Cada vez más de las cosas sensibles y valiosas de nuestra vida están guardadas en cuentas en línea protegidas con contraseña: cartas de amor, registros médicos, cuentas bancarias y más. Los sitios web utilizan procedimientos de inicio de sesión para proteger esas cosas valiosas. Por lo general, siempre que alguien no pueda iniciar sesión en su cuenta, no podrá leer su correo electrónico ni transferir dinero desde su cuenta bancaria. Mientras vivimos nuestras vidas en línea, ¿cómo debemos proteger nuestros inicios de sesión?
tl;dr:
- Usar contraseñas aleatorias y usar una contraseña diferente para cada sitio
- Prestá atención a las señales de seguridad del navegador y sospechá
- Hazcéque tus respuestas a las preguntas de seguridad sean tan seguras como tus contraseñas
- Usá un administrador de contraseñas para hacer más fácil crear y recordar contraseñas
- Usá la "autenticación de dos factores" siempre que puedas
Es difícil encontrar una contraseña
La mayoría de los inicios de sesión de hoy están protegidos por contraseña. Si un atacante puede obtener tu contraseña, puede acceder a tu cuenta y hacer cualquier cosa que pueda hacer con esa cuenta. Cuando te preguntes qué tan segura es tu cuenta, realmente deberías pensar en qué tan segura es tu contraseña. Y eso significa que debes pensar en todas las diferentes formas en que un atacante podría acceder a la contraseña de tu cuenta:
- Verte usarla en un sitio no cifrado
- Adivinándola
- Robándote un archivo que contenga la contraseña
- Usar la recuperación de contraseñas para restablecerla
- Engañándote para que se la entregues
Para mantener tu inicio de sesión seguro, necesitás prevenir tantos como puedas. Cada riesgo tiene una mitigación diferente.
Buscá el candado en tu navegador
Es fácil evitar que los atacantes roben tu contraseña cuando te conectas a un sitio web sin cifrar: piensa dos veces antes de escribir la contraseña si no ves un icono de bloqueo en la barra de URL, así:
El candado significa que el sitio web que estás usando está cifrado, de modo que incluso si alguien está viendo tu navegación en la red (como otra persona en un punto de acceso público a una red WiFi), no podrán ver tu contraseña. Firefox intentará avisarte cuando estés a punto de introducir tu contraseña en un sitio sin cifrar.
Tu navegador también te ayuda a mantenerte informado sobre lo fiables que son los sitios, para ayudarte a mantenerte a salvo del phishing. Por un lado, cuando intentas visitar un sitio web conocido como phishing, Firefox (y cualquier navegador importante) mostrará una advertencia a pantalla completa, ¡presta atención y piensa dos veces sobre usar ese sitio!
En general, la mejor defensa contra el phishing es sospechar de lo que recibes, ya sea que aparezca en correo electrónico, mensaje de texto o por teléfono. En lugar de seguir el enlace que alguien te envió, visita el sitio directamente. Por ejemplo, si un correo dice que necesitás restablecer tu contraseña de PayPal, no hagas clic en el enlace. Escribe en paypal.com. Si es un mensaje del banco, llamalos.
Fortaleza en la diversidad
El secreto para evitar qu te adivinen, roben o cambien tu contraseña es un montón de aleatoriedad. Cuando los atacantes tratan de adivinar contraseñas, usualmente hacen dos cosas: 1) Usan "diccionarios" — listas de contraseñas comunes que la gente usa todo el tiempo, y 2) realizan conjeturas aleatorias. Cuanto más larga y aleatoria sea tu contraseña, menos probable será que cualquiera de estas técnicas de adivinación la encuentre.
Cuando un atacante roba la base de datos de contraseñas para un sitio que usas (como LinkedIn o Yahoo), no hay nada que puedas hacer excepto cambiar tu contraseña para ese sitio. Eso es malo, pero el daño puede ser mucho peor si has reusado esa contraseña con otros sitios web — entonces el atacante puede acceder a tus cuentas en esos sitios también. Para mantener el daño contenido, siempre usa diferentes contraseñas para diferentes sitios web.
Usá Mozilla Monitor para vigilar las direcciones de correo asociadas con tus cuentas. Si tu correo electrónico aparece en una filtración de datos corporativa, recibirás alertas y se te proporcionarán los pasos que deberás seguir para proteger la cuenta afectada.
Preguntas de seguridad: el apellido de soltera de mi madre es "Ff926AKa9j6Q"
Por último, la mayoría de los sitios web te permiten recuperar tu contraseña si la has olvidado. Normalmente, estos sistemas te hacen responder algunas "preguntas de seguridad" antes de poder restablecer tu contraseña. Las respuestas a estas preguntas deben ser tan secretas como tu contraseña. De lo contrario, un atacante puede adivinar las respuestas y establecer tu contraseña para algo que sabe.
El azar puede ser un problema, ya que las preguntas de seguridad que los sitios a menudo usan también son cosas que la gente tiende a saber sobre ti, como tu lugar de nacimiento, tu cumpleaños, o los nombres de tus parientes o que se pueden aprender de fuentes como las redes sociales. La buena noticia es que al sitio web no le importa si la respuesta es real o no, ¡puedes mentir! Pero mentir productivamente: Da respuestas a las preguntas de seguridad que son largas y aleatorias, como tus contraseñas.
Obtener ayuda de un administrador de contraseñas
Todo esto suena bastante intimidante. La mente humana no es buena para crear largas secuencias de letras aleatorias, por no hablar de recordarlas. Ahí es donde se recomienda usar un administrador de contraseñas. Incorporado directamente al navegador, Firefox te preguntará si deseas generar una contraseña única y compleja, y luego guardará de forma segura tu información de inicio de sesión, a la que puedes acceder en cualquier momento en about:logins.
Cuando iniciés sesión en Firefox con tu Cuenta de Mozilla, podés sincronizar todos tus dispositivos y acceder a tus contraseñas desde un navegador móvil de Firefox. Conocé más sobre cómo usar el administrador de contraseñas integrado al máximo.
Autenticación con dos factores (2FA)
2FA es una gran manera de mejorar tu seguridad. Al configurar una nueva cuenta, algunos sitios web te darán la opción de agregar un "segundo factor" al proceso de inicio de sesión. A menudo, esto significa enlazar tu número de teléfono a tu cuenta, así que después de introducir tu contraseña, se te pedirá que introduzcas un código seguro directamente. De esta forma, si un hacker ha conseguido tu contraseña, todavía no podrá acceder a tu cuenta, ya que no tienen tu teléfono.
Tu Cuenta de Mozilla, por ejemplo, puede protegerse con 2FA, del que podés conocer más acá.
2FA proporciona mucha mejor seguridad que las contraseñas por sí solas, pero no todos los sitios web lo admiten. Puedes encontrar una lista de sitios web que admiten 2FA en https://twofactorauth.org, así como una lista de sitios que no admiten 2FA y formas en las que puedes pedirles que añadan soporte.
Fuerte, diverso y multifactorial
Para bien o para mal, vamos a usar contraseñas para proteger nuestras cuentas en línea por bastante tiempo. Utiliza contraseñas que sean fuertes y diferentes para cada sitio, y usa un administrador de contraseñas para ayudarte a recordarlas de forma segura. Establece respuestas aleatorias para preguntas de seguridad (incluso si no son la verdad). Y utiliza la autenticación de dos factores en cualquier sitio que la admita.
En la internet de hoy, donde miles de contraseñas son robadas cada día y las cuentas se negocian en el mercado negro, vale la pena esforzarse por mantener tu vida en línea segura. Cuando usas productos de Firefox, gran parte del esfuerzo se facilita, porque todos nuestros productos están construidos para mantener nuestra promesa de privacidad. Y Firefox siempre está guiado por la misión de Mozilla, la organización sin fines de lucro por la que estamos respaldados, para construir una internet mejor.