Las malas contraseñas siempre suponen un riesgo

La seguridad existente en las contraseñas que son utilizadas por los usuarios es algo básico para poder prevenir el hackeo de dichas cuentas. Un ejemplo es el reciente ataque informático al sitio de citas extramatrimoniales Ashley Madison, que distribuyó en Internet millones de datos personales y financieros de sus usuarios, y donde se han cuestionado las medidas de seguridad adoptadas por la página.

Avast, creador de los software de seguridad para PC y móviles más confiable del mundo, decidió analizar la seguridad existente en las contraseñas utilizadas por los usuarios del sitio y cómo éstas eran almacenadas por el sitio.

Sin tener en cuenta otras brechas de seguridad de la página web, algo que Ashley Madison hizo bien fue el uso de una encriptación robusta y respetada, conocida como bcrypt. Este sistema, al igual que todas las encriptaciones, toma el password creado por el usuario y lo intercambia por otro código (hash), de modo que no queda rastro en sus sistemas de la contraseña original, pero particularmente es lento por diseño, lo que hace más difícil para los hackers obtener resultados de la plataforma.

Sin embargo, aunque las barreras de seguridad que salvaguardan las contraseñas sean buenas, si las contraseñas en sí son malas los datos que protegen se vuelven vulnerables.

Avast tomó el primer millón de los 36 millones de contraseñas encriptadas que se dieron a conocer con la filtración, que corresponde a los datos más antiguos de cuando el sitio comenzó a operar en 2001, y se dispuso a decodificarlos para analizar qué tanto son usadas por los usuarios las contraseñas más débiles y reconocidas.

Usando como base el listado de los 500 peores passwords de todos los tiempos (compilado en 2008) y el difundido en 2009, luego de la filtración de los datos del sitio RockYou, que cuenta con 14 millones de contraseñas, Avast descubrió que de las 25.393 contraseñas decodificadas, solamente 1.064 eran originales.

Las 20 contraseñas más usadas por los usuarios de Ashley Madison, a partir de la muestra obtenida del sitio, fueron: 1:123456, 2:password, 3:12345678, 4:1234, 5:pussy, 6:12345, 7:dragon, 8:qwerty, 9:696969, 10:mustang, 11:letmein, 12:baseball, 13:master, 14:michael, 15:football, 16:shadow, 17:monkey, 18:abc123, 19:pass y 20:fuckme.

Para las personas que alguna vez crearon una cuenta en Ashley Madison antes del 15 de julio de 2015, el hash (su password reemplazado por otro formato) se ha filtrado y la contraseña puede haber sido decodificada ya, por lo que se recomienda el cambio inmediato de la contraseña.

No hay excusa en el uso de malas contraseñas, particularmente cuando estas, al ser usadas de modo inteligente, cumplen un rol vital en proteger los datos de atacantes y otras vulnerabilidades. Incluso con una de las encriptaciones de seguridad más estrictas del mundo, sólo con un listado conocido y a disposición de todo el mundo en internet es posible tirar abajo estas barreras.

Avast recomienda la utilización de contraseñas fuertes como el primer paso (y uno primordial) para mantener la información segura. Para más detalles sobre cómo crear una contraseña fuerte puedes encontrar una guía aquí. Sino, aún más recomendable es el uso de un password manager, que genera una contraseña fuerte y única, y contraseñas generadas aleatoriamente.