Contrasenas que resisten

Las contrasenas no se roban solo porque una persona "no se le da bien el ordenador". A menudo acaban en internet por una filtracion de datos: un sitio es vulnerado y una lista de emails y contrasenas se vende o se publica. Si usas la misma contrasena en varios servicios, el problema se amplia. El delincuente prueba esa pareja email-contrasena en el correo, el banco, las redes sociales y las tiendas.

Esto se llama credential stuffing: no hace falta adivinar, basta con reutilizar lo que ya se ha filtrado. El NCSC conto en 2024 casos suizos en los que una contrasena filtrada y reutilizada abrio varias cuentas: para el usuario normal, la reutilizacion es el error numero uno. La regla simple es esta: una contrasena puede ser fuerte, pero si se reutiliza se vuelve fragil. La contrasena de tu email es la mas importante, porque desde alli se restablecen muchas otras contrasenas.

Mucha gente piensa que una buena contrasena debe ser tipo "T7!qZ9@p". Es dificil de recordar y a menudo acaba escrita en un papel o reutilizada por todas partes. Una passphrase es mas humana: cuatro palabras al azar, quizas con un separador. Ejemplo de forma: "taza-lago-ventana-violeta". No uses este ejemplo: inventate uno tuyo.

La ventaja es la longitud. Ocho caracteres al azar pueden ser fuertes, pero a menudo son inmanejables. Cuatro palabras sin relacion entre si son mas faciles de recordar y bastante largas para muchas cuentas. Evita frases famosas, nombres de hijos, fecha de nacimiento o equipo favorito. Si el servicio permite espacios, usa una frase larga. Si no los permite, usa guiones o puntos. La contrasena debe ser unica para ese servicio.

Un gestor de contrasenas guarda una contrasena distinta para cada sitio y te la rellena cuando hace falta. Ejemplos conocidos son 1Password, Bitwarden, Apple Keychain y Google Password Manager. No es publicidad: son categorias de herramientas. Lo importante es usar un sistema que de verdad puedas mantener.

Con un gestor solo tienes que recordar la contrasena principal, que debe ser larga y unica. Activa tambien el bloqueo con huella o codigo del dispositivo. Cuando el gestor propone una contrasena al azar para un sitio nuevo, aceptala: no tienes que recordarla tu. Si prefieres Apple o Google por simplicidad, esta bien; si quieres una app dedicada, esta bien. El salto de seguridad no es la marca. Es dejar de usar la misma contrasena en el banco, el email, las redes sociales y las tiendas.

Puedes comprobar si tu email aparece en filtraciones conocidas en Have I Been Pwned. Escribe el email, no la contrasena. Si aparece un servicio viejo, no significa que hoy alguien este leyendo tu correo. Significa que debes cambiar la contrasena de ese servicio y de cualquier otro donde hubieras reutilizado la misma.

Hazlo asi: primero cambia la contrasena del correo electronico, luego activa la 2FA, luego cambia las contrasenas de los servicios mas importantes. No intentes arreglar toda tu vida digital en una noche. Empieza por email, banco, Apple ID o cuenta de Google y redes sociales principales. Si una contrasena vieja ha acabado en una filtracion, considerala quemada para siempre. No la reutilices nunca, ni siquiera con un pequeno cambio al final.