Tag Contraseñas

Este es un recordatorio sobre cómo crear contraseñas seguras y recordarlas.

El flujo de información nueva con la que nos bombardean nunca disminuye. En 2025, tendrás cada vez menos espacio en tu cabeza para recordar cosas como la contraseña de la cuenta de correo electrónico que configuraste en 2020 para registrar a tu mamá en ese mercado en línea. Te sugerimos que hagas un pequeño esfuerzo para combatir la mala memoria, las contraseñas poco seguras y los ciberdelincuentes.

Como nuestros expertos han demostrado en repetidas ocasiones, es solo cuestión de tiempo (y dinero) antes de que alguien que tenga como objetivo tu contraseña la descifre. A menudo, también se necesita muy poco tiempo y dinero. Nuestra misión es complicar al máximo el descifrado de tu contraseña, para que los piratas informáticos pierdan el deseo de acceder a tus datos.

A través de un estudio que realizamos el año pasado, descubrimos que los algoritmos inteligentes, ya sea que se ejecuten en una tarjeta gráfica potente como la RTX 4090 o en un hardware de nube alquilado y económico, pueden descifrar el 59 % de todas las contraseñas del mundo en menos de una hora. Nos encontramos en medio de la segunda fase de ese estudio, y estamos a punto de compartir si la situación ha cambiado para mejor durante el año, así que suscríbete a nuestro blog o canal de Telegram para ser de los primeros en saberlo.

La conversación de hoy cubre más que solo los métodos de autenticación más seguros y las formas de crear contraseñas seguras. Analizaremos técnicas para recordar contraseñas y responderemos la pregunta de por qué utilizar un administrador de contraseñas en 2025 es una gran idea.

Cómo iniciar sesión de forma más segura en 2025

Hoy en día existen varias opciones para iniciar sesión en servicios y sitios web en línea:

• La combinación tradicional de nombre de usuario y contraseña
• Iniciar sesión con un servicio de terceros como Google, Facebook, Apple, etc.
• Autenticación de dos factores utilizando uno de los siguientes métodos de verificación:
  • Código de un solo uso por SMS
  • Aplicación de autenticación como Kaspersky Password Manager, Google Authenticator o Microsoft Authenticator
  • Llave de hardware como Flipper, YubiKey o un token USB
• Claves de acceso y autenticación biométrica

Naturalmente, cualquiera de estos métodos puede verse vulnerado (por ejemplo, si dejas el token de hardware en el puerto USB de un ordenador desatendido en un lugar público) o se puede reforzar (por ejemplo, si creas una contraseña compleja de más de 20 caracteres aleatorios). Y como la era de las contraseñas tradicionales aún no ha terminado, tratemos de descubrir cómo podemos mejorar nuestra posición actual creando y memorizando una contraseña fácil de recordar.

¿Cómo recordar una contraseña compleja?

Antes de responder a esta pregunta, recordemos las verdades básicas sobre las contraseñas:

• Longitud recomendada: 12–16 caracteres.
• Una contraseña debe utilizar diferentes tipos de caracteres: números, letras mayúsculas y minúsculas, y caracteres especiales.
• Una contraseña no debe contener información personal que pueda rastrearse fácilmente hasta el usuario.
• La contraseña debe ser única para cada una de sus cuentas.

¿Entiendes? Muy bien. La cuestión clave es que una contraseña compleja es fácil de olvidar; una sencilla, fácil de descifrar. Para ayudarte a lograr un equilibrio entre ambas opciones, hemos reunido algunas reglas conocidas, pero aún efectivas, para crear contraseñas fáciles de recordar.

Nivel básico

Junta algunas palabras no relacionadas, como las que se usan en las frases semilla al registrar carteras de criptomonedas. Y añade un par de números y caracteres especiales al final que sean significativos para ti, pero que un atacante no pueda adivinar fácilmente.

Ejemplo: SecoTierraPuestoRegalo2015;)

Las palabras más cortas son más fáciles de recordar, y el número no debe ser el año en que tú naciste o el cumpleaños de un ser querido. Podría ser cualquier combinación memorable, como el año en que fuiste por primera vez a Disney, la matrícula de tu primer coche o la fecha de tu boda.

Nivel avanzado

Piensa en una frase favorita de una canción o una cita memorable de una película, y luego reemplaza cada segunda o tercera letra con caracteres especiales que no estén en orden secuencial en el teclado. Es más práctico utilizar caracteres especiales de fácil acceso (los que ves en el teclado en pantalla de tu teléfono en modo numérico). Así puedes crear una contraseña segura que sea fácil de escribir y te haga la vida más fácil.

Por ejemplo, si eres fan de la saga de Harry Potter, puedes intentar utilizar el encantamiento Wingardium Leviosa por una buena causa. Intentemos transformar este encantamiento de levitación según la regla anterior mientras le añadimos generosamente caracteres especiales:

Wi4ga/di0mL&vi@sa

A primera vista, una contraseña como esa parece imposible de recordar, pero todo lo que se necesita es un poco de práctica de escritura. Escríbelo dos o tres veces, y verás cómo tus dedos alcanzan por sí solos las teclas adecuadas.

¿Qué tal si confiamos en las redes neuronales a la hora de generar contraseñas?

Con el reciente aumento de ChatGPT y otros modelos de lenguaje de gran tamaño (LLM), los usuarios han comenzado a recurrir a ellos para obtener contraseñas. Y es fácil ver por qué sería una opción atractiva: en lugar de esforzarte por crear una contraseña segura, simplemente le pides al asistente de IA que la genere, con resultados inmediatos. Además, puedes solicitar que esa contraseña sea mnemotécnica si lo deseas.

Lamentablemente, el peligro de utilizar IA como generador de contraseñas seguras es que crea combinaciones de caracteres que solo parecen aleatorios al ojo humano. Las contraseñas generadas por IA no son tan fiables como parecen a primera vista…

Alexey Antonov, líder del Equipo de Ciencia de Datos de Kaspersky, que realizó el estudio anterior sobre la seguridad de las contraseñas, generó contraseñas con ChatGPT, Llama y DeepSeek (mil con cada una). Resultó que cada modelo sabía que una buena contraseña constaba de al menos una docena de caracteres, incluidas letras mayúsculas y minúsculas, números y caracteres especiales. Sin embargo, DeepSeek y Llama a veces generaban contraseñas que consistían en palabras del diccionario, con algunas letras reemplazadas por números o símbolos de aspecto congruente, como B@n@n@7 o S1mP1eL1on. Curiosamente, a ambos modelos les costaba generar contraseñas y brindaban variaciones como P@ssw0rd, P@ssw0rd!23, P@ssw0rd1 o P@ssw0rdV. No hace falta decir que no son contraseñas seguras, ya que los algoritmos inteligentes de fuerza bruta conocen perfectamente el truco de la sustitución de letras.

ChatGPT lo hace mejor. A continuación se muestran algunos ejemplos de lo que se le ocurrió:

• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• P@zq^XWLY#v9
• v#@LqYXW^9pz

Estos parecen ser conjuntos completamente aleatorios de letras, caracteres especiales y números. Sin embargo, si miras con atención, podrás encontrar fácilmente algunos patrones. Algunos caracteres, por ejemplo, 9, W, p, x y L, se utilizan con más frecuencia que otros. Compilamos un histograma de frecuencia de caracteres para todas las contraseñas generadas, y esto es lo que encontramos: las letras favoritas de ChatGPT son x y p, a Llama le encanta el carácter # y también le gusta la p, mientras que DeepSeek se inclina por la t y la w. Mientras tanto, un generador de números perfectamente aleatorios nunca favorecería ninguna letra en particular sobre otras, sino que utilizaría cada carácter aproximadamente la misma cantidad de veces, lo que haría las contraseñas menos predecibles.

Frecuencia de uso de caracteres en diferentes modelos de lenguaje al generar miles de contraseñas. Ten en cuenta que casi todas las contraseñas generadas por ChatGPT contienen las letras x, p, I y L.

Además, los LLM, al igual que los humanos, a menudo olvidan insertar caracteres especiales o números en las contraseñas. Se encontró una falta de estos símbolos en el 26 % de las contraseñas generadas por ChatGPT, en el 32 % de las generadas por Llama y en el 29 % de las generadas por DeepSeek.

El conocimiento de estos detalles puede ayudar a los cibercriminales a forzar las contraseñas generadas por IA mucho más rápido. Pasamos todo el conjunto de contraseñas generadas por IA a través del mismo algoritmo que usamos para el estudio anterior y encontramos una tendencia desalentadora: el 88 % de las contraseñas generadas por DeepSeek y el 87 % de las generadas por Llama resultaron insuficientemente seguras. ChatGPT lideró la competencia: solo el 33 % de sus contraseñas son inseguras.

Lamentablemente, los LLM no crean una distribución verdaderamente aleatoria, y su resultado es predecible. Además, pueden generar fácilmente la misma contraseña para ti y para otros usuarios. ¿Qué deberíamos hacer?

Enfoque combinado

Te recomendamos utilizar nuestro servicio de verificación de contraseñas o, mejor aún, Kaspersky Password Manager para generar contraseñas. Estos servicios utilizan generadores criptográficamente seguros para crear contraseñas que no contienen patrones detectables, lo que garantiza una verdadera aleatoriedad. Después de generar una contraseña segura, puedes inventar una frase mnemotécnica para recordarla.

Digamos que el generador de contraseñas te da la siguiente combinación: VAVca*RV0Grr#Cbb

Entonces, una frase para ayudarte a recordar la contraseña podría verse así: en un vehículo de alta velocidad (VAV), pasas por una cima (ca) y ves una estrella (*) en realidad virtual (RV). Luego caes en gravedad cero (0G) y ves al rey y a la reina (rr) detrás de las rejas (#) en la cárcel de la bruja blanca (Cbb).

Solo la mnemotecnia puede ayudar con esto, así que esperamos que te gusten las imágenes abstractas y absurdas. También puedes intentar dibujar la escena que describe tu contraseña como se muestra arriba. Pocos podrían entender la imagen además de ti. Esta es una manera fácil de memorizar una contraseña. ¿Pero qué pasa si hay cientos de ellos?

¿Qué tal almacenar contraseñas en un navegador?

No es una buena idea Para abordar el problema de recordar contraseñas, los desarrolladores de navegadores proporcionan opciones para generar y guardar contraseñas directamente en los navegadores. Naturalmente, esto es muy cómodo: el propio navegador rellena la contraseña cuando es necesario. Desafortunadamente, un navegador no es un administrador de contraseñas, y almacenarlas allí es extremadamente inseguro.

El problema es que los cibercriminales descubrieron hace mucho tiempo cómo utilizar scripts sencillos para extraer contraseñas almacenadas en navegadores en cuestión de segundos. Y la forma en que los navegadores sincronizan datos entre distintos dispositivos en la nube (por ejemplo, a través de una cuenta de Google) es un perjuicio para los usuarios. Basta con hackear o engañar a alguien para que revele la contraseña de esa cuenta, y todas sus demás contraseñas serán un libro abierto.

Utiliza un administrador de contraseñas.

Un verdadero administrador de contraseñas almacena todas las contraseñas en un almacén cifrado. Por ejemplo, Kaspersky Password Manager almacena todas tus contraseñas en un almacén cifrado con el algoritmo de cifrado simétrico AES-256, utilizado por la Agencia de Seguridad Nacional de Estados Unidos para almacenar secretos de estado. El algoritmo utiliza una contraseña principal, que solo tu conoces (ni siquiera nosotros la sabemos) como clave de cifrado. Siempre que accedes a Kaspersky Password Manager, la aplicación te solicita esta contraseña y descifra el almacén para la sesión actual. En este mismo almacén cifrado también puedes almacenar otra información importante como números de tarjetas bancarias, escaneos de documentos o notas.

Kaspersky Password Manager también ofrece otras funciones útiles:

• Se puede utilizar para generar combinaciones de contraseñas únicas y verdaderamente aleatorias.
• Puede rellenar tus contraseñas tanto en ordenadores como en dispositivos móviles.
• La aplicación está disponible tanto para las principales plataformas móviles como para ordenadores macOS y Windows; también hay extensiones para navegadores populares.
• La base de datos de contraseñas se sincroniza en todos tus dispositivos de forma cifrada.
• Puedes usarla en lugar de Google Authenticator a fin de generar códigos 2FA para todas tus cuentas en todos tus dispositivos, incluidos los ordenadores.
• Comprueba si tus contraseñas han sido filtradas o vulneradas, y te avisa si necesitas cambiar alguna de ellas.

Con Kaspersky Password Manager, lo único que debes hacer es utilizar los métodos descritos anteriormente para crear y recordar una contraseña principal, que se utiliza para cifrar el almacén del administrador de contraseñas. Solo recuerda: tendrás que memorizar muy bien esta contraseña, porque si la pierdes, volverás al punto de partida. Nadie, ni siquiera los empleados de Kaspersky, puede acceder a tu almacén cifrado. Tampoco conocemos tu contraseña principal.

Recapitulemos

Entonces, ¿cómo gestionar adecuadamente las contraseñas en 2025?

• Sigue las pautas anteriores para crear una contraseña principal segura y utiliza nuestro servicio Verificador de contraseñas para probar su fortaleza criptográfica.
• ¿No puedes pensar en una contraseña principal segura? Crea una allí mismo y usa reglas mnemotécnicas para memorizarla.
• Instala Kaspersky Password Manager en todos tus dispositivos. Con esta aplicación, solo necesitas recordar la contraseña principal. La aplicación recordará el resto por ti.
• Utiliza claves de acceso y diversos métodos de autenticación de dos factores siempre que sea posible, preferiblemente a través de la aplicación. La combinación de una contraseña segura con métodos de autenticación seguros crea una sinergia poderosa que mejora significativamente la protección contra el acceso no autorizado a tus cuentas.

Fuente: www.latam.kaspersky.com

Cómo evitar revelar tu contraseña a estafadores al iniciar sesión en sitios de terceros o al ver documentos “cifrados” o “confidenciales”.

Cuando se te solicita iniciar sesión en un servicio en línea, verificar tu identidad o descargar un documento a través de un enlace, generalmente se solicita que introduzcas tu nombre de usuario y contraseña. Esto es tan común que la mayoría de nosotros lo hacemos automáticamente sin pensarlo dos veces. Sin embargo, los estafadores pueden engañarte para que les des contraseñas de correo electrónico, sitios web de servicios gubernamentales, servicios bancarios o redes sociales al imitar el formulario de inicio de sesión del servicio en su propio sitio web (de terceros). No caigas en la trampa: solo el servicio de correo electrónico puede pedirte que verifiques tu contraseña, ¡nadie más! Lo mismo se aplica a los servicios gubernamentales, los bancos y las redes sociales.

Para evitar ser víctima de fraude, cada vez que introduzcas una contraseña, tómate un momento para verificar exactamente dónde estás iniciando sesión y qué ventana te está solicitando las credenciales. Aquí son posibles tres escenarios principales: dos son seguros y uno es fraudulento. Son los siguientes.

Escenarios seguros para introducir contraseñas

1. Iniciar sesión en tu correo electrónico, red social o servicio en línea a través del sitio web oficial. Este es el escenario más simple, pero debes asegurarte de que realmente estés en el sitio legítimo, sin errores en la URL. Si accedes al servicio en línea haciendo clic en un enlace de un correo electrónico o de los resultados de búsqueda, revisa cuidadosamente la barra de direcciones del navegador antes de introducir la contraseña. Asegúrate de que tanto el nombre del servicio como la dirección del sitio sean correctos y coincidan entre sí.

¿Por qué es tan importante tomarnos un segundo extra para revisar? Crear copias de phishing de sitios legítimos es el truco favorito de los estafadores. La dirección de un sitio de phishing puede ser casi idéntica a la original, diferir solo en una o dos letras (por ejemplo, la letra “i” podría ser remplazada por una “I”), o usar una zona de dominio diferente.

También es bastante sencillo crear un enlace que parezca conducir a un sitio, pero que en realidad te lleve a otro lugar. Compruébalo tú mismo: este enlace parece conducir a nuestro blog latam.kaspersky.com/blog, pero en realidad te redirige a nuestro otro blog: securelist.com.

La siguiente imagen muestra ejemplos de páginas de inicio de sesión legítimas para diversos servicios en las que puedes introducir de forma segura tu nombre de usuario y contraseña.

Ejemplos de páginas de inicio de sesión legítimas para diversos servicios. Introducir tus credenciales aquí es seguro.

2. Iniciar sesión en un sitio mediante un servicio auxiliar. Esta es una forma conveniente de iniciar sesión sin crear contraseñas adicionales, comúnmente utilizada para servicios de almacenamiento de archivos, herramientas de colaboración, etc. Los servicios auxiliares suelen ser grandes proveedores de correo electrónico, redes sociales o sitios de servicios gubernamentales. El botón de inicio de sesión puede decir algo como “Continuar con Google”, “Continuar con Facebook”, “Continuar con Apple”, etc.

Al hacer clic en el botón, se abre otra ventana que pertenece al servicio auxiliar (Google, Facebook, Apple, etc.). Funciona así: el servicio externo verifica tu identidad y la confirma al sitio en el que estás iniciando sesión. Es crucial verificar las direcciones en ambas ventanas: asegúrate de que la ventana emergente que solicita tu contraseña realmente pertenezca al servicio auxiliar que esperabas (Google, Facebook, Apple, etc.) y que la ventana principal realmente pertenezca al sitio legítimo en el que estás intentando iniciar sesión. En muchos casos, la ventana emergente también indica en qué sitio iniciarás sesión. Este mecanismo de servicio auxiliar te permite entrar al sitio deseado sin que este vea tu contraseña. La verificación de contraseña se realiza en el lado del servicio auxiliar (Google, Facebook, Apple, etc.). Los especialistas en TI denominan a este método de inicio de sesión inicio de sesión único (SSO).

Ejemplo de SSO en eBay a través de un servicio auxiliar (Google) que verifica tu contraseña. Introducir tus credenciales aquí también es seguro.

Escenario fraudulento: robo de contraseñas

Recibes un correo electrónico o mensaje con un enlace de inicio de sesión, haces clic en él y terminas en un sitio que se parece mucho a un correo electrónico legítimo, una red social, un servicio de intercambio de archivos o un servicio de firma electrónica. El sitio solicita que inicies sesión en tu cuenta para comprobar tu identidad. Para ello, se te solicita que introduzcas tu correo electrónico y contraseña de correo electrónico, sitio de servicios gubernamentales, servicio bancario o red social directamente en este sitio.

En este escenario, o bien no hay ninguna ventana emergente de un servicio legítimo (como la del caso anterior), o la ventana adicional también pertenece a algún sitio de terceros. Esta es una estafa diseñada para robar la contraseña de tu cuenta. Recuerda que un sitio de terceros no puede verificar tu contraseña: simplemente no la conoce, y las contraseñas nunca se comparten entre sitios.

Mira la barra de direcciones: ¡definitivamente esto no es Netflix! No introduzcas tus credenciales aquí.

Cómo protegerte del robo de contraseñas

1. Verifica cuidadosamente la dirección del sitio que solicita tu contraseña.
2. Introduce una contraseña para un servicio únicamente en el sitio web oficial de ese servicio, en ningún otro lugar.
3. A veces aparece una ventana separada para introducir una contraseña. Asegúrate de que esta ventana sea una ventana de navegador normal en la que puedas ver la barra de direcciones y verificar la dirección.
4. Los estafadores pueden crear sitios similares con direcciones que son difíciles de distinguir de las reales. Para evitar caer en esta trampa, utiliza una protección antiphishing fiable en todos los dispositivos y plataformas. Te recomendamos Kaspersky Premium, el ganador de una prueba antiphishing en 2024.
5. Un método de protección avanzado es utilizar un administrador de contraseñas para todas tus cuentas. Verifica la dirección real de la página y nunca introducirá tus credenciales en un sitio desconocido, sin importar cuán convincente parezca.

Fuente: latam.kaspersky.com

¿Eres usuario del gestor de contraseñas Bitwarden? Es probable, porque es una alternativa muy interesante y si eres de código abierto, una de las más destacadas de su categoría. Pues bien, el proyecto ha atravesado estos últimos días por una polémica de la que acaba de salir de manera rotunda.

Resulta que, de un día para otro, Bitwarden introdujo un cambio en su kit de desarrollo que, valga la redundancia, lo cambiaba todo: una dependencia de carácter privativo, indispensable para compilar el cliente de escritorio y motivo de alarma para algunos de los muchos ojos que se posan sobre los proyectos de código abierto, dado que se trataba de una imposición incompatible con las libertades propias del modelo abierto.

De los pormenores de este asunto daban cuenta diferentes sitios, véase este artículo de Phoronix como ejemplo; y la cosa comenzaba a ponerse seria. ¿Cómo justificaron desde Bitwarden el cambio de marras? «Parece que se ha malinterpretado un error de empaquetado como algo más y el equipo planea resolverlo. Bitwarden sigue comprometido con el modelo de licencia de código abierto que se ha implementado durante años», explicaban en X.

Lo cierto es que el cambio fue muy extraño, pero la mala prensa y sobre todo los comentarios airados de los usuarios en redes sociales, denunciando que la versión de escritorio de Bitwarden «dejaba de ser software libre», se iban amontonando. De hecho, llegaron a despachar el hilo en GitHub donde se dio a conocer el tema insistiendo en que se trataba de un error, pero sin concretar una solución definitiva.

Pero esa solución ha llegado y se llama GPL3, la tercera versión de la licencia y la más rotunda, bajo la que se distribuirán en breve todos los componentes afectados. Y digo en breve porque de momento lo que se ha hecho efectiva es la propuesta, según recogen en The Register. Pero salvo disrupción, se espera que el cambio se aplique en los próximos días.

En resumen, puedes estar tranquilo porque si usas Bitwarden, lo que va a cambiar en relación a su naturaleza libre, va a ser para mejor. Sin embargo, la moraleja es otra: no hay que dar por sentadas las cosas. Y es que pese a la excusa del error, esta ha sido una historia de lo más extraña a la que seguiremos la pista. Recuerda que Bitwarden no deja de ser software como servicio.

Fuente: www.muylinux.com

Hoy tenemos día temático, parece, y es que el gestor de contraseñas Proton Pass ya está disponible para Linux (y macOS), tras varios meses en desarrollo y casi un año después de que apareciesen las aplicaciones para móviles Android e iOS y, un poco más tarde, la de Windows.

Proton Pass es un nuevo servicio de Proton AG, compañía fundada por exingenieros del CERN y radicada en la misma Suiza. Son conocidos sobre todo por su servicio de correo electrónico Proton Mail, aunque con el tiempo han ido dotando de diversos extras tanto complementarios como independientes: Proton VPN, Proton Drive… y ahora, Proton Pass; todo ello, con una máxima: privacidad a fuerza de cifrado en el lado del cliente y con la transparencia que otorga el código abierto como valor añadido.

En cuanto a Proton Pass, se trata de un gestor de contraseñas al uso, esto es, con las características que te puedes esperar de una aplicación moderna con base en la nube, al estilo de Bitwarden (con más estilo, cabe agregar a pesar de la redundancia, porque el diseño de la app luce de maravilla): almacenamiento y sincronización cifrada entre dispositivos, generador de contraseñas, doble autenticación, soporte de Passkey, importación y exportación, integración con el navegador web vía extensiones, alertas de seguridad…

Y alguna otra exclusiva, como integración con Proton Sentinel, un nuevo servicio de seguridad impulsado por inteligencia artificial del cual, eso sí, solo podrán beneficiarse los suscriptores del plan de pago Pass Plus (4,99€ al mes o 23,88€ al año), indispensable para acceder a funciones avanzadas como el uso sin conexión. Proton Pass, a su vez, está incluido en el paquete Proton Unlimited que reúne el acceso ‘premium’ a todo el ecosistema de servicios de la compañía.

Sin embargo, si lo que te interesa es el gestor de contraseñas en sí, Proton Pass tiene una modalidad gratuita con lo básico, por lo que el común de los usuarios no debería tener queja con ello. Más bien al contrario, pues ya te da más que alternativas como 1Password, que además de ser de pago, es software privativo. Aunque, a decir verdad, no todo lo que rodea a Proton Pass es bonito, o no se lo parecerá a todos los usuarios.

Y es que Proton Pass se basa en Electron, el controvertido framework para la creación de aplicaciones multiplataforma con tecnologías web (Chromium, Node.js …), algo que tiene su aquel. Si acaso, falta por ver si está bien optimizado, porque un gestor de contraseñas está siempre ahí y conviene que lo esté. Con todo, un dato para los agoreros: hay aplicaciones Electron muy finamente hiladas y la memoria está para usarla.

Que sí, que donde esté KeePassXC… Pero si antepones la conveniencia a la seguridad, Proton Pass tiene muy buena pinta.

Con respecto al lanzamiento que nos ocupa e interesa, cuentan en el anuncio oficial que «la versión Linux de Proton Pass admite todas las distribuciones basadas en Debian y RedHat, incluidas Ubuntu, Debian, Fedora y CentOS. Todas las aplicaciones y extensiones del navegador Proton Pass están disponibles para todos y puede usar nuestras aplicaciones en modo fuera de línea con un plan pago».

Fuente: www.muylinux.com

ECUADOR­, Una de las primeras líneas de defensa contra las invasiones de la privacidad y el robo de identidad es una contraseña fuerte y segura. Con la creciente digitalización de nuestras vidas, la seguridad es una preocupación creciente.

A la hora de crear una contraseña fuerte, es fundamental tener en cuenta varios aspectos que aumentan su resistencia a los ciberataques. Estos son algunos puntos clave que comparte ESET:

• Longitud: La longitud de una contraseña es un factor clave en su seguridad. Las contraseñas más largas proporcionan una barrera que es más difícil de penetrar para los ataques de fuerza bruta, en la que los piratas informáticos intentan todas las combinaciones posibles para obtener acceso a una cuenta. Se recomienda que las contraseñas tengan al menos 12 caracteres, pero cuanto más largas, mejor. Una contraseña con 20 caracteres o más es aún más segura.
• Complejidad: Además de la longitud, la complejidad de las contraseñas juega un papel crucial en su seguridad. Una contraseña segura debe incluir una variedad de caracteres, como letras mayúsculas y minúsculas, números y símbolos especiales como @, #, $, %, y más. La inclusión de estos elementos aumenta exponencialmente el número de combinaciones posibles, haciendo que la contraseña sea mucho más difícil de descifrar.
• Aleatoriedad: Evitar patrones predecibles o secuencias obvias. Las contraseñas que consisten en palabras comunes, nombres de personas, fechas de nacimiento o cadenas como «123456» o «qwerty» son extremadamente vulnerables a los ataques. Opta por contraseñas generadas aleatoriamente o crea tus propias combinaciones que no tengan nada que ver con la información personal.
• Diversidad: Es tentador usar la misma contraseña para varias cuentas, después de todo, es más fácil de recordar. Sin embargo, esta práctica es muy arriesgada. Si una contraseña se ve comprometida en una cuenta, todas las demás cuentas que comparten esa contraseña son vulnerables. Por lo tanto, debes utilizar contraseñas diferentes para cada cuenta en línea que tengas.

Tener en cuenta estos principios fortalecerá significativamente la seguridad de tus cuentas en línea, reducirá los riesgos de vulneraciones, y protegerá tu información personal. Un administrador de contraseñas puede ayudar a manejar de forma segura varias contraseñas sin necesidad de memorizarlas. Estas herramientas le permiten almacenar de forma segura varias contraseñas. Además, muchos administradores de contraseñas ofrecen funciones para generarlas automáticamente, lo que elimina la necesidad de crearlas manualmente.

¿Cómo agregarles seguridad a tus cuentas?

Además de crear contraseñas seguras, hay una serie de pasos adicionales que puede tomar para fortalecer la seguridad y proteger su información personal, como la autenticación de dos factores (2FA). La autenticación de dos factores es una capa adicional de seguridad que requiere no solo la contraseña, sino también un segundo método de verificación, como un código enviado a su teléfono móvil o generado por una aplicación de autenticación. Al habilitar 2FA es más difícil el acceso no autorizado, incluso si la contraseña se ve comprometida.

“Mantener actualizadas las contraseñas también hace a la seguridad. Es importante no solo crear contraseñas seguras, sino también actualizarlas regularmente. Esto es especialmente importante si sospechas que tus cuentas pueden haber sido comprometidas. Al cambiarlas periódicamente, reduces el tiempo de exposición en caso de una brecha de seguridad.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. “En un mundo donde la seguridad en línea es una prioridad absoluta, tomar estas medidas adicionales de protección es esencial para garantizar la seguridad de tus cuentas e información personal. Al seguir estas pautas y mejores prácticas, puede navegar por Internet con más confianza, sabiendo que tus cuentas en línea están protegidas de las amenazas cibernéticas.”, concluye el investigador.

Fuente: Departamento de Comunicación ESET Ecuador.

¿Contraseñas con emoticonos? ¡Por qué no! Las ventajas y desventajas de usar emojis en las contraseñas.

A nadie le gustan las contraseñas. Uno demora años en introducirlas, son difíciles de recordar y la necesidad de un número, un símbolo, una letra mayúscula y un par de dientes de gallina solo hace que crearlas sea aún más difícil. Pero, si usas la misma contraseña en todas partes o te limitas a contraseñas sencillas y cortas (fáciles de leer, débiles), tarde o temprano serás víctima de piratería. ¿Cómo combinar la practicidad de escritura, la facilidad para recordarlas y la resistencia a la piratería? Una forma interesante, aunque inusual, es usar emojis. Sí, esos mismos emoticonos 😁 y otros iconos lindos 🔐 que nos encanta usar en chats y publicaciones.

En los ordenadores y teléfonos inteligentes de hoy, los emojis son símbolos tan completos como las letras de los alfabetos y los signos de puntuación. Esto se debe a que son parte del estándar Unicode (consulta aquí para obtener una lista completa de emojis estandarizados). Por lo tanto, en teoría, se pueden usar en cualquier texto, incluidas las contraseñas.

Por qué usar emojis en las contraseñas

Como existen tanto emojis, tu contraseña puede ser el doble de corta. Cuando los intrusos intentan forzar una contraseña que contiene letras, números y signos de puntuación, hay menos de cien variaciones para cada símbolo que deben elegir. Sin embargo, hay más de 3600 emojis estandarizados en Unicode, por lo que añadir uno a tu contraseña obliga a los piratas informáticos a pasar por alrededor de 3700 variantes por símbolo. Entonces, en términos de complejidad, una contraseña compuesta por cinco emoticones diferentes equivale a una contraseña regular de nueve caracteres, mientras que siete emojis equivalen a una contraseña segura de 13 caracteres “comunes”.

Algunos emojis nuevos en Unicode.

Los emojis son más fáciles de memorizar. En lugar de un utilizar un puñado de letras y números sin sentido, puedes componer una frase lógica y crear un rompecabezas de emojis sobre la base de esta. Para esto, puedes usar un traductor de emojis o un chatbot como ChatGPT.

Un traductor de emojis o ChatGPT puede crear una contraseña de acertijo basada en emojis sobre un tema determinado.

Los piratas informáticos no utilizan los emojis en los ataques de fuerza bruta. Varias herramientas de piratería y diccionarios para descifrar contraseñas incluyen combinaciones de palabras, números y sustituciones comunes como E1iteP4$$w0rd, pero (¿por ahora?) no incluyen emojis. Entonces, cuando un atacante atraviesa una base de datos de contraseñas filtradas, es probable que tu cuenta, que está protegida con una contraseña como: 👁️🐝🍁👁️🥫🪰 (“I believe I can fly”), esté segura.

Parece demasiado bueno para ser cierto. Entonces, ¿cuáles son las desventajas de las contraseñas con emojis? Por desgracia, son considerables.

¿Por qué no usar emojis en las contraseñas?

No todos los servicios aceptan contraseñas con emojis. Llevamos a cabo un pequeño experimento de creación de cuenta usando una contraseña que tenía varios emojis estándar. Fue rechazada tanto por Microsoft/Outlook como por Google/Gmail. Sin embargo, Dropbox y OpenAI la aceptaron con gusto, así que básicamente es una cuestión de experimentar.

No todos los servicios aceptan contraseñas con emojis.

Debes probar tu contraseña con emojis inmediatamente para asegurarte de que funcione. Aunque puedas crear una cuenta con esa contraseña, es posible que no pase la verificación al iniciar sesión.

Los emojis son más difíciles de introducir. En los teléfonos inteligentes, introducir emojis es la simplicidad en sí misma. En los ordenadores de sobremesa, sin embargo, puede ser un poco más problemático, aunque no demasiado (consulta los detalles a continuación). En cualquier caso, tendrás que encontrar los emojis que necesitas en una lista larga y asegurarte de elegir la imagen correcta entre varias similares. Si es multiplataforma, recuerda verificar que puedas introducir estos emojis tanto en tu ordenador como en tu teléfono inteligente para todos los servicios que usas.

Los emojis recientes te delatan. Muchos teclados de teléfonos inteligentes muestran los emojis de uso frecuente en la parte superior de la lista. Es poco probable que esta información ayude a los piratas informáticos en línea, pero es posible que amigos o familiares puedan adivinar o espiar tu contraseña.

Los emojis recientes pueden decir mucho sobre ti a miradas indiscretas.

Cómo crear una contraseña con emojis

Un compromiso razonable sería añadir uno o dos emojis a tu contraseña para aumentar su complejidad. El resto de la contraseña puede ser alfanumérica y menos sofisticada. Por supuesto, el uso de emojis no sustituye los consejos de seguridad tradicionales: el uso de un administrador de contraseñas y la autenticación de dos factores (2FA). Hablando de eso, Kaspersky Password Manager puede almacenar contraseñas con emojis y generar códigos de 2FA.

Contraseña con emojis y código de 2FA en Kaspersky Password Manager.

Cómo introducir contraseñas con emojis

El método de introducción depende de tu dispositivo y sistema operativo. Los teléfonos inteligentes tienen una sección de teclado especial para esto, mientras que en los ordenadores puedes usar una de estas opciones:

• En Windows 10 u 11, pulsa la tecla Win y la tecla de punto simultáneamente para abrir la tabla de emojis en cualquier campo de entrada. En muchos diseños, la combinación de teclas Win + ; también funciona.
• En macOS, la tabla de emojis está disponible en cualquier aplicación en Editar → Emoji y símbolos. Para abrir la tabla desde el teclado, mantén pulsadas las teclas Comando + Control + Barra espaciadora al mismo tiempo.
• En Ubuntu Linux (versión 18 y posteriores), puedes introducir emojis haciendo clic con el botón derecho en el campo de entrada y seleccionando Insertar emoji en el menú contextual. Para abrir la tabla desde el teclado, al igual que en Windows, pulsa Win + punto al mismo tiempo.
• Entrada por código de carácter. Por lento y aburrido que parezca, esta es una forma fiable de introducir cualquier carácter Unicode, no solo emojis. Primero, busca el código del carácter correspondiente en la tabla y, a continuación, introdúcelo usando una combinación de teclas especial. En Windows, mantén pulsada la tecla Alt e introduce el código decimal de la lista en el teclado numérico lateral. Para otros sistemas operativos, el proceso se describe en más detalle aquí.
• La forma más sencilla de introducir contraseñas con emojis es guardarlas en Kaspersky Password Manager e insertarlas en los campos de entrada requeridos de forma automática.

Fuente: latam.kaspersky.com

Un informe de 2022 reveló cuáles son las contraseñas más populares a nivel global en 2022 y “password”, “123456” y “123456789” son las tres más utilizada en el mundo.

Como todos los años, NordPass publicó su informe con las contraseñas más elegidas por las personas a nivel global. Al igual que la edición pasada, el reporte además incluye una lista con las contraseñas más elegidas en algunos países en particular, entre ellos: Brasil, Chile, Colombia, España y México.

Los datos nos dan una perspectiva sobre el nivel de madurez actual de las personas en un aspecto muy sensible que hace a la seguridad de la información: las contraseñas. Y de acuerdo al informe de este año, lamentablemente muchas personas siguen eligiendo contraseñas débiles, predecibles y fáciles de adivinar para proteger sus cuentas de correo electrónico, redes sociales u otros servicios online.

Password: la contraseña más utilizada a nivel global

Esta vez resulta que, a diferencia de lo que venía sucediendo, “123456” ya no es la más utilizada, sino que su lugar lo ocupó otra contraseña que constantemente dice presente en este reporte: “password”.

La lista elaborada por NordPass con las 200 contraseñas más comunes surge del análisis de una base de datos de 3TB que contienen contraseñas que quedaron expuestas en incidentes de seguridad. Esta información fue recopilada gracias a la colaboración de investigadores independientes especializados en investigación de incidentes.

Como se puede apreciar en la siguiente imagen, la tabla está ordenada de acuerdo a la cantidad de veces que una misma clave se fue utilizada, incluye el número de veces que estaba presente en la base de datos, y el tiempo en que tardaría en ser descifrada a través de un ataque de fuerza bruta.

Fuente: NordPass.

Como mencionamos, el informe incluye datos de algunos países en particular que para nuestros lectores pueden ser de interés. Como vemos en la siguiente tabla, en los cinco países la contraseña más utilizada se repite: 123456. Además, más allá de algunas variaciones en la lista de cada país, algo que se puede apreciar fácilmente es la cantidad de variantes de “123456”. Algo que también se observa a nivel global.

Otro dato interesante que incluye este reporte es una clasificación de las contraseñas más populares en categorías como deportes, nombres de artistas o grupos musicales, comidas, videojuegos, películas o autos, entre otros. Lo que muestra esto es un patrón que muchas veces siguen las personas a la hora de elegir una contraseña para que sean fáciles de recordar. Sin embargo, esto las convierte en fáciles de predecir. Sobre todo en ataques de fuerza bruta automatizados en los que los cibercriminales utilizan software para probar múltiples combinaciones de direcciones de correo y contraseñas en segundos.

Senhas que usam o nome de um artista. Fonte: NordPass.

Senhas que usam o nome de um time ou club. Fonte: NordPass.

Senhas que usam o nome de um filme. Fonte: NordPass.

Los resultados demuestran que sigue siendo fundamental concientizar a las personas acerca de la importancia que tiene crear contraseñas largas, difíciles de predecir y que sean únicas para cada cuenta o servicio online. Además, las personas deben saber que todo esto puede lograrse utilizando en la computadora o en el teléfono un administrador de contraseñas, ya que estos servicios contemplan todas estas necesidades. Por último, recordamos a todos la importancia de activar la autenticación en dos pasos en todos los servicios que utilizan para que la seguridad de sus cuentas no dependa únicamente de la contraseña.

Fuente: www.welivesecurity.com

Si bien los generadores de contraseñas online no suelen ofrecer la opción de almacenar las claves generadas, son una buena alternativa para evitar caer en contraseñas fáciles de adivinar o la tentación de reutilizar una que ya estés usando.

Siempre decimos que incorporar el hábito de crear contraseñas seguras y únicas para cada servicio online es muy importante, pero también es cierto que es difícil ser siempre lo suficientemente creativo al momento de crear una contraseña y que a la vez cumpla con: tener 20 caracteres diferentes, con mayúsculas, minúsculas, números y símbolos, y que a la vez sea distinta a todas las que has creado anteriormente para que no tengan nada en común. Por eso, los generadores de contraseñas online son una opción útil, ya que permiten en segundos generar una contraseña aleatoria y segura con apenas pocos clics.

Lo ideal es utilizar un gestor de contraseñas como KeePass o el que puede venir incluido en una solución de seguridad como es el caso de ESET Smart Security Premium, ya que los gestores no solo permiten guardar en un caja de seguridad digital todas las contraseñas de forma cifrada y sin necesidad de tener que recordarlas de memoria, sino que además ofrecen la posibilidad de crear contraseñas fuertes y seguras sin tener que acceder a un servicio online.

Lectura recomendada: ¿Es seguro aceptar que Google Chrome almacene nuestra contraseña?
Pero si decides no utilizar un gestor de contraseñas y prefieres usar un generador de contraseñas online, es una gran opción, ya que con estas herramientas te aseguras la creación de claves aleatorias de múltiples caracteres diferentes, que incluyen mayúsculas, minúsculas y caracteres especiales que hacen que tu clave sea difícil de adivinar. Lo que deberás evitar es reutilizar la misma contraseña para otra cuenta online, que es uno de los errores más comunes a la hora de crear una contraseña nueva.

Existen muchas opciones de generadores de contraseñas seguras online y la mayoría funciona de forma similar. Generalmente permiten al usuario elegir distintas características, como la cantidad de caracteres, si se incluyen mayúsculas y minúsculas, símbolos y números. En algunos casos se ofrece la opción de no repetir caracteres y también la posibilidad de crear frases como contraseña.

Por ejemplo, el generador de contraseñas seguras online de ESET permite crear claves de hasta 64 caracteres.

Generador de contraseñas seguras de ESET. Accede a la herramienta aquí.

Puedes corroborar con otro servicio la fortaleza de las contraseñas creadas con estas herramientas. Por ejemplo, la Universidad de Illinois ofrece una herramienta para evaluar la seguridad de las contraseñas y les otorga un puntaje. Además, detalla cuáles son los aspectos más fuertes y débiles, ayudando al usuario a comprender qué se valora más de una contraseña para determinar su seguridad.

Otra opción es la que ofrece Secure Password Generator, un sitio que asegura no almacenar contraseñas generadas y que ofrece varios parámetros que el usuario puede ajustar para crear. Además, tiene la alternativa más avanzada, llamada Password Generator Plus, que permite generar hasta 50 contraseñas diferentes con un solo clic. Algo interesante que ofrece este generador de contraseñas es la opción para recordar la contraseña mediante una frase con ayudas para la memoria.

Generador de contraseñas passwordsgenerator.net.

La mayoría de las compañías que ofrecen en el mercado gestores de contraseña también cuentan con una herramienta online para generar contraseñas seguras, como es LastPass, DashLine, Robotalp o Keeper.

¿Por qué es importante generar contraseñas seguras?
Cuanto más difícil de adivinar es una contraseña mayor seguridad brinda. Lamentablemente la realidad muestra que pasan los años y una gran masa de usuarios continúa utilizando contraseñas extremadamente débiles y fáciles de predecir. Esto lo observamos con los reportes que año a año publican algunas compañías que revelan cuáles son las contraseñas más utilizadas por los usuarios, las cuales suelen coincidir también con las más débiles.

Por ejemplo, la contraseña “123456” se detectó más de 1 millón de veces sumando las distintas filtraciones que sufren sitios a lo largo del mundo, y le siguen variantes de la misma que contienen más o menos números, o contraseñas como “password”.

¿Qué es una contraseña segura? La seguridad de una contraseña está determinada fundamentalmente por la dificultad o el tiempo que le insume a un programa de computadora descifrarla según el poder de cómputo. A mayor cantidad y variedad de caracteres, más tiempo le llevará al programa informático descifrar la clave. Hablamos de tecnología que es capaz de realizar millones de combinaciones diferentes a partir de ocho caracteres y en apenas unos instantes. Según explica el sitio del Foro Económico Mundial, una contraseña con 12 caracteres que contenga al menos una letra en mayúscula, un símbolo y un número demandaría 34.000 años a una computadora para poder descifrarla.

Hecha esta aclaración, los cibercriminales realizan ataques de fuerza bruta; es decir, utilizan programas para lanzar ataques contra servicios online y probar combinaciones de caracteres para una lista de direcciones de correo y contraseñas filtradas en brechas de seguridad pasadas, hasta encontrar credenciales válidas.

Lectura recomendada: Qué es un ataque de password spraying: pocas contraseñas para muchos usuarios
Algunas tablas ilustran qué tan rápido son descifradas las contraseñas en ataques de fuerza bruta de acuerdo a la longitud de caracteres, si solo contiene números, minúsculas, símbolos, etc. Por ejemplo, contraseñas de 8 caracteres y solo compuestas por letras minúsculas son descifradas al instante. Lo mismo contraseñas de 6 caracteres que incluyen al menos una letra mayúscula, un número y un símbolo. Según otras tablas, como la que realiza Hive Systems, contraseñas realmente seguras tienen un mínimo de 17 caracteres conformados por números y letras mayúsculas y minúsculas.

Infographic: How Safe Is Your Password? | Statista
Qué hacen los atacantes con las contraseñas descifradas
Con esta información en su poder los cibercriminales pueden vender esta información en foros de hacking en la dark web que son a su vez compradas por otros actores de amenazas para lanzar otros ataques y provocar otras brechas, o pueden usarlas para robar dinero o información adicional del usuario, como nombre, dirección, datos de la tarjeta de crédito o cuenta bancaria, entre otros. Todo esto lo pueden usar para el robo de identidad, un tipo de fraude que creció en el último tiempo.

Como comentario final en este Día Mundial de la Contraseña, además de recomendar a los usuarios utilizar un gestor de contraseñas para dar un salto considerable en mejorar la seguridad de sus cuentas digitales, recomendamos fuertemente habilitar la autenticación en dos pasos en todas las cuentas, como WhatsApp, Google, Facebook, Instagram, etc., para añadir una capa extra de seguridad y que el acceso a sus cuentas no solo dependa de una contraseña. Varios estudios han demostrado que habilitar la autenticación en dos pasos reduce considerablemente la posibilidad del robo de cuentas.

Fuente: https://www.welivesecurity.com/

¿Están los días contados para contraseñas como ‘123456’? Mientras que Microsoft impulsa un mundo lejos de las contraseñas, esto es lo que su organización debe considerar antes de desprenderse de ellas.

El concepto “sin contraseña” promete hacer la vida mucho más fácil, tanto para los usuarios como para los departamentos de seguridad. Ofrece la tentadora perspectiva de reducir los costos administrativos, mejorar la productividad y reducir el riesgo cibernético. Sin embargo, a pesar de estos llamativos beneficios, su implementación tanto para las empresas del sector B2C (acrónimo de Business to consumer, en inglés) como para el sector B2B (Business to business) no ha sido tan fuerte como podría haberse esperado.

No obstante, cuando la compañía de software más grande del mundo decide respaldar un nuevo paradigma tecnológico, al menos hay que tomar nota. Hace bastante que Microsoft describió a las contraseñas como “inconvenientes, inseguras y costosas”. En marzo de 2021, la compañía introdujo una solución de autenticación sin contraseña para clientes comerciales. Y, en septiembre, anunció que extendería el soporte para todos los usuarios. Por lo cual, se podría decir que la era de la autenticación sin contraseña finalmente ha llegado.

Cuando las contraseñas ya no son adecuadas para su propósito

Las contraseñas han existido durante casi tanto tiempo como las computadoras y su desaparición ha sido predicha muchas veces. Pero, sin embargo, todavía siguen en uso, asegurando todo, desde aplicaciones corporativas hasta la banca en línea, el correo electrónico y cuentas de comercio electrónico.

El problema es que ahora tenemos demasiadas de estas credenciales para administrar y recordar. Una estimación sugiere que el 57% de los trabajadores estadounidenses han anotado contraseñas corporativas en notas adhesivas, mientras que una encuesta realizada en 2021 por ESET Latinoamérica que el 49% de los usuarios anotan sus contraseñas para no olvidarlas y 38% lo hace en un papel. Y el número crece constantemente a medida que expandimos nuestra huella digital. A modo de referencia, una estimación de octubre de 2020 afirmaba que en promedio una persona utiliza alrededor de 100 contraseñas, casi un 25% más que antes de que comenzara la pandemia.

Desde una perspectiva de ciberseguridad, el desafío con las contraseñas está bien documentado: Proporcionan a los atacantes un objetivo que es cada vez más fácil de obtener mediante robo, ataques de phishing, o mediante fuerza bruta. Una vez que tienen las claves en su poder, los atacantes pueden hacerse pasar por usuarios legítimos, superando los mecanismos de seguridad perimetrales y permaneciendo ocultos dentro de las redes corporativas durante mucho tiempo. Actualmente, el tiempo necesario para identificar y contener una brecha de datos es de 287 días.

Los administradores de contraseñas y métodos como el inicio de sesión único (en inglés, Single Sign-on) ofrecen alguna forma de contención para estos desafíos, almacenando y recordando claves complejas para cada cuenta, para que los usuarios no tengan que hacerlo. Sin embargo, todavía no son universalmente populares entre los consumidores. ¿El resultado? Los usuarios reutilizan en múltiples cuentas credenciales que son fáciles de recordar, tanto para sus cuentas de uso personal como corporativas, quedando expuestos a ataques de fuerza bruta como el credential stuffing.

No se trata solo de riesgos de seguridad. Las contraseñas requieren mucho tiempo y dinero para que los equipos de IT las administren, y puedan agregar una fricción adicional al recorrido del cliente. Las brechas pueden requerir reinicios masivos en grandes volúmenes de cuentas, lo que puede interferir con la experiencia del usuario en entornos B2B y B2C.

Cómo la eliminación de las contraseñas puede beneficiar a su negocio

En este contexto, la autenticación sin contraseña ofrece un gran salto. Mediante el uso de una aplicación de autenticación biométrica, como el reconocimiento facial o una clave de seguridad, o un código único enviado por correo electrónico/mensaje de texto, las organizaciones pueden eliminar de un solo golpe los dolores de cabeza de seguridad y administración asociados con las credenciales estáticas.

Al adoptar este enfoque para operaciones B2B y B2C, las organizaciones pueden:

• Mejorar la experiencia del usuario: Haciendo que los inicios de sesión sean más fluidos y eliminando la necesidad de que los usuarios recuerden sus contraseñas. Esto incluso podría impulsar mejores ventas si menos carritos de compras quedan abandonados debido a problemas de inicio de sesión.
• Mejorar la seguridad: Si no hay contraseñas para robar, las organizaciones pueden eliminar un vector clave que compromete la seguridad. Se afirma que, el año pasado, las contraseñas fueron las culpables del 84% de las brechas de datos. Al menos esto generará mayor dificultad a los atacantes para obtener lo que buscan. Y en el caso de los ataques de fuerza bruta, que actualmente se registran miles de millones cada año, se convertirán en cosa del pasado.
• Reducción en los costos y el daño a la reputación: al minimizar los daños financieros provocados por los ataques de ransomware y las brechas de datos. También reducirá los costos de administración IT asociados con el restablecimiento de contraseñas y la investigación de incidentes. Un informe indica que podría costar hasta 150 euros (200 dólares) por el restablecimiento de cada contraseña y unas 30.000 horas en pérdida de productividad por año. Esto sin mencionar el tiempo extra invertido por los equipos de IT que podrían emplearse en tareas de mayor valor.

¿Qué está frenando la autenticación sin contraseña?

Sin embargo, “sin contraseñas” no es sinónimo de panacea. Aún existen varias barreras para su implementación, incluyendo:

• La seguridad no está 100% asegurada: Los ataques de SIM swapping, por ejemplo, pueden ayudar a los atacantes a eludir los códigos de acceso de un solo uso (OTP) enviados vía mensaje de texto (SMS). Y, si los atacantes pueden acceder a dispositivos y máquinas, por ejemplo, vía spyware, también podrían interceptar estos códigos de un solo uso.
• La biometría no es infalible: Al autenticarse con un atributo físico que el usuario no puede cambiar o restablecer, el riesgo aumenta si los atacantes encuentran una manera de comprometer el sistema. Ya se están desarrollando técnicas de aprendizaje automático para socavar la tecnología de reconocimiento de voz y de imagen.
• Altos costos: Las PyMEs (pequeñas y medianas empresas) con una gran base de usuarios o clientes pueden encontrar que implementar alguna tecnología sin contraseña termina siendo bastante costoso, sin mencionar los potenciales costos involucrados en la emisión de dispositivos o tokens de reemplazo, si corresponde. Usar un proveedor establecido como Microsoft tiene más sentido, aunque habrá un costo de desarrollo interno asociado.
• Reticencia del usuario: Hay una razón por la cual las contraseñas han resistido a lo largo del tiempo, a pesar de sus principales deficiencias de seguridad: los usuarios saben instintivamente cómo usarlas. Superar el miedo a lo desconocido podría abordarse más fácilmente en un entorno empresarial, donde los usuarios no tendrán otra opción que seguir las reglas. Pero en un mundo B2C podría crear la suficiente fricción adicional para desmotivar a los clientes. Por lo tanto, se debe tener cuidado para que el proceso de inicio de sesión sea lo más fluido e intuitivo posible.

A medida que la era post pandemia efectivamente comience, hay dos tendencias que serán las que den forma al futuro sin contraseña: un aumento en el uso de servicios en línea para el consumidor y la aparición del trabajo híbrido. Con el dispositivo móvil en el centro de ambos, parece tener sentido que cualquier estrategia corporativa sin contraseñas comience aquí.

Fuente: https://www.welivesecurity.com/

La versión estable de 1Password para Linux ya está disponible su descarga. Su aparición por estos lares se dio hace algo menos de un año en la forma de preview release y con la advertencia explícita por parte de sus desarrolladores de no estar a la par de funciones con las aplicaciones para Windows y Mac y de usarse solo para pruebas; pero la espera ha terminado… si es que alguien la esperaba, lo cual es muy probable.

Habida cuenta de que hablamos de un gestor de contraseñas que funciona a modo de servicio de pago y se basa en software privativo, quizás no se trate del estreno más interesante del mundo este de 1Password para Linux, pero al igual que sucede por ejemplo con Microsoft Edge, para el que el ecosistema de Linux y del código abierto tiene alternativas de sobra, 1Password es una de las aplicaciones más populares de su categoría y quienes utilizan diferentes sistemas operativos, no cabe duda de que tiene su público.

En el caso de que no lo conozcas, ¿qué ofrece 1Password para Linux? Lo cierto es que bastantes cosas, como por supuesto todas funciones básicas que esperas de un gestor de contraseñas: que las guarde a buen recaudo con cifrado de extremo, doble autenticación, generador de contraseñas fuertes, soporte multiplataforma, incluyendo extensiones para navegadores web… Y otras más específicas que ya se anunciaron con la versión de pruebas:

• Instalaciones simples y seguras utilizando administradores de paquetes como APT y DNF
• Cambio automático del modo oscuro basada en el tema de GTK
• Abrir ubicaciones de red (FTP, SSH, SMB)
• Soporte de administrador de ventanas de mosaico y títulos de ventanas descriptivos
• Desbloqueo con la cuenta de usuario de Linux, incluida la biometría
• Icono de la bandeja del sistema
• Integración y limpieza del portapapeles X11
• Atajos de teclado
• Exportación de datos
• Desbloqueo de múltiples cuentas con diferentes contraseñas
• Cree colecciones para organizar datos entre cuentas y bóvedas

Desde entonces hasta ahora, claro está, 1Password para Linux ha mejorado características ya presentes pero incompletas como la integración con el bloqueo, inactividad y suspensión del sistema o integración con GNOME, KDE y otros gestores de ventanas, así como ha añadido, además de estabilidad, otras tantas opciones que le faltaban:

• Asistente de bienvenida
• Editor de etiquetas
• Elementos favoritos
• Adjuntar archivos
• Nueva interfaz para la línea de comandos
• Integración con GNOME Keyring, KDE Wallet y el llavero del kernel
• Soporte para Arch Linux

Nada mal, para tratarse de la primera versión estable de 1Password para Linux. Por lo demás, ya os contamos que la aplicación ha sido desarrollado con Rust (backend) y Electron (frontend) y que aun cuando es un servicio de pago (a partir de 2,99 dólares al mes), con su llegada a Linux ofrece un plan gratuito para equipos de trabajo que desarrollen proyectos de código abierto. Toda la información acerca de este lanzamiento, en la página oficial de 1Password para Linux.

Fuente: www.muylinux.com