Una de las cosas con las que más tenemos que ir con cuidado es con las contraseñas.

Mi hermanita la pobre es una de las que se olvida constantemente de las contraseñas, y el otro día mi amiga Cris tuvo un caso paranormal en su facebook, enviando invitaciones de una tienda con sede en Australia… Personalmente no pienso que esto último sea cuestión de haber reventado la contraseña, pero aún así voy a dar unos cuantos consejos que al menos a mí me van de maravilla.

Se basa en unos sencillos  pasos.

1-Ser precavido.

Uno de los fallos más frecuentes es utilizar una única contraseña para multitud de cuentas. La misma contraseña para el facebook, para el correo, para webs que no son muy seguras… Y en estas últimas es donde suele haber problemas.

Eso, y los exploits y ahora más conocidos y extendidos como phising. El exploit para los profanos en la materia es una página a la que sueles ir redireccionado de otra página que simula ser la página oficial de facebook, hotmail, etc… pero que no lo son. Entonces introduces tus datos pensando que es la página original y lo que haces es enviar tu nombre de usuario y contraseña al creador del exploit. Es una cosa terriblemente fácil de hacer, ya que muchos no se fijan en la barra de direcciones.

Luego derivó en el phising, que va un paso más allá y suele venir en forma de correo electrónico, haciéndote creer que son entidades bancarias diciendo que como medida de seguridad necesitan hacer una comprobación de datos. Afortunadamente el phising se está controlando bastante, ya que se suele anular pronto. Mientras que en los exploits se acercaban mediante servicios que utilizaba mucha gente, en el phising a la hora de adivinar tu banco es más complicado. Además, al venir por correo electrónico puedes denunciarlo inmediatamente y suele tener numerosas faltas de ortografía, como si lo hubiese traducido Google. A mí me llegó uno del BBVA, entidad en la que no tengo ni cuenta, con un español terrible y que denuncié por Gmail como phising. Si os pasa no os cortéis y hacerlo. Vosotros quizá no piquéis, pero alguien más ingenuo o con menos experiencia puede caer fácilmente. Alertando que es un phising pueden dar de baja la página de manera muy rápida e incluso meterla en el saco de Spam con lo que habría menos víctimas.

Siempre, repito, siempre, hay que mirar que la página donde se escriben los datos sea una página segura y esté encriptada. Es decir que no sea http://, si no https://. La «s» de secure significa que los datos están encriptados y suelen venir acompañada de un candado. Os dejo los cinco navegadores que suelo utilizar con un amarillo resaltado en lo que os tenéis que fijar:

Y aquí con certificado de identidad verificado. No es más que una comprobación diciendo que la  empresa es quien dice ser. Suele venir coloreado o con la empresa verificada resaltada.

La diferencia básicamente está en el precio y la confianza. El protocolo https (Hypertext Transfer Protocol Secure) ya puede tener de por sí una encriptación de 2048 bits, prácticamente indestructible. Pero el certificado digital (más caro) además te dice — ¡Si, soy yo de verdad! —. Es una cuestión de confianza.

Si por cualquier motivo os piden de nuevo la contraseña en algún sitio que soléis frecuentar dudar. Puede ser que se haya hecho limpieza en el navegador de las cookies, pero dudar siempre. A no ser que hagáis lo que os aconsejo y es usar un gestor de contraseñas, que lo explico en el paso 3.

2-Las direcciones acortadas.

Hoy en día cada vez se usan más. A raíz de twitter, los acortadores de direcciones se han popularizado mucho. Yo soy el primero en usarlos. Con un click en una extensión del navegador abrevias una dirección interminable como https://www.facebook.com/photo.php?fbid=10204140483207881&set=pb.1099886060.-2207520000.1415096873.&type=3&theater en esto más elegante: http://on.fb.me/1tWbZ1m

El problema es que entre el cinco y el diez por ciento de esos enlaces te dirigen a páginas fraudulentas.

Así que usar el sentido común. Si el enlace acortado es de un amigo o en twitter de algún medio serio como un medio de comunicación o una persona conocida no suele haber problema. Pero si estás en los comentarios del Marca (no pongo enlace por ser medio AEDE) y ves un comentario diciendo «mira las tetas que tiene mi prima en bit.ly/ashdjahsadad o similar…» vamos, ni lo dudes, no piques.

Pero si aún así tienes la duda en alguna ocasión, usa LongURL. Te dirá donde te lleva el enlace y una breve descripción. Hay varios que hacen lo mismo, pero LongURL reconoce más de 300 abreviaturas de URL.

3-Gestor de contraseñas

De la cantidad de páginas que visito desconozco por completo la contraseña. Utilizo un gestor de contraseña, en concreto Lastpass, que funciona con todos los navegadores. Otra opción es 1Password o  Efficient Password Manager Pro, pero yo me declino sin duda por Lastpass.

Únicamente recuerdo tres contraseñas robustas, que explico como crear en el paso 4, y que son las que más suelo utilizar en otro equipo que no sea el mío: La contraseña maestra de Lastpass (para acceder y poder saber cualquier contraseña tuya desde otro ordenador desde su web), la de Gmail y la de Facebook. Las tres distintas y seguras.

Lastpass se instala como cualquier extensión, y una vez instalada y registrado ya te puedes olvidar de las contraseñas. Lo mejor es que las cree el propio programa. Al rellenar cualquier formulario en el campo de la contraseña ya suele aparecer un icono, si no aparece botón derecho/Lastpass/Generar contraseña segura.

Recomiendo utilizar un gestor en vez del propio gestor de contraseñas del navegador. Son más seguros.

De esta manera cada página que visites tendrá su propia contraseña y se rellenará automáticamente sin tener que preocuparte de que si te descubren una contraseña te revienten todas tus cuentas.

El programa además cuenta con notas seguras, en las que puedes poner tarjetas de crédito, fotos o cualquier archivo que desees proteger.

4-Crear contraseñas seguras.

Como he dicho antes algunas páginas que puedes frecuentar en otros equipos deben tener contraseñas seguras que puedas memorizar. Si tu ordenador es de sobremesa puedes hacer que LastPass se active sin necesidad de poner la contraseña, pero si es portátil evidentemente no es nada recomendable.

Para crear contraseñas yo utilizo un patrón. Necesito una frase, un número de cuatro o cinco dígitos y el número del patrón.

Por ejemplo voy a utilizar como frase una que me encanta de la canción Beatiful Boy de John Lennon: «La vida es aquello que te va sucediendo mientras te empeñas en hacer otros planes»

Como número podría utilizar un número de teléfono, de DNI o fecha de nacimiento. En mi caso voy a usar esto último: 02101977 (2 de octubre el 1977)

Y por último el patrón. Puede ser de dos, tres o hasta cuatro números. El primero será el salto de letra, el segundo las mayúsculas, el tercero el número y el cuarto podría ser algún símbolo como (*¿!;¨{…). En mi caso prescindiré de este último y lo haré de tres. 3-4-3

Empezamos con las letras: patrón de 3.

La vida es aquello que te va sucediendo mientras te empeñas en hacer otros planes

Y tenemos:

lieqtzciditseeshetas

Y vamos con las mayúsculas: patrón de 4.

LieqTzciDitsEeshEtas

y por último los números: patrón de 3. Aquí en vez de seleccionar, agregamos, por eso parece que el patrón sea igual que el anterior.

Lie0qTz2ciD1its0Ees1hEt9as

Con lo que nos quedaría configurada nuestra contraseña segura: Lie0qTz2ciD1its0Ees1hEt9as 26 caracteres, mezclando mayúsculas, minúsculas y números.

Quizá me haya pasado un pelín, pero el tema es que cojáis la idea. Con un patrón, una frase y unos números se pueden crear contraseñas robustas. De 10 a 14 caracteres ya suele estar bien. Algo así: Lie0qTz2ciD1.Y aunque os parezca difícil, después de repetirlas unas cuantas veces se acaban por memorizar. Al principio tener un papel al lado para escribirlas, pero luego intentar prescindir de él. Y a las malas, siempre podrás recuperar la contraseña en cualquier parte con un bolígrafo y un papel.

Y por favor, no hagáis esto 🙂