar reglas secuenciales de cambio. Por ejemplo, crear una nueva contrasea mediante un incremento secuencial del valor en relacin a la ltima contrasea. P. ej.: pasar de 01Juitnx a 02Juitnx. 6. Utilizar signos de puntuacin si el sistema lo permite. P. ej.: Tr-.3Fre. En este caso de incluir otros caracteres que no sean alfa-numricos en la contrasea, hay que comprobar primero si el sistema permite dicha eleccin y cules son los permitidos. Dentro de ese consejo se incluira utilizar smbolos como: ! " # $ % & ' ( ) * + , - . / : ; <=>?@[\]^_`{|}~ 7. Existen algunos trucos para plantear una contrasea que no sea dbil y se pueda recordar ms fcilmente. Por ejemplo se pueden elegir palabras sin sentido pero que sean pronunciables, etc. Nos podemos ayudar combinando esta seleccin con nmeros o letras e introducir alguna letra mayscula. Otro mtodo sencillo de creacin de contraseas consiste en elegir la primera letra de cada una de las palabras que componen una frase conocida, de una cancin, pelcula, etc. Con ello, mediante esta sencilla mnemotecnia es ms sencillo recordarla. Vg: de la frase Com mucho chocolate el domingo 3, por la tarde, resultara la contrasea: cmCeD3-:xLt. En ella, adems, se ha introducido alguna mayscula, se ha cambiado el por en una x y, si el sistema lo permite, se ha colocado algn signo de puntuacin (-). Acciones que deben evitarse en la gestin de contraseas seguras: 1. Se debe evitar utilizar la misma contrasea siempre en todos los sistemas o servicios. Por ejemplo, si se utilizan varias cuentas de correo, se debe recurrir a contraseas distintas para cada una de las cuentas. Un 55% de los usuarios indican que utilizan siempre o casi siempre la misma contrasea para mltiples sistemas, y un 33% utilizan una variacin de la misma contrasea. 2. No utilizar informacin personal en la contrasea: nombre del usuario o de sus familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en ninguna ocasin utilizar datos como el DNI o nmero de telfono.

Recomendaciones para la creacin y uso de contraseas seguras Observatorio de la Seguridad de la Informacin

Pgina 5 de 7

Instituto Nacional de Tecnologas de la Comunicacin

3. Hay que evitar utilizar secuencias bsicas de teclado (por ejemplo: qwerty, asdf o las tpicas en numeracin: 1234 98765) 4. No repetir los mismos caracteres en la misma contrasea. (ej.: 111222). 5. Hay que evitar tambin utilizar solamente nmeros, letras maysculas o minsculas en la contrasea. 6. No se debe utilizar como contrasea, ni contener, el nombre de usuario asociado a la contrasea. 7. No utilizar datos relacionados con el usuario que sean fcilmente deducibles, o derivados de estos. (ej: no poner como contrasea apodos, el nombre del actor o de un personaje de ficcin preferido, etc.). 8. No escribir ni reflejar la contrasea en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo (ej: no guardar las contraseas de las tarjetas de dbito/crdito en el mvil o las contraseas de los correos en documentos de texto dentro del ordenador), 9. No se deben utilizar palabras que se contengan en diccionarios en ningn idioma. Hoy en da existen programas de ruptura de claves que basan su ataque en probar una a una las palabras que extraen de diccionarios: Este mtodo de ataque es conocido como ataque por diccionario. 10. No enviar nunca la contrasea por correo electrnico o en un sms. Tampoco se debe facilitar ni mencionar en una conversacin o comunicacin de cualquier tipo. 11. Si se trata de una contrasea para acceder a un sistema delicado hay que procurar limitar el nmero de intentos de acceso, como sucede en una tarjeta de crdito y cajeros, y que el sistema se bloquee si se excede el nmero de intentos fallidos permitidos. En este caso debe existir un sistema de recarga de la contrasea o vuelta atrs. 12. No utilizar en ningn caso contraseas que se ofrezcan en los ejemplos explicativos de construccin de contraseas robustas. 13. No escribir las contraseas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso pblico (bibliotecas, cibercafs, telecentros, etc.). 14. Cambiar las contraseas por defecto proporcionadas por desarrolladores/fabricantes.
Recomendaciones para la creacin y uso de contraseas seguras Observatorio de la Seguridad de la Informacin Pgina 6 de 7

Instituto Nacional de Tecnologas de la Comunicacin

Herramientas y soluciones informticas Existe tambin la posibilidad de recurrir a herramientas y soluciones de software que creen las contraseas seguras que vamos a utilizar. A continuacin, ofrecemos una recopilacin de enlaces que pueden ser de utilidad al usuario: MaxPassword: http://www.max2k.com/ lameGen: http://lame-industries.net/ ViPNet Password Roulette: http://www.infotecs.biz Password Generator: http://www.wincatalog.com/ Password Strength Analyser and Generator: http://pwdstr.sourceforge.net/ Cryptix: http://www.rbcafe.com/

Recomendaciones para la creacin y uso de contraseas seguras Observatorio de la Seguridad de la Informacin

Pgina 7 de 7