WP Engine, proveedor de alojamiento de WordPress, ha publicado un estudio que revela cuáles son las contraseñas más usadas en todo el mundo. Como era de esperar, la originalidad y la complejidad brillan por su ausencia. Y es que la mayoría se basan en patrones y combinaciones simples que no suponen un gran obstáculo para los ciberdelincuentes.
“Las contraseñas suelen ser fáciles de adivinar porque muchos de nosotros pensamos en palabras y números obvios y los combinamos de forma sencilla. Queríamos explorar este concepto y, al hacerlo, ver qué podíamos descubrir sobre cómo funciona la mente de una persona cuando organiza palabras, números y (con suerte) símbolos en un orden (probablemente no muy) único”, explica la compañía en su publicación.
Su objetivo: identificar patrones comunes
Nos encaminamos a un mundo sin contraseñas, donde los sistemas de telemetría estarán a la orden del día. Esta tendencia no sólo responde a criterios de seguridad, sino que, según otros estudios, las contraseñas pueden ser perjudiciales para los negocios, ya que pueden generar rechazo entre los usuarios al visitar un sitio web y, en consecuencia, pueden dejar de hacerlo.
Sin embargo, aún estamos lejos de esa realidad y, mientras tanto, debemos seguir creando contraseñas seguras para evitar el robo de credenciales por parte de las bandas criminales. Por citar algún ejemplo, el Centro de Ciberseguridad Nacional de Reino Unido (NCSC) defiende el uso de tres palabras aleatorias en los passwords como lo más apropiado. Como medida adicional, también es recomendable recurrir a gestores de contraseñas para crear claves más difíciles de averiguar. Pero, sobre todo, hay que intentar evitar a toda costa usar la misma contraseña en todas nuestras cuentas por motivos evidentes.
El objetivo de la investigación, basada en una muestra de 10 millones de contraseñas, es identificar cuáles son los patrones más comunes a la hora de crearlas. Como comentamos, las que más abundan son las menos elaboradas y, por ende, las más vulnerables, ya que dichos patrones son fáciles de averiguar por los ciberdelincuentes. Al fin y al cabo, los seres humanos acostumbramos a usar claves que seamos capaces de recordar y eso suele ir en detrimento de nuestra seguridad.
Recientemente, otro estudio señalaba que hay más de 4 millones de tarjetas bancarias en circulación puestas a la venta en la dark web, por lo que las consecuencias podrían ser devastadoras en algunos casos. Para obtener esos datos, los actores maliciosos recurren a un método tan poco sofisticado como el de la fuerza bruta, es decir, adivinar las credenciales por medio del ensayo y el error.
Las contraseñas más frecuentes suelen ser las más vulnerables
Una vez más, los investigadores han demostrado que la mayoría de los usuarios optan por contraseñas vulnerables. Precisamente, “123456”, uno de los ejemplos de contraseñas inseguras más citados, es la primera de la lista, seguida de -la menos original si cabe- “password” y “12345678”, que, seguramente, responde al mínimo de 8 caracteres requerido en algunos sitios.
Asimismo, los patrones de teclado son otro de los métodos más utilizados para crear una contraseña. De hecho, el número 1 del ranking podría entrar en esta categoría. No obstante, WP Engine ha decidido excluir los patrones exclusivamente numéricos de esta lista, siendo “qwerty”, “qwertyuiop” y “1qaz2wsx” los más extendidos. La lógica de otras claves, como “adgjmptw”, podría parecer más compleja a simple vista. Aparentemente, no sigue ningún patrón identificable en un teclado de ordenador, pero si en uno de teléfono móvil. Los investigadores descubrieron que cada caracter corresponde a la primera letra que aparece en cada tecla de este tipo de dispositivos.
Con respecto a las combinaciones de letras y números, la compañía afirma que la mayoría (23,84%) prefiere añadir un “1” al final, mientras que el 6,72% escoge el “2” y el 3,86% el “3”. Evidentemente, cuánto más larga sea una contraseña, menos posibilidades tendrá de ser descubierta. Aun así, la mayoría de las claves tienen una longitud de 8 caracteres, ya que es el mínimo exigido en muchos sitios web.
A pesar de estos alarmantes datos, WP Engine quiere dar un mensaje tranquilizador: “Si utiliza uno de los grandes proveedores de correo electrónico, como Gmail, no debería tener que preocuparse demasiado de que su contraseña sea adivinada mediante un ataque de fuerza bruta. Gmail interrumpe los intentos ilegítimos casi de inmediato. Es probable que su banca en línea esté protegida de manera similar”.
Imagen de mohamed_hassan en Pixabay