Es posible que tus contraseñas sean accesibles en tu ordenador y no lo sepas

Cuatro consejos muy básicos para que nadie se haga con tus contraseñas

Algunas de las contraseñas más comunes

El 80% de los españoles estamos preocupados por la privacidad en internet, según una encuesta de YouGov para Google. Pero tampoco es que hagamos mucho al respecto: el 61% de los jóvenes de entre 13 y 30 años usa la misma contraseña para algunas o todas sus cuentas y el 48% ha compartido su contraseña con alguien de confianza.

Esta moderada despreocupación no es exclusiva de España: según publicó la CNN, durante unos días la cuenta oficial del presidente de Estados Unidos, Donald Trump, no tuvo activada la verificación en dos pasos (que explicamos en el punto 3 de este mismo artículo). Además, el Secretario de Prensa publicó dos tuits que parecían contraseñas, aunque bien podría haberse dejado el teléfono sin bloquear en el bolsillo.

Sean Spicer acaba de tuitear algo que se parece mucho a una contraseña.

Aprovechando que este martes 7 de febrero es el Día de la Seguridad en Internet, ofrecemos algunos consejos básicos para que no nos pase lo mismo que a dos de las personas más poderosas del mundo.

1. Advertencia: tu navegador tiene una lista (de texto) con todas tus contraseñas

Si habitualmente le pides a tu navegador que recuerde todas las contraseñas, las puedes encontrar en una lista. Sí, una lista. De texto. Si usas Mozilla, esa lista estará además desprotegida por defecto. Esto significa que, si no tienes una contraseña para iniciar sesión en el ordenador, cualquiera que tenga acceso al mismo podrá consultarla, ya sea un compañero de trabajo con el que compartes ordenador o ese tipo que ha salido corriendo con tu portátil debajo del brazo.

Para comprobarlo, ve a Preferencias > Seguridad > Credenciales guardadas. Te aparecerá una lista de los sitios cuya contraseña has guardado y la última vez que entraste. Si pinchas en "mostrar contraseñas", podrás verlas todas, con todas sus letras y números.

Para evitar que cualquiera pueda consultar esta lista, vuelve a Seguridad y selecciona la opción "usar una contraseña maestra". A partir de entonces, te pedirá que introduzcas una clave antes de mostrarte la lista

Recomendamos "usar una contraseña maestra" (abajo a la izquierda)

Chrome también guarda tus contraseñas, pero antes de mostrártelas te pedirá tus claves de Google. Están en Configuración > Ajustes > Configuración avanzada > Administrar contraseñas o directamente en http://passwords.google.com.

En passwords.google.com podemos acceder a todas las contraseñas que tenemos guardadas en Chrome

Para ver las de Safari, en Mac, hay que ir al Acceso a Llaveros, donde están guardadas todas las contraseñas. En el caso de Windows, se pueden encontrar en el Panel de Control > Microsoft Credential Manager. En ambos casos te pedirá tu contraseña antes, ya sea la ID de Apple o la de Microsoft.

2. Cómo cerrar todas tus sesiones

Pongamos que entras en Facebook en el trabajo, te olvidas de cerrar la sesión y te acuerdas cuando ya estás de vuelta a casa, en el autobús. Que no cunda el pánico: algunas webs ofrecen la posibilidad de cerrar todas las sesiones que tengamos abiertas en otros equipos.

En el caso de Facebook, hay que hacerlo desde el móvil, en Configuración de la cuenta > Seguridad > Sesiones activas. Ahí podemos cerrar las que nos interese. Si usas Whatsapp desde el ordenador, también puedes cerrar esa sesión desde tu teléfono: hay que ir a Configuración > WhatsApp Web / Escritorio > Cerrar todas las sesiones. Si te ha ocurrido con Google, hay que abrir Gmail y pinchar, abajo a la derecha, en "información detallada", para después escoger la opción "cerrar todas las demás sesiones abiertas".

Puedes cerrar todas las sesiones de Google que tengas abierta: ve a Gmail y pincha, abajo a la derecha en Información detallada. Te aparecerá este menú

3. La verificación en dos pasos

Como su propio nombre indica, la verificación en dos pasos consiste en añadir un paso más: la cuenta te pedirá no solo algo que sabes (la contraseña) sino algo que tienes (el móvil). Habitualmente se trata de un código que nos envían a nuestro teléfono por sms (también puede ser una llamada o un código que se envía a una app). No hace falta introducir las dos claves cada vez que entremos en esa cuenta: una vez activada la verificación en dos pasos, podemos especificar equipos seguros, desde los que solo se nos pedirá la contraseña.

La ventaja de la verificación en dos pasos es que se solicitará ese segundo código a quien intente entrar en nuestra cuenta desde otro ordenador u otro teléfono. Es decir, no basta con saber nuestra contraseña para cotillearnos el correo.

Otra ventaja es que si alguien sale corriendo con nuestro portátil, no podrá cambiar las contraseñas para evitar que nosotros entremos, pero nosotros sí podemos cerrar muchas de las sesiones y además cambiar la contraseña desde el teléfono. El problema lo tenemos si perdemos el móvil, claro, o si ese señor ha salido corriendo con el portátil y el teléfono. Se trata de una capa más de seguridad, pero no es infalible.

El servicio se puede activar en muchos servicios de correo y redes sociales:

- Google: se puede activar la verificación en dos pasos en esta dirección.

- Apple: es posible gestionar la cuenta en esta dirección. Aquí hay más datos

- WhatsApp: esta opción está en Ajustes > Cuenta > Verificación en dos pasos > Activar. Hay más información en su web

- Twitter: hay que ir al icono de perfil, y allí pinchar en Configuración > Configuración de seguridad y privacidad > Verificar las solicitudes de inicio de sesión. Más información en su web.

- Facebook: Configuración de la seguridad > Aprobaciones de inicio de sesión. Hay que marcar la casilla y guardar los cambios. Aquí hay más detalles.

- Linkedin. Configuración > Privacidad > Verificación en dos pasos. En su sección de ayuda hay más información.

4. Cómo escoger una contraseña

Edward Snowden sabe bastante de contraseñas, al haber trabajado en la NSA, cuyos programas de vigilancia masiva denunció. Según explicó en una entrevista concedida a Last Week Tonight, el programa de John Oliver en la HBO, lo mejor es no pensar en palabras clave sino en frases clave. Son muy largas para adivinarlas con un ataque por fuerza bruta (ir probando todas las combinaciones posibles) y es muy difícil que estén incluidas en un diccionario de contraseñas. Él propone margaretthatcheris110%sexy (margaretthatcheressexyal110%). Bueno, a estas alturas, esta en concreto (y sus variantes) ya estará en todas las listas, pero se entiende la mecánica.

Si quieres ver cómo de original eres, estas son alguans de las contraseñas más habituales. La lista, publicada a principios de 2016, proviene del ranking elaborado por quinto año consecutivo por el proveedor de aplicaciones de seguridad SplashDatat (en esta ocasión recopilando información de 2,2 millones de contraseñas filtradas a lo largo del 2015, y procedentes en su mayoría de usuarios de EE UU y de Europa del Este). Definitivamente, el 123456, y sus variantes, están muy vistas:

Las contraseñas más usadas

1- 123456 (mismo puesto en 2014).

2- password (mismo puesto en 2014).

3- 12345678 (sube un puesto).

4- qwerty (sube un puesto).

5- 12345 (baja dos puestos).

6- 123456789 (mismo puesto en 2014).

7- football (sube tres puestos).

8- 1234 (baja un puesto).

9- 1234567 (sube dos puestos).

10- baseball (baja dos puestos).