La ley de Murphy

Estas son las contraseñas más usadas (y las más hackeadas)

Las contraseñas más utilizadas del 2021 son también las más inseguras; los nombres, malas palabras, grupos musicales, marcas de autos y hasta equipos de fútbol están entre las repetidas

Cada vez que el sistema de correo electrónico o alguna de las redes sociales y de las aplicaciones me solicita el cambio de contraseña no se me ocurre nada. Así que no hay autoridad alguna para juzgar a quienes utilizan claves con el nombre de mascotas, apellidos, siglas de nombres, y los primeros números.

Las contraseñas son el botín más preciado de los hackers. De hecho, los ciberdelincuentes inventan todo tipo de estratagemas para que las personas distraídas o incautas se las entreguen a ciegas, sin saber lo que están haciendo.

Con las contraseñas en la mano, los ciberdelincuentes ingresan a las cuentas bancarias, suplantan identidades y capturan los perfiles en redes sociales, secuestran información de las empresas.

La firma de seguridad informática Eset publicó un estudio de las 200 contraseñas más utilizadas en la web en 2021. No hay sorpresas.

En el informe quedó demostrado que las combinaciones numéricas, fáciles de adivinar para los ciberdelincuentes, siguen siendo muy populares entre los usuarios.

Ocho de las diez contraseñas más utilizadas están compuestas por varias combinaciones numéricas, particularmente 123456, 123456789 y 12345 ocupan el primer, segundo y tercer lugar de la lista este año.

Junto con la preferencia por las diferentes combinaciones numéricas, se advirtió lo repetitivas que son las variaciones.

El reporte mostró más comportamientos nada sorprendentes:

Uso de nombres: a una cantidad asombrosa de personas les encanta usar su propio nombre como contraseña, dice Eset.

Música: Onedirection regresa a la lista de las contraseñas más comunes en varios países después de desaparecer misteriosamente de la lista de 2020.

Fútbol: el Liverpool podría ser el equipo más popular del mundo, a juzgar por la cantidad de veces que se ha utilizado como contraseña.

Automóviles: las marcas Ferrari y Porsche son las más populares cuando se trata de contraseñas incorrectas.

Malas palabras: las malas palabras se utilizan con bastante frecuencia como contraseñas. Las investigaciones muestran que los hombres usan malas palabras como contraseñas con más frecuencia que sus contrapartes femeninas.

Animales: delfín o dolphin ocupó el primer lugar entre las contraseñas relacionadas con animales en muchos países.

Si se repasan los resultados de los informes de contraseñas hackeadas de 2017, 2018, 2019 y 2020, las que más veces registraron filtraciones son precisamente las que combinan los mismos números.

Por ejemplo, 123456 se mantiene entre la primera y la segunda posición desde 2017 a 2021. También se repiten año tras año dentro de las primeras cinco posiciones, aunque en distinto orden, otras variantes como 123456789, 12345678 o password (esta no se me había ocurrido a la fecha).

Eset recalca que queda en evidencia lo populares que siguen siendo contraseñas extremadamente débiles. Además, si se toma como referencia solamente las 20 contraseñas más recurrentes, el tiempo para descifrarlas a través ataques de fuerza bruta y con sistemas informáticos en la mayoría de los casos es menor a un segundo.

Los países donde hay mayor fuga de contraseñas en relación a su población, son Estados Unidos, Canadá, Australia, Chile y Rusia, así como algunos países de Europa y Asia. Le siguen México, Brasil y Colombia en el continente.

Nuestro país no está excluido. Este viernes 3 de diciembre agentes de la Sección de Fraudes del Organismo de Investigación Judicial, realizaron siete allanamientos en los sectores de Moravia, Desamparados y Alajuela, donde se logró la detención de cuatro personas sospechosas de conformar una organización dedicada a fraude informático.

A estas personas se les relaciona con al menos 32 causas. “Durante la investigación se logró determinar que al parecer desde un centro penal realizaban las llamadas y por medio de varias modalidades —como falso funcionario bancario, fondo de pensiones, firma digital y otros— lograban obtener información de sus víctimas y acceder a las cuentas para sustraer el dinero”, informó el OIJ.

En esos casos, recurren a estrategias de engaño de los usuarios, pero se debe recordar que los cibercriminales recurren a los ataques de fuerza bruta para descubrir las credenciales de accesos a este tipo de servicios desde Internet.

Si los usuarios cometen el doble error de reutilizar estas mismas contraseñas para acceder a otros servicios, el riesgo es aún mayor. Descifrando un acceso los atacantes pueden obtener la llave para otros servicios.

Con las credenciales en su poder, los cibercriminales generalmente intentan venderlas en foros de la dark web donde son adquiridas por otros actores maliciosos para realizar algún tipo de campaña maliciosa.

Eset advierte que confiar la seguridad de la información exclusivamente en una contraseña larga y compleja ya no es suficiente.

Actualmente resulta fundamental activar la autenticación en dos pasos en cada una de las aplicaciones que se utilizan, para reducir significativamente las posibilidades de que alguien logre secuestrar las cuentas.

¿Qué es la autenticación en dos pasos? Que para ingresar a una aplicación o sistema, se debe digitar un código enviado mediante SMS al celular registrado del usuario, a otra aplicación o a otro correo electrónico, entre otras modalidades. Los sistemas ya vienen con este tipo de herramientas. Solamente hay que activarlas.

Eset tambié recomienda considerar usar una frase como contraseña única para cada una de sus cuentas en línea, lo que haría más difícil o incluso imposible descifrarla.

“Evite caer en otros malos hábitos relacionados con la creación y el uso de contraseñas, como la reutilización de contraseñas para diferentes servicios”, señala Cecilia Pastorino, especialista en seguridad informática del Laboratorio de Investigación de Eset Latinoamérica.

Carlos Cordero Pérez

Carlos Cordero Pérez

Carlos Cordero es periodista especializado en temas tecnológicos. Escribe para El Financiero y es autor del blog "La Ley de Murphy".