Archives noviembre 2023

¿Contraseñas con emoticonos? ¡Por qué no! Las ventajas y desventajas de usar emojis en las contraseñas.

A nadie le gustan las contraseñas. Uno demora años en introducirlas, son difíciles de recordar y la necesidad de un número, un símbolo, una letra mayúscula y un par de dientes de gallina solo hace que crearlas sea aún más difícil. Pero, si usas la misma contraseña en todas partes o te limitas a contraseñas sencillas y cortas (fáciles de leer, débiles), tarde o temprano serás víctima de piratería. ¿Cómo combinar la practicidad de escritura, la facilidad para recordarlas y la resistencia a la piratería? Una forma interesante, aunque inusual, es usar emojis. Sí, esos mismos emoticonos 😁 y otros iconos lindos 🔐 que nos encanta usar en chats y publicaciones.

En los ordenadores y teléfonos inteligentes de hoy, los emojis son símbolos tan completos como las letras de los alfabetos y los signos de puntuación. Esto se debe a que son parte del estándar Unicode (consulta aquí para obtener una lista completa de emojis estandarizados). Por lo tanto, en teoría, se pueden usar en cualquier texto, incluidas las contraseñas.

Por qué usar emojis en las contraseñas

Como existen tanto emojis, tu contraseña puede ser el doble de corta. Cuando los intrusos intentan forzar una contraseña que contiene letras, números y signos de puntuación, hay menos de cien variaciones para cada símbolo que deben elegir. Sin embargo, hay más de 3600 emojis estandarizados en Unicode, por lo que añadir uno a tu contraseña obliga a los piratas informáticos a pasar por alrededor de 3700 variantes por símbolo. Entonces, en términos de complejidad, una contraseña compuesta por cinco emoticones diferentes equivale a una contraseña regular de nueve caracteres, mientras que siete emojis equivalen a una contraseña segura de 13 caracteres “comunes”.

Algunos emojis nuevos en Unicode.

Los emojis son más fáciles de memorizar. En lugar de un utilizar un puñado de letras y números sin sentido, puedes componer una frase lógica y crear un rompecabezas de emojis sobre la base de esta. Para esto, puedes usar un traductor de emojis o un chatbot como ChatGPT.

Un traductor de emojis o ChatGPT puede crear una contraseña de acertijo basada en emojis sobre un tema determinado.

Los piratas informáticos no utilizan los emojis en los ataques de fuerza bruta. Varias herramientas de piratería y diccionarios para descifrar contraseñas incluyen combinaciones de palabras, números y sustituciones comunes como E1iteP4$$w0rd, pero (¿por ahora?) no incluyen emojis. Entonces, cuando un atacante atraviesa una base de datos de contraseñas filtradas, es probable que tu cuenta, que está protegida con una contraseña como: 👁️🐝🍁👁️🥫🪰 (“I believe I can fly”), esté segura.

Parece demasiado bueno para ser cierto. Entonces, ¿cuáles son las desventajas de las contraseñas con emojis? Por desgracia, son considerables.

¿Por qué no usar emojis en las contraseñas?

No todos los servicios aceptan contraseñas con emojis. Llevamos a cabo un pequeño experimento de creación de cuenta usando una contraseña que tenía varios emojis estándar. Fue rechazada tanto por Microsoft/Outlook como por Google/Gmail. Sin embargo, Dropbox y OpenAI la aceptaron con gusto, así que básicamente es una cuestión de experimentar.

No todos los servicios aceptan contraseñas con emojis.

Debes probar tu contraseña con emojis inmediatamente para asegurarte de que funcione. Aunque puedas crear una cuenta con esa contraseña, es posible que no pase la verificación al iniciar sesión.

Los emojis son más difíciles de introducir. En los teléfonos inteligentes, introducir emojis es la simplicidad en sí misma. En los ordenadores de sobremesa, sin embargo, puede ser un poco más problemático, aunque no demasiado (consulta los detalles a continuación). En cualquier caso, tendrás que encontrar los emojis que necesitas en una lista larga y asegurarte de elegir la imagen correcta entre varias similares. Si es multiplataforma, recuerda verificar que puedas introducir estos emojis tanto en tu ordenador como en tu teléfono inteligente para todos los servicios que usas.

Los emojis recientes te delatan. Muchos teclados de teléfonos inteligentes muestran los emojis de uso frecuente en la parte superior de la lista. Es poco probable que esta información ayude a los piratas informáticos en línea, pero es posible que amigos o familiares puedan adivinar o espiar tu contraseña.

Los emojis recientes pueden decir mucho sobre ti a miradas indiscretas.

Cómo crear una contraseña con emojis

Un compromiso razonable sería añadir uno o dos emojis a tu contraseña para aumentar su complejidad. El resto de la contraseña puede ser alfanumérica y menos sofisticada. Por supuesto, el uso de emojis no sustituye los consejos de seguridad tradicionales: el uso de un administrador de contraseñas y la autenticación de dos factores (2FA). Hablando de eso, Kaspersky Password Manager puede almacenar contraseñas con emojis y generar códigos de 2FA.

Contraseña con emojis y código de 2FA en Kaspersky Password Manager.

Cómo introducir contraseñas con emojis

El método de introducción depende de tu dispositivo y sistema operativo. Los teléfonos inteligentes tienen una sección de teclado especial para esto, mientras que en los ordenadores puedes usar una de estas opciones:

• En Windows 10 u 11, pulsa la tecla Win y la tecla de punto simultáneamente para abrir la tabla de emojis en cualquier campo de entrada. En muchos diseños, la combinación de teclas Win + ; también funciona.
• En macOS, la tabla de emojis está disponible en cualquier aplicación en Editar → Emoji y símbolos. Para abrir la tabla desde el teclado, mantén pulsadas las teclas Comando + Control + Barra espaciadora al mismo tiempo.
• En Ubuntu Linux (versión 18 y posteriores), puedes introducir emojis haciendo clic con el botón derecho en el campo de entrada y seleccionando Insertar emoji en el menú contextual. Para abrir la tabla desde el teclado, al igual que en Windows, pulsa Win + punto al mismo tiempo.
• Entrada por código de carácter. Por lento y aburrido que parezca, esta es una forma fiable de introducir cualquier carácter Unicode, no solo emojis. Primero, busca el código del carácter correspondiente en la tabla y, a continuación, introdúcelo usando una combinación de teclas especial. En Windows, mantén pulsada la tecla Alt e introduce el código decimal de la lista en el teclado numérico lateral. Para otros sistemas operativos, el proceso se describe en más detalle aquí.
• La forma más sencilla de introducir contraseñas con emojis es guardarlas en Kaspersky Password Manager e insertarlas en los campos de entrada requeridos de forma automática.

Fuente: latam.kaspersky.com

Ejemplos de cómo se utilizan los códigos QR en los correos electrónicos de phishing.

Cada vez hay más casos de usuarios que reciben correos electrónicos aparentemente de grandes empresas de Internet (por ejemplo, Microsoft o su servicio en la nube, Office 365) que contienen códigos QR. El cuerpo de estos correos electrónicos tiene una llamada a la acción: en pocas palabras, escanear el código QR para mantener el acceso a tu cuenta. En esta publicación, analizaremos si vale la pena reaccionar a esos correos.

Escanea el código QR o enfréntate a lo inevitable

Un correo electrónico típico de este tipo contiene una notificación que indica que la contraseña de tu cuenta está a punto de caducar y que perderás el acceso a tu buzón de correo y, por lo tanto, tendrás que cambiar la contraseña. Para cambiarla, debes escanear el código QR en el correo electrónico y seguir las instrucciones.

La contraseña se debe restablecer al escanear el código QR.

Otro correo electrónico podría advertir al destinatario que “La sesión del autenticador ha caducado hoy”. Para evitar esto, se recomienda al usuario que “escanee rápidamente el código QR a continuación con su teléfono inteligente para volver a autenticar la seguridad de su contraseña”. De lo contrario, podría perder el acceso al buzón de correo.

“La sesión del autenticador ha caducado”; escanee el código QR para obtener una solución rápida.

Otro ejemplo sería el mensaje que le informa amablemente al lector de lo siguiente: “Este correo electrónico es de una fuente fiable”. Ya hemos hablado de por qué los correos electrónicos con el sello “verificado” deben tratarse con precaución. La idea central del mensaje es que, supuestamente, “3 correos electrónicos importantes” no se pueden entregar al usuario debido a la falta de algún tipo de validación. Por supuesto, escanear el código QR a continuación solucionará el problema.

Los correos electrónicos importantes solo se pueden enviar al escanear el código QR para su “validación”.

Claramente, los autores de estos correos electrónicos quieren intimidar con palabras pretenciosas a los usuarios sin experiencia.

También es probable que esperen que el destinatario haya escuchado algo sobre las aplicaciones de autenticación, que de hecho usan códigos QR, para que el solo hecho de mencionarlo logre asociaciones en la mente.

¿Qué sucede si escaneas el código QR en el correo electrónico?

El enlace en el código QR te lleva a una réplica bastante convincente de una página de inicio de sesión de Microsoft.

Escanear el código QR te lleva a un sitio de phishing que roba las credenciales introducidas.

Por supuesto, todas las credenciales introducidas en esas páginas de phishing terminan en manos de los ciberdelincuentes. Esto pone en peligro las cuentas de los usuarios que caen en esos trucos.

Un detalle interesante es que algunos enlaces de phishing en códigos QR conducen a recursos IPFS. IPFS (InterPlanetary File System) es un protocolo de comunicación para compartir archivos que tiene mucho en común con los torrents. Te permite publicar cualquier archivo en Internet sin registro de dominio, alojamiento ni otras complicaciones.

En otras palabras, la página de phishing se encuentra directamente en el ordenador del autor de phishing y se puede acceder a ella a través de un enlace mediante una puerta de enlace IPFS especial. Los autores de phishing utilizan el protocolo IPFS porque es mucho más fácil publicar y mucho más difícil eliminar una página de phishing que bloquear un sitio web malicioso “normal”. De esa forma, los enlaces se mantienen activos durante más tiempo.

Cómo protegerte contra los códigos QR de phishing

Ningún sistema de autenticación decente sugiere escanear un código QR como su única opción. Por lo tanto, si recibes un correo electrónico que te pide confirmar algo o iniciar sesión en tu cuenta nuevamente, restablecer tu contraseña o realizar alguna acción similar, y este correo electrónico solo contiene un código QR, es probable que se trate de phishing. Puedes ignorar y eliminar de forma segura ese correo electrónico.

Para esos momentos en los que necesites escanear un código QR de una fuente desconocida, recomendamos nuestra solución de seguridad con su función de escáner de código QR seguro. La herramienta verifica el contenido de los códigos QR y te advierte si hay algo falso en el interior.

Fuente: latam.kaspersky.com

El registro en muchas cuentas distintas, con una clave para cada una, puede parecer tedioso, sobre todo cuando puedes hacerlo con tus credenciales de Facebook o Google. Te contamos cuáles son los pro y contras de usar este tipo de inicio de sesión conocido como SSO y a qué debes prestar atención.

“Continuar con Google” es una forma muy sencilla de registrarse e iniciar sesión en un sitio web o una aplicación. Todo lo que tienes que hacer es pulsar o hacer clic en el botón y permitir que algunos de los datos personales de tu cuenta se compartan con el servicio online de terceros.

Muchos sitios te permiten iniciar sesión con tu cuenta de Facebook, Google, Microsoft, LinkedIn, Apple u otra cuenta de una gran empresa tecnológica; hoy se busca la comodidad y no suelen faltar opciones para elegir y satisfacer todos los gustos.

Cuando vinculas tu acceso a Google con otro servicio, estás autorizando a Google a compartir tu información personal a cambio de facilidad de acceso y comodidad. ¿Hasta qué punto puede ser seguro?

Para ayudarte a encontrar un equilibrio entre seguridad y comodidad, te contamos los pros y los contras de utilizar este método de autenticación denominado inicio de sesión único (SSO), también conocido como inicio de sesión social, para tus cuentas personales online.

Figura 1. Ejemplo de opciones SSO para iniciar sesión o crear una cuenta

Figura 2. Más opciones de SSO

Un único inicio de sesión para todos

Primero lo primero: ¿qué es exactamente el SSO? Es un esquema de autenticación que permite a una organización obtener acceso consentido a tu información personal al tiempo que te permite registrarte e iniciar sesión en sus servicios en lugar de exigirte que te registres a través de un formulario independiente.

No es de extrañar que esta práctica sea tan común en todo Internet:

• Facilidad de registro y acceso. En lugar de tener que rellenar otro formulario con su nombre, apellidos, número de teléfono o dirección de correo electrónico, solo tiene que hacer clic en su opción SSO preferida y compartir esos datos (y posiblemente también otros) con la nueva aplicación o sitio web. [Es importante destacar que su contraseña nunca se comparte con el sitio web, sino que su identidad se verifica mediante un token de autenticación]
• Atracción y captación de usuarios. Los servicios en línea saben muy bien que cuanto más fácil te resulte registrarte e iniciar sesión, más probable es que lo hagas y vuelvas a hacerlo.
• Se acabó el cansancio de las contraseñas. Diferentes sitios web tienen diferentes requisitos de contraseña; además, debemos utilizar una combinación única de nombre de usuario y contraseña cada vez. Pero gracias a esta implementación de SSO, establecer una contraseña segura con una sola de las grandes plataformas de Internet puede darte acceso a cientos de otros sitios web, reduciendo enormemente el número de contraseñas que necesitas crear y memorizar.
• Mejor prevención de los compromisos de cuentas autoinfligidos (en algunos casos). A medida que nuestras listas de contraseñas se vuelven demasiado extensas para recordarlas, muchas personas pueden llevar un registro de sus credenciales en papel o en una hoja de cálculo Excel. Pero, ¿qué ocurre si alguien se hace con esa lista de contraseñas? Tener que recordar únicamente la contraseña de tu cuenta de Google y proteger la cuenta adecuadamente puede reducir la necesidad de generar, y luego depender, de una lista de contraseñas mal protegida (por ejemplo, si los gestores de contraseñas no son lo tuyo).

Entonces, ¿deberías utilizar siempre SSO?

La respuesta es clara: no.

Aunque el SSO ofrece algunas ventajas importantes al usuario, le expone a riesgos que pueden no revelarse hasta que sea demasiado tarde. ¿Cuáles son algunas de las implicaciones?

• Todos los huevos están en la misma cesta. Si tus credenciales de Facebook o Google caen en las manos equivocadas, los ciberdelincuentes no solo tendrán acceso a esa cuenta, sino también a todos los sitios web a los que la hayas vinculado. Lo que nos lleva al siguiente punto…
• Protege tu cuenta principal “como si tu vida dependiera de ello”. Una contraseña segura —quizá en forma de frase de contraseña que consista en una frase que mezcle mayúsculas, minúsculas y números— puede ser clave para proteger tus cuentas y datos personales. Si por alguna razón no usas un gestor de contraseñas, quizá puedas plantearte elegir una frase de contraseña en un formato que te permita añadirle el nombre del sitio web, pero sin que toda la cadena sea demasiado predecible.
• Cuestiones de privacidad. Cuando vinculas cuentas, estás permitiendo que tu información personal se transmita al sitio web y, debido a lo fácil que es configurarlo, podrías estar consintiendo la transferencia de más información de la que te imaginas. Y aunque Facebook, Google, Microsoft o Apple te permiten comprobar todas tus conexiones con terceros, revocar el acceso no significa que también estés revocando el consentimiento de un sitio web para utilizar tus datos. Además, si después de “eliminar conexiones” vuelves a entrar en el mismo sitio web y utilizas tu login social preferido, te dejarán entrar igual que antes, como si nunca hubieras revocado el acceso.

Figura 3. Revocación del consentimiento para que Google vincule tus datos

• Atracción y captación de usuarios (y las implicaciones para tu huella digital). Es cierto que hemos mencionado la captación eficaz de usuarios como una de las ventajas del SSO para aplicaciones y sitios web, pero puede ser un arma de doble filo. Si acabas registrándote en aplicaciones o sitios web que nunca has necesitado tanto, ¿cuánto tardarás en olvidarte de ellos? Para evitarlo, asegúrate de llevar un registro de todos los sitios web en los que te registraste y de la información personal que guardan sobre ti; por ejemplo, la información de tu tarjeta de crédito puede estar almacenada en un sitio web que hayas utilizado una vez y del que te hayas olvidado. Aunque esto puede ocurrir independientemente de cómo inicies sesión, la naturaleza sin fricciones del método “exprés” puede hacerte más propenso a olvidarte de todas esas aplicaciones o sitios web en los que una vez iniciaste sesión con tu cuenta de Google o Facebook.

Entonces, ¿con SSO o sin SSO?

Cuando se combinan con otras medidas de seguridad y privacidad, los inicios de sesión sociales pueden ahorrar mucho tiempo. Pero en el caso de los sitios web que guardan tu información personal, como tu nombre completo, dirección, datos bancarios o números de tarjeta de crédito, es más seguro optar por una cuenta independiente protegida por una frase de contraseña compleja y única, junto con la autenticación de dos factores (2FA).

En resumen, considera el uso de SSO solo si:

• habilitas la autenticación de doble factor (2FA) en la cuenta principal, ya que así será más difícil que alguien se haga pasar por ti en Internet,
• confía en la plataforma que utilizas para acceder al otro sitio web; no obstante, la confianza es algo voluble y debes tomar otras precauciones,
• utiliza servicios de pago como PayPal o una tarjeta de crédito virtual como opciones de pago para cualquier sitio web al que hayas accedido utilizando SSO; esto te ayudará a evitar que se filtren tus datos bancarios,
• utiliza la configuración de tu cuenta principal para realizar un seguimiento de todos los sitios web a los que la has vinculado.

Figura 4. Gestión de aplicaciones de terceros y autorizaciones SSO en Google

¿Hay alguna otra forma?

Equilibrar el fácil acceso a todas tus cuentas online y mantenerlas seguras puede ser todo un reto. Existen otras formas de conseguirlo además de los inicios de sesión sociales:

Una alternativa obvia consiste en crear una cuenta independiente para cada servicio y utilizar un gestor de contraseñas que te evite el dolor de cabeza que supone crear, gestionar y rellenar automáticamente tus credenciales de inicio de sesión. Otra opción es usar una dirección de correo electrónico desechable, sobre todo para sitios web que no te interesan demasiado o que no piensas volver a utilizar. Además, algunos gobiernos han creado una identificación única de ciudadano que da a la gente acceso en línea a servicios ofrecidos por algunas organizaciones públicas y privadas.

Sea cual sea el método que elijas, podrás disfrutar de tu presencia en Internet sin demasiados problemas (o prisas) siempre que sigas las prácticas generales de ciberhigiene, como evitar revelar tus credenciales, activar el 2FA y ser consciente de toda tu huella digital.

Fuente: www.welivesecurity.com