POLITÉCNICO SUR ANDINO – POLISUR

Educación y Tecnología a su alcance.

FECHA: 7 de octubre 2020 GUIA NO. 3
AREA: TECNOLOGIA E INFORMATICA Docentes: JOHN BURBANO

BUENAS PRÁCTICAS PARA CREAR CONTRASEÑAS

Las contraseñas nos ayudan a mantener todos nuestros datos personales seguros, por
lo mismo, es muy importante saber crearlas de manera que sean fuertes e imposibles de
descifrar, ya que usar contraseñas muy evidentes o dejarlas a la vista, exponen tu
información personal.
Usamos las contraseñas de forma cotidiana para acceder a cuentas bancarias, a
aplicaciones móviles, para activar alarmas, ingresar al celular, sacar dinero del cajero
automático, etc.
Por lo tanto, crear y gestionar una contraseña segura es tan importante como cuidar las
llaves de tu propia casa. Si se pierden las llaves, lo lógico es que cambiarás la chapa
inmediatamente para evitar robos. Lo mismo pasa con las contraseñas personales.

LOS PRINCIPALES ERRORES EN LA CREACIÓN Y GESTIÓN DE CONTRASEÑAS

Los resultados de una investigación de la plataforma de

comunicaciones TeleSign revelan los siguientes hechos sobre el uso de contraseñas en
línea en Estados Unidos:

• Una persona de cada cinco usa contraseñas en línea que no se han cambiado en
10 años.
• Casi la mitad (47%) confía en al menos una contraseña que no se ha cambiado
durante cinco años.
• El 73% de las cuentas en línea se activan con la misma contraseña que también
se usa para otra cuenta.
• En promedio, solo seis contraseñas únicas se utilizan para proteger 24 cuentas
en línea.
• En el último año, a un tercio de los consumidores (30%) se les ha pirateado una
cuenta o contraseña, o se les ha notificado que su información personal se ha visto
comprometida.
• Como resultado, más de tres cuartas partes (80%) de los consumidores están
preocupados por su seguridad en línea.
• Más de la mitad (54%) usa cinco o menos contraseñas en toda su vida en línea,
mientras que una quinta parte (22%) usa tres o menos.

CREAR CONTRASEÑAS CON AL MENOS TRES DE LOS SIGUIENTES CUATRO

CONJUNTOS DE CARACTERES.

• Minúsculas.
• Mayúsculas.
• Letras.
• Símbolos especiales.

Las contraseñas que usen caracteres de los cuatro conjuntos serán más seguras, pero hay
algunos sistemas que no permiten el uso de símbolos especiales.
Las contraseñas seguras tienen una desventaja, son más difíciles de recordar. Esta es una de
las principales razones por las que los usuarios evitan escoger una contraseña segura o
cambiarla regularmente.

Sin embargo, hay una manera fácil de recordar todas las combinaciones alfanuméricas
y de símbolos. El método implica la creación de una sola fórmula personal (o código
maestro) que se puede personalizar para adaptarse a varias situaciones diferentes.

1
 POLITÉCNICO SUR ANDINO – POLISUR
Educación y Tecnología a su alcance.
Comienza creando una oración que no olvides y usa las primeras letras de cada palabra
para crear una base. Por ejemplo, la frase "Amo vivir el aquí y el ahora" se convierte en
Aveayea.

• Ahora hay que agregar un número que signifique algo especial para ti. Luego,
escribe con mayúscula una letra y mantén en minúscula las demás. La palabra
base se convertiría en aveayEa90
• Esta raíz seguirá siendo la misma para todas sus contraseñas.
• Para cada sitio web o aplicación que necesita una contraseña, puedes adaptar la
raíz al mismo sitio. Por ejemplo, para una contraseña de Facebook, agrega F a la
raíz y crea la contraseña FaveayEa90, lo mismo para una contraseña de Instagram,
agrega I a la raíz para formar IaveayEa90

De este modo podrás usar la contraseña raíz para varias cuentas diferente haciendo
ciertas modificaciones.

LAS CONTRASEÑAS SE TIENEN QUE CAMBIAR PERIÓDICAMENTE

Existen filtraciones, vulnerabilidades y multitud de situaciones en que nuestra contraseña

puede quedar expuesta. Por lo tanto es recomendable que periódicamente vayamos
modificando las contraseñas de nuestros servicios. En el momento de cambiar la contraseña es
altamente recomendable no reutilizar viejas contraseñas.

USAR CONTRASEÑAS SEGURAS NO SIGNIFICA QUE NO PODAMOS SER VÍCTIMAS DE UN

ATAQUE

Aunque sigamos la totalidad de consejos mencionados no estaremos totalmente seguros. La

totalidad de contraseñas de un servicio se almacenan en un sistema de control de acceso. Si
alguien consigue acceder al sistema de control de acceso puede llegar a descargase su base
de datos y por lo tanto obtener las contraseñas de miles de usuarios. Por lo tanto es
extremadamente importante que el sistema de control de acceso sea seguro. Algunas de las
prácticas que se pueden implementar en los sistemas de control de acceso son
:
1. Los administradores del sistema de control de acceso deben cifrar las contraseñas de
los usuarios mediante funciones hash. De este modo, si un atacante consigue robar la
base de datos que contiene las claves únicamente obtendrá un hash.
2. Proteger los sistemas de control de acceso contra ataques por fuerza bruta. Hay
que bloquear a los usuarios o IP que cometan demasiados errores en la introducción de
una contraseña.
3. Es recomendable que los sistemas de control de acceso implementen sistemas de
doble autenticación. Por otra parte los usuarios que se loguean tienen que usar los
sistemas de doble autenticación. De esta forma, aunque un atacante consiga nuestra
contraseña no podrá acceder a nuestro servicio y/o información.
Aparte de securizar el control de accesos también podemos ser víctimas de otro tipo de
ataques. Por ejemplo ataques de phishing mediante ingeniería social. Por lo tanto siempre
tenemos que estar atentos de no estar en una página fraudulenta en el momento de
introducir nuestra contraseña.

CONCIENTIZAR A LAS PERSONAS QUE HACEN USO DE UN SERVICIO

En el ámbito empresarial y personal es importante formar y concientizar a los trabajadores y

personas sobre la importancia de la buena gestión de las contraseñas. La gente y los
trabajadores tienen que ser conscientes que una mala gestión de las contraseñas puede traer
consecuencias negativas como por ejemplo:

1. Robo de información de una determinada empresa.

2. Pérdida de información personal o confidencial como por ejemplo fotos, contratos, etc.
3. Filtración de información confidencial sobre las actividades y estrategia de una
determinada empresa.
4. Que una tercera personas cometa actividades delictivas utilizando nuestras cuentas.

2
 POLITÉCNICO SUR ANDINO – POLISUR
Educación y Tecnología a su alcance.
5. Que un compañero de trabajo acceda a nuestras cuentas para perjudicar nuestro
rendimiento laboral.
Por lo tanto es extremadamente importante concienciar y formar a nuestros empleados y
personas más cercanas.

USAR EQUIPOS DE CONFIANZA PARA ACCEDER A SERVICIOS CRÍTICOS

Hay que usar un equipo seguro para acceder a nuestras cuentas bancarias o a un servicio que
sea crítico. Eviten usar equipos públicos que pueden encontrar en bares, bibliotecas hoteles,
etc.
El riesgo que un equipo público o que no controlamos esté comprometido es mucho más
elevado que en un equipo que es de nuestra confianza. A modo de ejemplo, un atacante podría
infectar la totalidad de equipos de un cibercafé con un keylogger.

IMPLEMENTAR UN PROCEDIMIENTO PARA UNA CORRECTA GESTIÓN DE LAS

CONTRASEÑAS

En el ámbito empresarial es importante que existan procedimientos que definan claramente los
siguientes aspectos:

1. Disponer de un listado de la totalidad de equipos y servicios que requieren de una clave

de acceso.
2. Forzar que los sistemas de autenticación solo acepten claves seguras y que se tengan
que ir cambiando periódica y regularmente.
3. Que las claves de acceso tengan definido un periodo de validez máximo.
4. Disponer de un sistema y metodología para distribuir y almacenar las claves de acceso

NORMAS PARA PROTEGER UNA CLAVE

La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el
usuario. Al comprometer una cuenta se puede estar comprometiendo todo el sistema.
La siguiente frase difundida en UseNet resume algunas de las reglas básicas de uso de la
contraseña: “Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo
regularmente; y NO lo compartas con tus amigos”.
Algunos consejos a seguir:

1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar

este hecho periódicamente.
2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas
de Root, System, Test, Demo, Guest, etc.
3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y
no debe identificarse al propietario en el mismo lugar.
5. No teclear la contraseña si hay alguien mirando. Es una norma tácita de buen usuario no
mirar el teclado mientras alguien teclea su contraseña.
6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si
se debe mencionar no hacerlo explícitamente diciendo: “mi clave es…”.
7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una
lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).
Muchos sistemas incorporan ya algunas medidas de gestión y protección de las
contraseñas. Entre ellas podemos citar las siguientes:
1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse
distintas medidas:
o Obligar a reescribir el nombre de usuario (lo más común).
o Bloquear el acceso durante un tiempo.

3
 POLITÉCNICO SUR ANDINO – POLISUR
Educación y Tecnología a su alcance.
o Enviar un mensaje al administrador y/o mantener un registro especial.
2. Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres (se
recomienda 7 u 8 como mínimo).
3. Restricciones de formato. Las contraseñas deben combinar un mínimo de letras y
números, no pueden contener el nombre del usuario ni ser un blanco.
4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la
contraseña. Se obliga a no repetir ciertas cantidad de la anterior. Se mantiene un periodo
forzoso entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la
anterior.
5. Ataque preventivo. Muchos administradores utilizan crackeadores para intentar atacar
las contraseñas de su propio sistema en busca de debilidades.

COMO PROTEGER NUESTRAS REDE SOCIALES

Hoy en día, la mayoría de nosotros disponemos de, por lo menos, una cuenta en alguna de las
redes sociales más populares, como Facebook, Twitter o Instagram. Y justamente es en las
redes sociales donde más información compartimos. Es por eso que, para proteger nuestra
información y nuestra privacidad, vamos a explicar qué pasos debes seguir para asegurarte de
que tus cuentas sean lo más seguras posibles.

Facebook

Para poder configurar la seguridad y privacidad de nuestra cuenta, debemos acceder a

las pestañas de Seguridad y Privacidad dentro de la Configuración de la cuenta.

• Activa la autenticación en dos pasos. Esto añadirá una capa extra de protección
y evitará que desconocidos accedan a tu cuenta de Facebook.

• Selecciona contactos de confianza. Estos te ayudarán a recuperar el acceso a

tu cuenta de Facebook si un día lo pierdes.

• Cambia la contraseña frecuentemente. Es importante cambiar la contraseña

cada cierto tiempo y utilizar contraseñas robustas, con mayúsculas y minúsculas,
números y símbolos. Avast Passwords te ayuda a generar nuevas contraseñas y
también te ayuda a administrarlas.

• Modifica los ajustes de privacidad. ¿Quieres que todo el mundo vea tus
publicaciones o sólo tus amigos? ¿Todo el mundo puede enviarte solicitudes de
amistad o sólo amigos de amigos? ¿Quieres que los motores de búsqueda fuera de
Facebook enlacen a tu perfil? Todas esto lo puedes personalizar desde la pestaña de
Privacidad en la configuración de tu cuenta.

• Bloquea el acceso a la app de Facebook. Si utilizas la app de Facebook y no

quieres que nadie acceda a tu cuenta desde tu teléfono, considera instalar una
aplicación que bloquee la app y solicite un código PIN para acceder a ella. Avast Mobile
Security te puede resultar muy útil.

• Agrega sólo a tus amigos. Tú eliges a quien agregas en Facebook, pero si vas a
compartir información de carácter personal, seguramente no te interese tener a
desconocidos en tu lista de amigos.

4
 POLITÉCNICO SUR ANDINO – POLISUR
Educación y Tecnología a su alcance.
Twitter

Para configurar la privacidad y la seguridad de nuestra cuenta de Twitter, debemos

acceder a las pestañas de Cuenta y de Seguridad y privacidad en la configuración.

• Activa la autenticación en dos pasos. Twitter te enviará un mensaje de texto con

un código para que puedas acceder a tu cuenta.

• Activa la verificación de información personal para recuperar tu contraseña.

De este modo, si alguien se hace pasar por ti y solicita el restablecimiento de la
contraseña, deberá verificar información personal que sólo tu deberías saber, lo que
añade una capa extra de seguridad a tu cuenta.

• Personaliza los ajustes de privacidad. Si tus tweets no están protegidos,

¿realmente quieres que todo el mundo sepa desde dónde estás enviado tus tweets?
¿Te interesa que todo el mundo pueda enviarte mensajes privados o sólo aquellos a
los que sigues?

• Cambia la contraseña frecuentemente. Es importante cambiar la contraseña

cada cierto tiempo y utilizar contraseñas robustas, con mayúsculas y minúsculas,
números y símbolos. Avast Passwords te ayuda a generar nuevas contraseñas y
también te ayuda a administrarlas.

• Bloquea el acceso a la app de Twitter. Si utilizas la app de Twitter y no quieres

que nadie acceda a tu cuenta desde tu teléfono, considera instalar una aplicación que
bloquee la app y solicite un código PIN para acceder a ella. Avast Mobile Security te
puede resultar muy útil.

Instagram

Para configurar la privacidad y seguridad de tu cuenta de Instagram, debes acceder al

menú de Opciones de la aplicación.

• Activa la autenticación en dos pasos. No importa si eres un influencer o si sólo

tienes unos pocos seguidores, sólo tú deberías poder acceder a tu cuenta. Activando
esta opción, Instagram te enviará un código de seguridad para confirmar que eres tú
quien inicia sesión en tu cuenta.

• Cambia la contraseña frecuentemente. Es importante cambiar la contraseña

cada cierto tiempo y utilizar contraseñas robustas, con mayúsculas y minúsculas,
números y símbolos. Avast Passwords para Android e iOS te ayuda a generar nuevas
contraseñas y también te ayuda a administrarlas.

• Personaliza los ajustes de privacidad. ¿Realmente deseas que todo el mundo

pueda ver dónde estás, qué haces y con quién? Instagram permite que tu cuenta sea
privada, por lo que sólo tus seguidores podrán ver tus publicaciones, además de
ofrecerte un mejor control sobre quien te sigue.

• Bloquea el acceso a la app de Instagram. Si utilizas la app de Instagram y no

quieres que nadie acceda a tu cuenta desde tu teléfono, considera instalar una
aplicación que bloquee la app y solicite un código PIN para acceder a ella. Avast Mobile
Security te puede resultar muy útil.

POR QUE PROTEGER NUESTRAS REDES SOCIALES

Para que los hacker o ciberdelincuentes no sean capaces de descifrar tus contraseñas,
es importante que pienses en crear una lo suficientemente larga y compleja para
dificultar la tarea.
Microsoft aconseja las siguientes prácticas para crear una contraseña fuerte y segura:

5
 POLITÉCNICO SUR ANDINO – POLISUR
Educación y Tecnología a su alcance.
1. .No utilizar palabras comunes a nuestro entorno social. Las claves Elchacal123,
Elprincipe&Damian o Elmicha2012 son malas contraseñas porque son palabras
comunes en nuestra sociedad a pesar de que tienen mayúsculas, minúsculas,
símbolos y números.
2. No utilizar nuestros datos personales o el de nuestros seres queridos para formar la
contraseña. (nombre, fecha de cumpleaños, aniversario, graduación, artistas
favoritos, novio/novia, mascotas, etc.). Mucha gente forma su contraseña con
porciones de su nombre, por ejemplo una contraseña común para Juan Dela García
sería judega o juadela, etc.
3. No usar contraseñas completamente numéricas con algún significado (teléfono,
carnet de identidad, fecha de nacimiento, placa del automóvil, etc.).
4. Longitud mínima de al menos 9 caracteres. En general una contraseña más larga
será más segura. Muchos sistemas actuales ponen como límite 16 caracteres, pero
hay otros con un límite mucho mayor.
5. No usar la misma contraseña para sistemas diferentes. La contraseña debe ser
única para cada sistema de manera que si una de nuestras contraseñas es robada,
el resto de los sistemas no se verá afectado. Este error es muy común en muchos
lugares donde tratando de ahorrar tiempo se le pone el mismo password de
administración a todas las PC de un determinado local.
6. Cambiar las contraseñas regularmente, por ejemplo cada tres o seis meses (si es
factible un menor tiempo, mejor). La frecuencia de cambio de las contraseñas
dependerá de la importancia del sistema que se desea proteger. Si un usuario no
autorizado logra obtener el “hash” de nuestra contraseña podría intentar realizar un
ataque de fuerza bruta sobre ésta. Si la contraseña es cambiada con regularidad, la
probabilidad de que logre adivinarla es mucho menor. El hash de una contraseña es
una representación de ésta que proporciona seguridad para su almacenamiento.
7. No deben anotarlas en un papel (una práctica muy común a nuestro alrededor)
cerca de la computadora o debajo del teclado. Sí se pueden anotar siempre y
cuando se guarden en un lugar seguro bajo llave, para que podamos consultarlas en
caso de que las olvidemos.
8. Si se utiliza una contraseña en una computadora no confiable, como la de un café
internet, se debe cambiar lo más pronto posible desde una computadora confiable.
De preferencia, deben usarse contraseñas de un sólo uso.
9. Configurar los mecanismos de recuperación de contraseñas, para obtener acceso a
nuestras cuentas en caso de que nuestras contraseñas sean comprometidas.
Algunas acciones comunes son seleccionar una segunda cuenta de recuperación y
configurar una pregunta secreta. Muchos sistemas ofrecen guías específicas y
gratuitas para incrementar la seguridad.