En la primera parte de este artículo contamos la historia de Ransomware desde sus orígenes en 1989 hasta el surgimiento de Cryptolocker. Hoy completamos este repaso a la historia del Ransomware con las amenazas que han surgido desde WannaCry (en 2017) hasta el RaaS (Ransomware as a Service) en nuestros días.

CONTENIDOS

2017: WannaCry y NotPetya

2018: Ransomware y Cryptojacking

2019-2020: Maze Ransomware

2021-2022: Ransomware as a Service (RaaS)

Conclusión

2017: WannaCry y NotPetya

En el año 2017  hubo dos incidentes bastante importantes y conocidos, aunque no fueron Ransomware como tal, sino que se hicieron pasar por Ransomware para destruir información. Su objetivo no era que se pudiera recuperar información, sino destruirla. Aunque se pagara el rescate, no era posible recuperarla.

NotPetya fue un ataque dirigido a empresas de Ucrania, usando para su propagación un programa de contabilidad que todas las empresas usan si quieren hacer operaciones de contabilidad en la hacienda pública de ese país. Este malware consiguió comprometer una de las actualizaciones de está herramienta de contabilidad, consiguiendo de esta forma instalarse en todas las empresas. Permaneció instalado por un tiempo y se activó en una fecha y hora concreta.

WannaCry fue detectado el 12 de mayo de 2017 en Telefónica, cuando había comprometido varios datos de su red interna. Este peligroso ataque aumentó el foco sobre los malware de este tipo.

Después de estos dos incidentes, se ha visto como han ido aumentando los ataques a las cadenas de suministro.

2018: Ransomware y Cryptojacking

El aumento del valor de las criptomonedas por el 2018 hizo que los ciberdelincuentes se fijaran más en la minería de criptomonedas que en el ransomware.

En este caso lo que intentaban hacer era infectar las máquinas y aprovechar los recursos de esas máquinas para generar criptomonedas mediante el minado.

2019-2020: Maze Ransomware

En el 2019 se produjo un cambio de modelo a la hora de generar beneficios, que vino de la mano del Ransomware Maze.

Hasta ahora el Ransomware lo que hacía era entrar en el equipo que infectaba, cifrar la información y pedir un rescate. Pero si el usuario o empresa a la que infectaba el ransomware tenía una copia de seguridad podía restaurarla y recuperar su actividad normal.

Los ciberdelincuentes se dieron cuenta de esto y con Maze no solamente accedían a la máquina y cifraban la información, sino que además lo que hacían previamente era robar la información del equipo al que infectaban y de toda la red interna a la que tuviera acceso ese equipo; y luego la cifraban. Una vez robada y cifrada la información, en la carta de rescate se les amenazaba de que si no se pagaban el rescate esa información se iba a filtrar.

Esto afectaría en gran medida a la reputación de la empresa y además muchos competidores tendrían acceso a esa información, así como cualquier persona u otros ciberdelincuentes que la podrían usar para lanzar otros ataques. Y además, desde la regulación del RGPD, existen normativas o reglamentos que multan severamente a aquellas empresas que sufran una filtración de información donde se incluyan datos de sus usuarios, proveedores, clientes,…

En ocasiones, la información que consiguieron extraer era tan valiosa que los ciberdelincuentes organizaban subastas públicas para ver quién pujaba más por esa información.

Maze funcionaba prácticamente como una empresa, que incluso tenía afiliados para distribuir el malware, y no parecían considerarse ciberdelincuentes. Como dato curioso, tenía incluso un servicio técnico que “ayudaba” a las empresas que habían sido comprometidas a realizar el pago y recuperar los archivos. Maze desapareció el 1 de noviembre de 2020.

2021-2022 Ransomware as a Service (RaaS)

Uno de los últimos modelos en aparecer en este tipo de amenazas ha sido el Ransomware as a Service (RaaS). Las plataformas grandes de Ransomware alquilan sus soluciones de Ransomware cobrando un porcentaje del rescate de cada una de las campañas. Esto permite que cualquier persona sin conocimientos de programación pueda acceder a este tipo de herramientas y lanzar sus propias campañas. Algunos grupos de Ransomware están creando franquicias para comercializar el ransomware que han desarrollado.

Este modelo es el que utiliza el Ransomware Conti, que “forma” a usuarios sin conocimientos, les da un salario fijo y la participación en los beneficios de la “empresa”.

Uno de los tipos de Ransomware más populares que usan el modelo RaaS es LockBit 3.0. Los usuarios que lo utilizan mediante previo pago o una tarifa plana pasan a ser afiliados del Ransomware.

Cómo detalle final, estos últimos años se está viendo la aparición de campañas de Ransomware más sofisticado y más difícil de detectar. Las nuevas campañas de ransomware se centran en reconocer el entorno del objetivo atacado mediante ataques más avanzados. Los ciberdelincuentes se informan previamente sobre el objetivo,  adquiriendo un conocimiento previo en el que determinan el nivel de rescate que se podría llegar a pedir o si es viable que la empresa llegue a pagar el rescate.

Estas amenazas están lejos de desaparecer; más bien al contrario, cada vez se detectan más nuevos tipos de campañas de Ransomware

Conclusión

Hemos visto la evolución del Ransomware, desde aquel virus que el Dr. Plopp distribuyó mediante el envío postal de disquetes hasta campañas de RaaS (Ransomware as a Service), que se estructuran como empresas y que tienen hasta sus propios afiliados, ofreciéndolo con el nuevo modelo de Ransomware como servicio. Como podemos comprobar, es una amenaza con la que tendremos que convivir durante bastante tiempo, ya que de momento está muy lejos de desaparecer.

La mayoría de gente dentro del mundo de la informática ha escuchado alguna vez hablar del Ransomware, algunos incluso lo han sufrido en sus dispositivos o en las empresas donde trabajan. Pero ¿Cómo empezó el Ransomware? Y, sobre todo, ¿Por qué se ha hecho tan popular entre las mafias del cibercrimen? En esta serie de dos artículos vamos a repasar la historia del Ransomware, como era en sus inicios y en lo que se ha convertido.

CONTENIDOS

1989: aparece el primer Ransomware

2006: GPCode

2011: el virus de la policía

2013-2015: Cryptolocker

1989: aparece el primer Ransomware

La historia del Ransomware comienza en 1989.  Ese año, el doctor Joseph Popp, biólogo evolutivo, primatólogo y antropólogo por Harvard, después de una conferencia sobre el SIDA, repartió mediante el servicio postal 20.000 copias de un disquete distribuidas entre 90 países, el cual contenía un supuesto software de educación sobre el SIDA.

El disquete contenía un programa que medía el riesgo de una persona de contraer el SIDA basándose en sus respuestas a una encuesta interactiva. Pero también contenía oculto un virus que se iniciaba cuando el usuario había reiniciado el ordenador un número determinado de veces.

Una vez que el virus se ejecutaba lo que hacía era cifrar el disco duro del usuario y aparecía un mensaje como el que vemos en la imagen de abajo.

En el mensaje vemos la palabra AIDS que son las siglas del SIDA en inglés. Luego se le pedía un rescate al usuario de 189 dólares para poder recuperar sus datos. Como en esta época no existía el Bitcoin el rescate debía ser pagado enviando dinero a un apartado postal panameño. Una vez pagado, la víctima recibiría su software de descifrado para que pudiera recuperar sus archivos. Estamos ante el primer Ransomware de la historia. Joseph Popp, sin que nadie hablara todavía de ransomware, había creado el primero de ellos, una de las mayores amenazas para la seguridad informática de hoy en día.

Como curiosidad, este virus fue reportado por primera vez en Inglaterra donde ni siquiera había leyes que contemplaran este tipo de delitos.

2006: GPCode

Aparece un malware llamado GPCode que lo que hacía era cifrar la información de los sistemas que infectaba, en esta época infectó muchos Windows XP y mostraba un mensaje en pantalla muy parecido a los que se muestran ahora en las variantes actuales de Ransomware.

Este Ransomware fue el primero que estaba dirigido por Internet al usuario medio, como rescate se pedían 120 dólares para recuperar los archivos cifrados. La gente no sabía a qué se refería el mensaje ni lo que quería decir esto de cifrado.

GPcode se difundió a través de archivos adjuntos de correo electrónico que parecían ser una solicitud de empleo. Este malware sentó las bases de lo que sería el Ransomware moderno.

2011: el virus de la policía

En el año 2011 apareció un método de estafa mediante campañas mejor organizadas y más dirigidas.

Este virus lo que hacía era mostrar una pantalla en el ordenador de la víctima suplantando a las autoridades policiales de cada país, dependiendo del país que fuera la víctima le mostraba una plantilla diferente. Cuando aparecía esta pantalla bloqueaba el acceso al usuario al ordenador, pero no cifraba sus datos. Simplemente le impedía el acceso al sistema.

Esta pantalla le indicaba al usuario que había accedido o consumido contenido ilegal o inadecuado y que debía realizar un pago de una pequeña cantidad, normalmente eran 100 euros para desbloquear su ordenador. Los pagos se solían pedir en tarjetas prepago.

Este Ransomware se conoció coloquialmente como el “virus de la policía”.

2013-2015: Cryptolocker

En el 2013 apareció el Ransomware Cryptolocker, en este caso se volvían a cifrar los archivos y se volvía a mostrar el mensaje de rescate pidiendo una cantidad económica para recuperarlos.

En este Ransomware nos daban un tiempo límite para hacer el pago o destruirían la clave de acceso lo que añadía un aspecto psicológico a la víctima dejándole poco tiempo de reacción y también se empezó a requerir el pago en criptomonedas, lo que hacía menos rastreable la transacción.

2014: El incidente de correos

En España, un incidente que involucraba a Correos en 2014 fue el punto de inflexión para que la opinión pública se diera cuenta de que Ransomware era un problema real que podía afectar a cualquiera.

En diciembre de 2014 mucha gente empezó a recibir un supuesto mail de correos que indicaba que no se había podido entregar una carta certificada. Este mail añadía un enlace para que se descargara la información del envío e incluso añadía sensación de urgencia indicando que se cobrarían 7,55 euros por cada día que no se hiciera este trámite.

Una vez que pulsaban en el enlace los llevaba a una página donde se descargaba un fichero en formato ZIP que incluía el Ransomware. Como estaba cerca la Navidad, mucha gente estaba esperando a recibir paquetes y muchas empresas y particulares cayeron en este engaño.

Mediante estas estafas, los ciberdelincuentes se dieron cuenta que las campañas dirigidas a un país en concreto funcionaban bien y empezaron las campañas masivas.

Aunque el incidente de correos estuvo localizado en España, Cryptolocker sí tuvo difusión en todo el mundo, haciendo saltar las alarmas de usuarios y empresas sobre los ataques tipo Ransomware.

Pero no sería la última amenaza tipo Ransomware.  En la segunda parte de este repaso a la historia del Ramsomware, veremos otras amenazas como WannaCry, Maze Ransomware o el más reciente, el llamado RaaS (Ransomware as a Service).

Desde comienzos de año, y de manera continuada, venimos siendo víctimas potenciales del phishing, como las que trataban de suplantar a CaixaBank y otros bancos. A pesar de todas nuestras precauciones, nos puede suceder que hayamos sido víctimas de una estafa de phishing, dado que proliferan cada vez más.  Aquí te contamos que hacer en esa situación.

Hoy día, ya la mayoría de la gente sabe que el phishing es un tipo técnica fraudulenta, que persigue suplantar la identidad de una empresa, administración o servicio de confianza, mediante un correo electrónico o página web falsos, para engañar a la víctima y obtener de él información de valor de manera ilícita.

Entre 2021 y este año, se han multiplicado el phishing y el smishing (la misma técnica, pero por sms). Ha habido ejemplos de bancos como Caixabank, Sabadell, BBVA o Santander. Ya te contamos en otra publicación sobre phishing  lo que tienes que hacer para evitar ser víctima de este tipo de fraude. Pero las técnicas son cada vez más sofisticadas. Por ejemplo, esta correo suplantando al Ministerio de Sanidad, estafa de phishing que tuvo lugar en marzo de este año, no tenía apenas faltas de ortografía y emulaba bastante bien un comunicado oficial:

¿Cómo actuar si has sido víctima de una estafa del tipo phishing?

1. CAMBIA TUS CLAVES Y/O ANULA TU TARJETA LO ANTES POSIBLE

La ley de servicios de pago establece que es obligación del usuario tomar todas las medidas razonables para proteger sus credenciales de seguridad. También debe informar sin demora a la entidad bancaria en caso de sustracción o apropiación de datos indebidos o de su tarjeta de crédito.

Si a pesar de tomar medidas, te ha sucedido, el primer paso si son las credenciales las que has introducido, es cambiarlas cuanto antes e informar al banco. En caso de que sean datos de una tarjeta bancaria o varias, debes hablar con el banco cuanto antes para anular la tarjeta o tarjetas afectadas.

2. RECOPILA TODAS LAS PRUEBAS DE QUE DISPONGAS Y DENUNCIA

El segundo e importante paso es recopilar las pruebas que tengas de la estafa de phishing (capturas de la web, correos electrónicos, SMS,…) y ponerlo en manos de las autoridades.

El INCIBE cuenta con un  formulario y un correo de ayuda para reportes de fraude de internautas que hayan sido víctimas de cualquier tipo de estafa, además de su número de ayuda 017.

La Guardia Civil cuenta con un Grupo de Delitos Telemáticos, que animan a presentar una denuncia si has sido testigo o víctima de un delito de ese tipo.

La Policía Nacional, aparte de ofrecer la opción de denunciar, lo que puedes hacer de diversas formas, cuenta también con la Brigada Central de Investigación Tecnológica, que ofrece la opción de informar sobre cualquier hecho delictivo relacionado con las redes y las tecnologías de la información.

3. RECUPERA TU DINERO

La ley española hace recaer sobre la entidad bancaria la obligación de reponer el dinero sustraído, en caso de se haya producido un cargo fraudulento, como es el caso de una estafa de phishing.

Aquí debes tener clara la distinción entre cargo no autorizado y cargo fraudulento. El primero es cuando proporcionas a un comercio online, voluntariamente y sin que el comercio te engañe acerca de sus datos o situación, datos de tu cuenta o tarjeta, pero la cuantía es diferente a la acordada. El cargo fraudulento se produce cuando te han sustraído indebidamente o mediante engaño tus credenciales bancarias o datos de tarjeta.

En este segundo caso, la ley impone al banco una responsabilidad casi objetiva siempre que la víctima no haya dado una autorización real a la transferencia de dinero. Solo se exonere a la entidad en caso de culpa exclusiva del perjudicado por negligencia grave. Por ejemplo, dejar el pin de la tarjeta escrito cerca de ella sería una negligencia grave, o facilitar tus credenciales bancarias a un tercero (nunca se deben facilitar, son personales e intransferibles). Sin embargo, puede que el banco intente ahorrarse pagar recurriendo  a que no has tomado las precauciones debidas como internauta. Por  eso, te remitimos  a los consejos para evitar ser víctima del fraude  del  phisihing  que ya te hemos dado con anterioridad.

Esperamos que nunca seas víctima de una estafa de phishing, pero, si ya te ha sucedido, recuerda que hay muchas cosas que aún puedes hacer, como las que hemos recogido en la presente publicación.

Las estadísticas nos muestran que España sufre más de 40.000 ciberataques diarios, siendo las administraciones y las PYMES los objetivos más vulnerables. Desde el año 2021, los ciberataques a las webs de organismos públicos y empresas se han multiplicado, creciendo la cifra en un alarmante 125%. En este contexto, ya 4 de cada 10 empresas han sido víctimas de este tipo de delito. En el post de hoy analizaremos cómo son y cómo afectan los ciberataques en España a las empresas.

CONTENIDOS

Los ciberataques en España más usados

Phishing

Ransomware

Los ciberataques en España y el teletrabajo

La ciberseguridad en la Nube

Ciberataques en España a las entidades públicas

5 tendencias actuales en materia de ciberseguridad

Lamentablemente, los ciberataques en España han convertido nuestro país en el tercero del mundo en número de ciberataques, por lo tanto estamos ante una realidad muy preocupante.

Los ciberataques en España más usados

La máxima preocupación de los directivos españoles es el malware, concretamente el “phishing” y el “ransomware”.

Phishing

Los expertos afirman que, por ejemplo, la formación de los empleados en la identificación y reporte del “phishing” es una medida crucial. Esta técnica de fraude, que se basa en el envío de correos que aparentemente proceden de fuentes confiables, pero que en realidad tratan de manipular al usuario, suele ser la más importante puerta de entrada en un gran número de ciberataques. Aunque una empresa haya apostado por su ciberseguridad, si cualquier empleado ignora todas las alertas y abre un fichero, el sistema se va a infectar de todos modos. La formación de equipos en materia de ciberseguridad se ha convertido en una de materia prioritaria.

Ransomware

La mayoría de los ciberdelitos que se comenten se producen mediante ransomware, es decir,  se centran en tomar el control de una web y más tarde pedir un rescate, lo cual puede resultar económicamente desastroso para una empresa familiar. Según las autoridades, los ciberdelicuentes más frecuentes en España, buscan llenar su bolsillo bien con dinero o bien con información, que luego podrán vender a cambio de dinero.

Pero además, este tipo de ataque cada vez es más sofisticado, como sucede con  el “ransomware de triple extorsión”, que abarca el robo de datos, la exigencia de una recompensa a la empresa afectada y además añade un chantaje a los clientes.

Hay que recordar que muchas de estas amenazas pueden combinarse en un mismo ataque, aunque casi siempre es el “phishing”, el vector de entrada por el que se decantan la mayoría de los ciberdelincuentes.

Los ciberataques en España y el teletrabajo

La pandemia provocó la implementación del teletrabajo en muchas empresas y también creó un aumento de la demanda de los servicios online.  La creciente automatización de los procesos ha disparado el apetito de los piratas informáticos deseosos de capturar la información de los usuarios y emplearla en su beneficio. Así, el 94% de las empresas sufrieron al menos un incidente grave de ciberseguridad en el 2021, según se desprende un estudio elaborado por Deloitte, en donde se pone de manifiesto que las organizaciones que más facturan- (Seguros, telecomunicaciones y banca)- suelen ser las que más tienen que invertir en materia de ciberseguridad.

La ciberseguridad en la Nube

Trabajar en la nube, el gran espacio virtual en donde se almacenan los datos, es una realidad para un gran número de empresas y es uno de los objetivos de los ciberatques en España. Sin embargo, todavía el 19% de las empresas que cuentan con estos servicios no disponen de una mínima estrategia definida en materia de ciberseguridad.

También por culpa de la pandemia, muchas PYMES se vieron forzadas a buscar soluciones rápidas que permitieran el acceso a los datos de manera online. Esta transición se realizó de manera abrupta y en la mayor parte de los casos, no hubo tiempo para planificar una estrategia de ciberseguridad. Hoy estas empresas deberán solucionar los problemas de seguridad con los datos, si no desean verse expuestas a un peligro de alto riesgo.

Ciberataques en España a las entidades públicas

Según el Centro Criptológico Nacional que depende del CNI, actualmente solo 6 webs de la Administración General del Estado disponen de una “Certificación de Conformidad del Esquema Nacional de Seguridad”, que es la certificación acreditada que asegura que estas webs están defendidas de los ciberdelicuentes, aunque la seguridad nunca es de un 100%. Es de sobra conocido por todos el caso del ransomware “RYUK” que bloqueó por largo tiempo todos los datos y equipos del Servicio Público Estatal (SEPE), o el caso del Ministerio de Trabajo, que también fue atacado por un ransomware.

Los ayuntamientos y las comunidades autónomas españolas tampoco salen bien parados en materia de ciberseguridad, en la práctica muchas de estas administraciones no están certificadas, lo cual las hace muy vulnerables a los ciberdelito.

5 tendencias actuales en materia de ciberseguridad

1) Lo que más están haciendo las PYMES y otras empresas españolas es externalizar en terceros las funciones de ciberseguridad. Esto les permite ser más flexibles a la hora de afrontar cambios en un entorno impredecible, sin tener que asumir costes fijos de personal.

2) Las PYMES también se están decantando por los ciberseguros, intentando de esta manera mitigar el impacto económico que supondría un ciberataque.

3) Los sectores más regulados son los que están haciendo mayores esfuerzos por invertir en ciberseguridad, reduciendo el número de empleados críticos para así diversificar el riesgo de forma más efectiva. Solo en el 33% de las empresas el personal crítico es la totalidad de su plantilla.

4) En el futuro, también las Smart Cities y la tecnología 5G serán muy importantes en materia de Ciberseguridad. Las nuevas conexiones, 10 veces más rápidas que las fibras actuales, tendrán que ser protegidas por sólidos equipos de prevención y contarán con sistemas de escaneos constantes para detectar y neutralizar los ciberataques. El foco estará puesto en la protección de las redes y sistemas, así como en la privacidad y los derechos digitales de los ciudadanos.

5) Actualmente en España los expertos en ciberseguridad son uno de los perfiles más buscados en el mercado laboral.  Aunque a nivel de formación y habilidades estos se parecen a los hackers, su motivación es totalmente la opuesta, mantener el orden digital y evitar los ciberdelitos. Expertos en materia de ciberseguridad cifraron en 149.774 los trabajadores de este campo en España en el 2021. En el futuro, el campo seguirá creciendo, convirtiéndose en una de las especialidades más cotizadas de la próxima década.

Extra Software cuenta con un gran equipo de expertos en ciberseguridad que ofrecen a PYMES servicios y soluciones dirigidas a prevenir y a combatir los ciberataques. Si deseas más información o quieres contactar clica a continuación:

Cuanto más avanza internet, más importante es proteger nuestra información personal. Es fundamental saber defenderse de los ataques y las suplantaciones, aprendiendo a resguardar nuestra intimidad digital. Las contraseñas son las llaves que dan acceso a nuestros servicios y por ende a nuestra información privada. Si alguien las consiguiera puede comprometer nuestra intimidad accediendo, entre otras cosas, a publicar nuestro nombre en redes sociales, a leer o mandar un email suplantándonos o a entrar en nuestra cuenta bancaria. En este post vamos a darte algunas claves para gestionar contraseñas seguras en internet.

CONTENIDOS

1. Los riesgos de no tener contraseñas seguras

2. Cómo crear contraseñas seguras y robustas

3. Motivos para no reutilizar las contraseñas

4. Precaución con las preguntas de seguridad para recuperar contraseñas

5. Los gestores de contraseñas

6. El factor humano

1. Los riesgos de no tener contraseñas seguras

A la hora de elegir una contraseña, es normal elegir palabras o números que nos resulten familiares. Muchas personas, por ejemplo, ponen la fecha de su cumpleaños, la de alguno de sus hijos o la famosa contraseña “123456”, que lamentablemente es utilizada por millones de personas en todo el mundo. Este tipo de contraseñas son un gran error, pues son muy fáciles de averiguar por los ciberdelicuentes.

La regla principal es no compartir las contraseñas con nadie. Si lo haces, dejará de ser secreta y estarás poniendo en peligro tu privacidad. Sobre todo, es importante transmitir esta recomendación a los menores, que normalmente acostumbran a compartir sus contraseñas con amigos o parejas. Después, si la relación se rompe o se produce una enemistad, habrá otra persona que tendrá acceso a todas sus cuentas. También es muy recomendable cambiar las contraseñas cada cierto tiempo. Muchos sitios, como los bancos online, obligan de vez en cuando a realizar este tipo de cambio.

2. Cómo crear contraseñas seguras y robustas

Para crear contraseñas fuertes e inquebrantables, debemos tener en cuenta los siguientes consejos:

• Las contraseñas deben estar formadas al menos por 8 caracteres que incluyan: mayúsculas, minúsculas, números y caracteres especiales.
• No se debe utilizar en la contraseña: palabras sencillas en cualquier idioma, nombres propios, lugares, combinaciones excesivamente cortas o fechas de nacimiento.
• Tampoco se deben usar contraseñas que estén formadas por la concatenación de varios elementos fáciles de averiguar. Por ejemplo “Juan1985” (nombre+ fecha de nacimiento)

Uno de los mayores problemas de utilizar contraseñas demasiado simples es que ya existen programas diseñados automáticamente para probar millones de contraseñas en apenas un minuto.

3. Motivos para no reutilizar las contraseñas

Otra cuestión importante es utilizar siempre contraseñas diferentes en los distintos servicios de internet. El problema es que si, por cualquier motivo, nos roban “la contraseña” podrían tener acceso a todas nuestras cuentas.

En ocasiones resulta complicado recordar todas las contraseñas que utilizamos (email, redes sociales, foros, páginas web, etc.), por eso algunas sencillas ideas podrían facilitarnos la tarea de crear contraseñas seguras.

• Cambiar las vocales por números-. Ejemplo: “Mi familia es genial- M3 f1m3l31 2s g2n31l”
• Utilizar reglas mnemotécnicas. Ejemplo, eligiendo la primera letra de cada palabra en una frase que sea fácil de recordar para nosotros: “Con 10 cañones por banda…-C10cpb”
• Usar contraseñas basadas en un mismo patrón, pero introduciendo ligeras variaciones a una misma contraseña en cada tipo de servicio. Por ejemplo, añadiendo al final la última letra del servicio utilizado:” Facebook-C10cpbK, Twitter-C10cpobR o Gmail- C10cpbL”
• Crear contraseñas más o menos robustas, dependiendo de la importancia del servicio. Para los servicios más sensibles, como nuestra cuenta de email, podemos utilizar un generador aleatorio de contraseñas. La mayoría de los gestores de contraseñas ofrecen esta funcionalidad.

Otra razón para no usar la misma contraseña en diferentes servicios es que algunos no almacenarán nuestra contraseña cifrada en sus servidores, por lo que es necesario poner una contraseña que no se parezca a ninguna de las que utilizamos. Para poder identificar este tipo de servicios, se puede comprobar si al darnos de alta o al recuperar nuestra contraseña nos indican cuál era nuestra clave, en lugar de proporcionarnos un enlace para cambiarla.

4. Precaución con las preguntas de seguridad para recuperar contraseñas

Algunos servicios ofrecen la opción de utilizar preguntas de seguridad para que, en caso de olvido, podamos recuperar la contraseña. Sin embargo, muchas de estas preguntas son demasiado simples. Cualquier persona que nos conozca mínimamente o que disponga de acceso a nuestras redes sociales podría averiguar la respuesta sin demasiado esfuerzo. Por ejemplo, “¿Cómo se llama tu mascota?”. Por ello, no debemos utilizar las preguntas de seguridad con respuestas sencillas y obvias. Podemos facilitar una respuesta más compleja o simplemente una respuesta falsa que solo sea conocida por nosotros.

5. Los gestores de contraseñas

Como cuesta memorizar las contraseñas si se utilizan muchos servicios, puede ser interesante apoyarse en un gestor de contraseñas seguras, ya que son muy fáciles de manejar. Este tipo de programas permite almacenar las diferentes contraseñas, protegiéndolas con una clave de acceso que solo el usuario conoce.

Los generadores de contraseñas tienen un algoritmo que permite además generar cadenas de números, letras y símbolos aleatorios, con la longitud y las características que le indiquemos, almacenando nuestras contraseñas en una base de datos cifrada. De esta forma están seguras y bajo nuestro control. Antes de utilizar un gestor de contraseñas debemos tener en cuenta las siguientes consideraciones:

• La contraseña maestra que utilicemos para acceder debe ser segura y robusta, ya que dará acceso al resto de las contraseñas.
• Si olvidamos la contraseña maestra no podremos acceder al resto de las contraseñas, por tanto, debemos memorizarla bien para no olvidarnos de ella.
• Debemos realizar copias de seguridad del fichero de contraseñas cada cierto tiempo para evitar que puedan perderse las contraseñas almacenadas.

6. El factor humano

Por último, hay que tener en cuenta que la tecnología no puede prevenir algunos malos hábitos de las personas relacionados con las contraseñas. El factor humano es también esencial. En los análisis que se han realizado recientemente para conocer cuáles eran las principales barreras cognitivas que tienen las personas para crear contraseñas seguras, los resultados han identificado cuatro tipos de comportamientos negativos:

• SOBRECONFIANZA: “Mi contraseña es segura”.
• INCERTIDUMBRE/AVESIÓN AL RIESGO: “Desconozco si mi contraseña es segura”.
• STATUS QUO: “Recuerdo fácilmente mis contraseñas actuales”.
• SOBRECARGA COGNITIVA: “Poner contraseñas más complejas requiere esfuerzo y además luego no las recuerdo bien”.

Estos malos hábitos relacionados con el uso de las contraseñas nos muestran como todavía la mente de la mayoría de las personas no es consciente de la importancia de la ciberseguridad. Debemos tomarnos muy en serio este tema, si no deseamos enfrentarnos a las desagradables consecuencias de un ciberataque a nuestras cuentas.