Seguridad de la contraseña

26 de julio de 2022

Lo que el cómic XKCD sobre contraseñas nos enseña sobre la seguridad en general

Las contraseñas son el primer aspecto de la seguridad informática en el que pensamos (y para mucha gente, el único). Son el primer acercamiento para la mayoría de nosotros a la ciberseguridad: nuestros primeros retos CTF, ataques de fuerza bruta a conexiones wifi, lecciones de criptografía sobre validaciones hash y más... todo gira en torno a ellas.

Sin embargo, hay algunas lecciones de gran impacto que aún podrían enseñarnos. También son las más fáciles de aprender y aplicar.

El nodo de mayor impacto

Como medida de seguridad, las contraseñas son extremadamente eficaces. Para los usuarios, son casi triviales de generar, y marcan una enorme diferencia: no hay comparación entre un sistema protegido por contraseña y un sistema sin protección alguna. Podríamos considerar las contraseñas como nodos de alto impacto en los sistemas de seguridad, en el sentido de que aumentan la seguridad a un ritmo mucho mayor que el esfuerzo que cuesta utilizarlas.

La seguridad siempre tiene un coste, no sólo económico. Exige atención y tiempo. Aporta fricción a procesos que funcionarían mucho mejor sin ella. Para las organizaciones, el beneficio de la seguridad es la relación entre lo que cuesta y lo que ahorra.

Las contraseñas son el paradigma de lo que deberían ser los avances en seguridad: medidas que maximizan los beneficios con costes mínimos.

¿Cómo podemos encontrarlos?

Una vez que una organización ha alcanzado un cierto nivel de madurez en seguridad, los nodos de alto impacto son más difíciles de encontrar. Pero así es como funciona: el nodo de mayor impacto suele estar en nuestros puntos ciegos.

Hay un principio detrás de esto: si una cadena no es más fuerte que su eslabón más débil, entonces ese es el eslabón que hay que fortalecer si queremos una cadena más fuerte.

En ciberseguridad, los puntos ciegos son todo lo que ocurre fuera de los ordenadores. El phishing, el vishing y los errores humanos son grandes ejemplos: un tercio de los ataques y las violaciones de datos tienen mucho más que ver con llamadas telefónicas bien ensayadas que con expertos informáticos.

Aunque los equipos y expertos en seguridad no suelen caer en este tipo de ataques, sigue habiendo una faceta de la seguridad que no siempre se reconoce. Para ilustrarlo, las contraseñas vuelven a ser útiles (y como de costumbre, hay un cómic de XKCD para ilustrarlo):

Analicemos la idea subyacente:

  1. Hay una estrictamente ordenador aspecto de la seguridad de las contraseñas: La entropía de Shannon. ¿Qué significa esto? Que los ataques de fuerza bruta llevan un tiempo inviable si las contraseñas son largas e impredecibles.
  2. Los sistemas informáticos suelen tener un requisito basado en la ordenador aspecto de la seguridad de las contraseñas: para aumentar la imprevisibilidad, las contraseñas deben incluir letras mayúsculas y minúsculas, símbolos de puntuación y números.
  3. Hay un punto ciego en el lado humano del sistemaLas contraseñas formadas por símbolos aleatorios pueden ser las más impredecibles, pero también las más difíciles de recordar.
  4. Este punto ciego provoca una debilidad: las contraseñas difíciles de recordar deben escribirse en algún sitio, y tienden a hacer que los usuarios “reciclen” la misma contraseña en más de una cuenta.
  5. Por fin, una solución surge de una comprensión integral del problema:
  6. En informática (en concreto, la combinatoria y la entropía de Shannon) muestra que un aumento del número de caracteres incrementa la imprevisibilidad a un ritmo incluso mayor que la introducción de signos de puntuación y símbolos poco habituales.
  7. La psicología demuestra que recordar cuatro palabras aleatorias es al menos tan fácil como recordar cuatro símbolos aleatorios, lo que hace que las primeras sean mucho más eficaces desde el punto de vista de la memoria en la búsqueda de la entropía de la contraseña.

Este es un gran ejemplo de cómo debe funcionar la ciberseguridad. El nodo de alto impacto se encontró gracias a una comprensión integral del problema: la protección no sólo tuvo en cuenta la lado del ordenador, pero también comprendió la sistema protegido (la persona) y fue capaz de adaptarse a sus necesidades.

Comprender los costes y beneficios de la ciberseguridad para los sistemas protegidos es la clave para diseñar estrategias más sólidas. A veces, la mejor respuesta no es encontrar nuevas defensas, sino reducir el coste y la fricción de la protección existente.

Nodos de gran impacto en nuestra industria:

Algunos de los nodos de mayor impacto en la seguridad ahora mismo residen precisamente en optimizar la protección existente, ya sea reduciendo la fricción entre la seguridad y el negocio habitual, reduciendo los costes de seguridad o maximizando el impacto de las estrategias.

  • Gestión de vulnerabilidades: Solucionar todas las vulnerabilidades a toda costa es ineficaz e imposible. La tarea de priorizar las soluciones es un aspecto clave de la seguridad eficaz.
  • DevSecOps: Introducir la seguridad en las iteraciones de desarrollo de software reduce la fricción entre seguridad y desarrollo. Evita el dilema entre desplegar un producto inseguro o posponer el lanzamiento porque tras las pruebas se ha encontrado un fallo de seguridad ahora difícil de corregir.
  • Herramientas de orquestación: Una gran visibilidad de la superficie de ataque es clave para agilizar la seguridad y reducir el tiempo de reacción. Sin embargo, el número de escáneres y herramientas de seguridad disponibles en el mercado es abrumador, hasta el punto de que algunos equipos acaban sacrificando la cobertura por la simplicidad. Plataformas como Insights y Blog nos ayudan a dar sentido a las distintas herramientas, integrarlas y adaptarlas a las necesidades de cada organización.
  • Automatización: El tiempo de los expertos en seguridad es costoso y extremadamente valioso. Cada actividad que realizan y que puede ser automatizada tiene un alto impacto en la seguridad (incluso si no está estrictamente relacionada con la seguridad, como la elaboración de informes).
  • Análisis basado en el riesgo: Conocer las capacidades de su equipo y el impacto económico previsto de sus vulnerabilidades es un aspecto crucial para diseñar una estrategia de seguridad óptima. Puesto que la clave de la seguridad es la eficacia, incorporar los aspectos económicos de la seguridad al ámbito del análisis es el camino a seguir.

Las contraseñas son omnipresentes y eficaces. Han estado con nosotros mucho antes de que existieran los ordenadores, y (quién sabe) puede que incluso sobrevivan a ellos.

Nos enseñan una profunda verdad: la mejor seguridad informática sólo puede lograrse si también miramos fuera de los ordenadores y nos adentramos en el funcionamiento de los sistemas que protegemos. Sólo entonces se descubrirán los nodos de alto impacto y se logrará una seguridad eficaz.

¿Le interesan nuestros productos? Consulte nuestra versión gratuita, aquí. ⚡🚀

Seguir leyendo

Los últimos artículos del blog
Ver todos los artículos

Lanzamiento de Faraday v5.18: mejoras de rendimiento, mejores integraciones y más control

Esta versión responde a las antiguas peticiones de los clientes y refuerza nuestra misión de hacer que la gestión de vulnerabilidades sea más sencilla, transparente y práctica.

19 de febrero de 2026
Leer el artículo

Revelación de vulnerabilidades de nuestro equipo 2024

Nuestro equipo de investigación de seguridad investiga activamente vulnerabilidades en tecnologías de uso generalizado, con especial atención a la infraestructura de redes y los sistemas integrados. A lo largo de 2024, nuestros investigadores informaron de múltiples problemas de seguridad que afectaban a

8 de enero de 2026
Leer el artículo

Ekoparty 2025: otra edición, nuevas conexiones y la misma pasión por hackear

Cada año, la Ekoparty nos recuerda por qué amamos lo que hacemos.Nos preparamos con la misma energía de siempre: para reencontrarnos con la comunidad, compartir lo que investigamos, aprender de otros y..,

6 de enero de 2026
Leer el artículo

Manténgase informado, suscríbase a nuestro boletín

Introduzca su correo electrónico y no se pierda nunca las alertas y consejos de seguridad de los expertos de Faraday.

Faraday ayuda a grandes empresas, MSSPs y equipos de seguridad de aplicaciones a aprovechar mejor su ecosistema de seguridad, optimizando lo que ya utilizan.

Sede central

  • 3310 Mary St Suite 501 Miami, FL 33133, EE.UU.
  • +1 904 715 4284

Laboratorio de investigación y desarrollo

  • Bolivar 238 2° Piso Buenos Aires, C1066AAF Argentina
  • +54 11 4331 0469

Soluciones

Código abierto

2025 Faraday Security. Todos los derechos reservados.
Términos y condiciones | Política de privacidad