Criptografía sí, criptografía No

Recientemente Amazon eliminó el soporte a la criptografía en la última versión del sistema operativo de sus tabletas Kindle, Fire OS. Cualquiera que actualizase su Kindle Fire, Fire Phone o Amazon Fire TV a la versión 5 del sistema operativo, empezaría a almacenar su información local sin cifrar y, por lo tanto, accesible mediante ciberataques. Aunque el cifrado no se activa por defecto, es una medida disponible en las versiones anteriores.

Muy poco después, ante la reacción de los usuarios y las redes sociales, decidieron dar marcha atrás a tan polémica medida. Una actualización esta primavera, según comenta algún directivo de la compañía, devolverá la capacidad de cifrado -una buena práctica comúnmente aceptada en la actualidad- a sus dispositivos.

Todo esto ocurre mientras Apple y el FBI siguen peleando para que la empresa de Tim Cook desarrolle un software especial que permita romper la seguridad del iPhone en el caso de terrorismo en San Bernardino.

Es, curiosamente, conocida la posición de Amazon -junto con Google, Facebook o Microsoft- en contra de abrir puertas traseras en los sistemas operativos de los dispositivos móviles.

¿Por qué Amazon decidió retirar el cifrado y, tan poco tiempo después, dio marcha atrás?

Tu contraseña no es segura

Siete u ocho letras. Esto es todo lo que necesita una contraseña para entrar en los cada vez más numerosos servicios que usamos habitualmente. Cuentas de correo, acceso al ordenador del trabajo, web del banco, redes sociales, servicios en la nube, mensajería, webs de servicios, comercio electrónico, suscripciones varias, etc.

Cada vez más contraseñas, y cada vez más inseguras. Pero no es tan difícil hacerlas seguras. Y todas diferentes.  Estos son mis trucos:

1. No apuntarlas en un papel.

Papel, fichero de texto, post-it pegado al monitor… Bueno, esto es obvio.

2. No usar palabras del diccionario.

El ataque más sencillo es el del diccionario. El número de combinaciones posibles de ocho letras es muy elevado, pero las que forman palabras que signifiquen algo -que estén en el diccionario- son muchísimas menos. Con lo que se puede averiguar una contraseña formada por una palabra con sentido por fuerza bruta. Si utilizo alguna palabra, la escribo con faltas de ortografía ¡Esto la hace mucho menos evidente! Por ejemplo: “avierto” en lugar de “abierto“.

3. Mejor que una palabra, un acrónimo.

Una mejor alternativa a una palabra, es utilizar un acrónimo, Por ejemplo, escogiendo la primera letra de cada palabra de una frase que nos resulte fácil de recordar. Si tomamos el refrán “El Que Tiene Padrino Se Bautiza”, obtendríamos la contraseña “eqtpsv” (cambiando a propósito la “B” de “Bautiza” por la “V”).

4. Combinar mayúsculas y minúsculas.

Esto multiplica las combinaciones y aumenta la dificultad de un ataque por fuerza bruta. En nuestro ejemplo, podríamos escribir la clave como “eqtpsV” (poniendo la última letra, la “v”, en mayúsculas”)

5. Cambiar letras por números.

Esta estrategia incremente aún más el número de combinaciones a probar. Suelo sustituir algunas letras por números que se les parezcan: el número 0 para representar la letra “o”, el 1  para la “l” o la “i”, el 2 para la “z”, el 3 para la “e”, el 5 para la “s”, o las sustituciones menos evidades de 6 para la “b”, 7  para la “t”, 8 para la “B” o el 9 para la “g”.

Tomando el ejemplo anterior, escribiríamos la clave como “3qtpsV” (cambiamos la “e” por un “3”)

6. Cambiar letras por símbolos.

Con el mismo argumento que para el punto anterior: se puede usar un símbolo de dólar “$” para representar la letra “s”, un paréntesis abierto “(” para la “c”, un “+” para la “t”, “!”  para la “i”…

Cambiando alguna letra del ejemplo, tendríamos “3qtp$V” (cambiamos la “s” por un símbolo “$”)

7. Una clave para cada servicio.

El siguiente paso consiste en tener contraseñas diferentes para cada servicio, y sin necesidad de apuntarlas. Si usamos la misma clave en diferentes sitios -algo demasiado habitual- en cuanto una contraseña se ve comprometida, todos los servicios en los que se repite la misma clave estarían en peligro.

Mi truco consiste en tomar siempre la misma contraseña “raíz”, a la que añado un prefijo de un par de letras en función del sitio donde la voy a utilizar y, opcionalmente, un sufijo distinto para cada una de las cuentas que tenga en el mismo servicio.

La contraseña en twitter con mi usuario @alejandroandre sería, por tanto, “Tw3qtp$Va” (“Tw” al inicio, por twitter y “a”, al final por @alejandroandre), mientras que con el usuario @nubbus serían “Tw3qtp$Vn“. Siguiendo con este ejemplo, mi contraseña de Facebook podría ser “Fa3qTp$V“,la de Gmail “Gm3qTp$V” y así hasta casi el infinito…

Con esta técnica, aunque no es perfecta, se pueden definir claves suficientemente fuertes gracias a

    1. tener una longitud suficiente,
    2. utilizar mayúsculas, minúsculas, números y símbolos, y
    3. ser diferentes para cada servicio.

 

¿Qué trucos utilizas tú para crear tus contraseñas de forma segura?