KNP es una empresa de transporte británica que operaba desde hacía 158 años y que contaba con 700 empleados que acaba de ir a la quiebra por un grave problema de seguridad que surgió de algo muy simple: según las investigaciones que hay hasta ahora, la contraseña muy débil de un empleado permitió a los hackers acceder a los sistemas hasta arruinar a la empresa.

Ante más investigaciones, se cree que los hackers lograron acceder al sistema informático adivinando la contraseña de un empleado, tras lo cual cifraron los datos de la empresa y bloquearon sus sistemas internos.

En Genbeta

"No negociamos con ciberdelincuentes" puede ser una mala política ante ataques de ransomware, según este estudio de Sophos

Es curioso que el director de KNP, Paul Abbott, afirma que no le ha dicho al empleado que su contraseña comprometida probablemente provocó la destrucción de la empresa. A nadie le gustaría cargar con la culpa de un error así. Como el CEO ha dicho en una entrevista a BBC: "¿Querría saberlo si fuera usted?".

Un secuestro de ransomware

Según se ha hecho público ahora, en 2023, KNP operaba 500 camiones, la mayoría bajo la marca Knights of Old. La empresa afirmó que su sistema informático cumplía con los estándares del sector y que había contratado un seguro contra ciberataques. Pero una banda de hackers, conocida como Akira, accedió al sistema, impidiendo al personal acceder a los datos necesarios para el funcionamiento del negocio.

La única forma de recuperar los datos, según los hackers, era pagar, ya que se trataba de un ataque de ransomware: "Si está leyendo esto, significa que la infraestructura interna de su empresa está total o parcialmente inactiva... Guardémonos las lágrimas y el resentimiento e intentemos entablar un diálogo constructivo", decía la nota de rescate.

En Genbeta

Un grupo de ransomware muy activo en España cierra y ofrece a sus víctimas liberar sus equipos gratis. Se cree que tiene otros planes

Según recoge ahora BBC, los hackers no especificaron el precio en ese momento, pero una firma especializada en negociación de ransomware estimó que la suma podría ascender a 5 millones de libras (5,76 millones de euros). KNP no disponía de esa cantidad. Al final, se perdieron todos los datos y la empresa quebró y 700 personas perdieron sus empleos.

Un cierre repentino

Como publica un medio local de Northamptonshire, donde operaba la empresa, el cierre repentino de 2023 se hizo evidente para el personal cuando los camiones tuvieron que regresar a la base debido a dificultades financieras. National World Scources informó que el viernes 22 de septiembre de 2023, por la tarde, se convocó al personal no administrativo junto con sus compañeros para informarles del cierre de la sede en Venture Park.

El lunes siguiente (25 de septiembre), la empresa administradora FRP Advisory Trading Limited anunció más de 730 despidos. La empresa administradora comunicó en otra reunión al personal "manual" que no recibirían su salario el último viernes del mes, como de costumbre, y que debían solicitar ayuda pública gubernamental.

En Genbeta

Ransomware de doble extorsión: el malware que te hace pagar dos veces para proteger tus datos

En septiembre de 2024, al menos 80 antiguos empleados de Knights of Old obtuvieron éxito en su acción legal para recuperar los salarios atrasados que se les adeudaban, argumentando que Knights of Old no inició un período de consulta cuando la empresa de transporte quebró. En agosto de 2024, el complejo de almacenes KNP, de 13.800 metros cuadrados, en Kettering Road, Islip, se vendió en una operación multimillonaria.

El Centro Nacional de Ciberseguridad (NCSC) ha revelado que el Reino Unido se enfrenta a un ataque importante a diario. Los hackers no están haciendo nada nuevo, afirma "Sam" (nombre ficticio), quien dirige un equipo del NCSC que se ocupa de los ataques diarios. Simplemente buscan un punto débil, han explicado en un reportaje: "Simplemente encuentran constantemente organizaciones en un mal día y se aprovechan de ellas".

Como publica desde ITGovernance del Reino Unido, A pesar de cumplir con los estándares del sector y contar con seguro contra ciberataques, la empresa no pudo recuperar sus datos y entró en concurso de acreedores. "Si una contraseña débil puede causar tanto daño, es evidente que implementar una política de contraseñas seguras debería formar parte de los procesos de ciberseguridad de toda organización"

Imagen | compartida por la empesa de camiones MAN

Vía | Xataka

En Genbeta | Somos el eslabón débil: tres de cada cuatro brechas de datos se debe a que los humanos caemos en engaños, no a 'bugs'

Llevo usando gestores de contraseñas durante bastantes años a decir verdad. Mi rutina diaria incluía abrir NordPass cada vez que necesitaba acceder a cualquier servicio online y pegar automáticamente la contraseña aleatoria. Hace años que no sé qué contraseñas tengo en la mayoría de servicios, y eso está bien porque te quita un buen peso de encima si pretendes que cada contraseña sea distinta y única para estar más protegido. Sin embargo, se pueden mejorar las cosas.

Google, Microsoft, Apple, y otros tantos gigantes tecnológicos, llevan varios años hablando de passkeys. Yo las he usado en algún punto, pero todavía no se habían convertido en mi método principal para iniciar sesión en los servicios que ofrecen estas compañías. Esta vez, sin embargo, he decidido dar el salto definitivo y configurar todas mis cuentas principales para funcionar exclusivamente con esta tecnología. La verdad que el resultado no podría haber salido mejor.

Tu huella es tu nueva contraseña

Pero antes de nada, creo que viene bien recordar qué son las passkeys. Básicamente son una forma moderna y segura de autenticación que reemplaza las contraseñas tradicionales por un sistema basado en criptografía. En lugar de recordar claves, el usuario se identifica mediante su huella, rostro o PIN del dispositivo, y se genera un par de claves (una pública y una privada) que solo funciona con el servicio con el que se pretende iniciar sesión. Son más seguras que las contraseñas porque no se pueden robar ni reutilizar, y protegen mejor frente a phishing y otro tipo de ataques.

La experiencia ha sido sorprendentemente satisfactoria. Donde antes tenía que hacer malabarismos entre aplicaciones, ahora simplemente apoyo el dedo en el lector de huellas de mi móvil y listo. El proceso es tan fluido que a veces tengo la sensación de que se trata de magia, sobre todo conociéndome, ya que soy tremendamente perezoso para introducir mis credenciales cuando un servicio me pide iniciar sesión. el acceso se produce de forma natural e instantánea. Es como haber eliminado un paso innecesario en una rutina que repetía decenas de veces al día.

"Laves de acceso y llaves de seguridad" es la opción a la que debemos dirigirnos en la cuenta de Google para activar las passkeys

Más allá de la comodidad, la sensación de seguridad es enormemente gratificante. Sin contraseñas almacenadas que puedan ser vulneradas en filtraciones masivas de datos, el riesgo de ciberataques se reduce considerablemente. Las passkeys no son infalibles, por supuesto, pero representan un salto cualitativo importante en términos de protección.

Es bastante liberador saber que no hay una contraseña maestra que recordar, ni combinaciones complejas que gestionar, ni el temor constante de que alguna de mis credenciales acabe en manos equivocadas tras el enésimo hackeo de turno. La criptografía asimétrica que sustenta las passkeys hace que cada autenticación sea única y no transferible.

"Cuenta sin contraseñas" en el caso de Microsoft

Passkeys es muy cómodo, pero también es un cebo para que no escapes del ecosistema

El hecho de no tener que utilizar una contraseña para iniciar sesión en determinados servicios es tremendamente cómodo. Sin embargo, existen situaciones en las que el sistema de passkeys puede convertirse como un grano en el culo.

Las llaves que se generan se utilizan para un solo ecosistema. Es decir, que si tú utilizas el llavero de iCloud para usar passkeys en tu iPhone, iPad o Mac e iniciar sesión en tu cuenta de Apple sin contraseñas, la experiencia no es igual a si quieres iniciar sesión con tu cuenta de Apple en un dispositivo con Windows, ya que entonces debes de depender de tu teléfono móvil para iniciar sesión con un método de verificación alternativo.

En Genbeta

Hace un año activé esta función de seguridad gratis en mi cuenta de Google y desde entonces me resulta más fácil evitar estafas

A fin de cuentas, cada gigante tecnológico utiliza su propio sistema de passkeys para incorporarlo a su ecosistema, por lo que el inicio de sesión sin contraseñas también se puede convertir en un cebo para intentar que no escapes de ese ecosistema. En este sentido, la interoperabilidad de passkeys podría mejorar bastante, y a día de hoy es de los pocos inconvenientes con los que me he cruzado.

Passkeys requiere depender del móvil, algo que igualmente ya era una realidad

El punto de reflexión de que cada vez dependemos más del móvil no es nuevo, pero sigue estando vigente. Ahora, más que nunca, mi móvil se ha convertido en la llave de acceso a mi vida digital. Sin el dispositivo principal, usar passkeys puede ser más incómodo o requerir pasos adicionales, como usar otro dispositivo vinculado o escanear un código QR.

Aunque la clave privada se almacena localmente, muchas plataformas como Apple o Google permiten sincronizarlas de forma segura a través de la nube. Y claro, esto también me abre la puerta al miedo de acabar perdiendo el móvil, aunque el riesgo se mitiga gracias a funciones de recuperación como el acceso desde otros dispositivos vinculados o el uso de copias de seguridad cifradas.

En Genbeta

Usar Google Chrome para gestionar tus contraseñas no es una buena idea. Estos son los motivos

A decir verdad, el móvil ya era un compañero inseparable del que ya dependemos para todo, por lo que que se convierta también en nuestro medio de autenticación por defecto no hace más que consolidar una realidad que ya existía.

Mi intención era probar passkeys durante solo unas semanas, pero al final me han acabado convenciendo lo suficiente como para que se conviertan en mi método de acceso a mis servicios principales por defecto. En mi móvil suelo usar Brave como navegador, así que también fue una sorpresa cuando el navegador me pidió entrar a mi cuenta de Google directamente con mi huella.

Si quieres utilizar passkeys como método de inicio de sesión, lo único que tienes que hacer es dirigirte a la web de configuración de tu cuenta en servicios como Google, Microsoft o Apple. En Google, esta opción se llama “llaves de acceso y llaves de seguridad”, la cual se puede encontrar en el apartado de seguridad.

En Microsoft, en el mismo apartado de seguridad, debemos dirigirnos a la sección para administrar nuestro inicio de sesión y añadir un nuevo método, siendo éste “cuenta sin contraseñas”. En Apple podemos gestionar el inicio de sesión con passkeys desde el llavero de iCloud, aunque esto requiere tener iOS 16, iPadOS 16, macOS Ventura o superior. Después tendremos que configurar el inicio de sesión con Face ID, Touch ID o PIN.

En Genbeta | Este cambio que aconseja Google en tu cuenta de Gmail te puede ahorrar un buen disgusto: es muy eficaz contra ciberataques

Durante años, la idea de que hay que cambiar periódicamente las contraseñas ha sido considerada una medida esencial en materia de ciberseguridad: empresas, instituciones y usuarios han seguido esta práctica con la creencia de que ayudaría a proteger datos y sistemas.

Sin embargo, un creciente consenso entre los expertos indicaría ahora que esta política es no solo ineficaz... sino también perjudicial para la seguridad.

Recientemente, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés) ha actualizado sus recomendaciones en materia de seguridad digital y ha concluido que no se debe exigir a los usuarios cambiar sus contraseñas periódicamente porque eso conduce a la creación de contraseñas débiles y predecibles, facilitando así el trabajo de los ciberdelincuentes en lugar de dificultarlo.

La evidencia científica

Expertos como Alan Woodward, de la Univ. de Surrey (Reino Unido), y Angela Sasse, del University College de Londres, han subrayado los efectos negativos de estos cambios obligatorios. El primero, por ejemplo, que estas políticas ponen una carga excesiva sobre los hombros de los usuarios, quienes, al verse obligados a renovar sus claves con frecuencia, optan por soluciones fáciles de recordar, pero fácilmente vulnerables.

En Genbeta

Un hacker ha contado los errores que cometemos al elegir una contraseña. No querrás repetirlos

Esto incluye patrones predecibles como agregar números consecutivos a palabras comúnmente usadas, por ejemplo, "password1", "password2", y así sucesivamente.

Sasse, por su parte, resalta que este debate no es nuevo: su propia investigación ya había revelado que la carga cognitiva y la frustración asociadas con el cambio frecuente de contraseñas llevan a los usuarios a adoptar estrategias de gestión de contraseñas poco seguras:

"El misterio es por qué este conocimiento científico ampliamente aceptado no ha logrado cambiar la mentalidad de auditores, certificadores y una gran parte de la industria de la seguridad".

Un cambio de paradigma (y dos consejos)

En realidad, la política que ahora asume el NIST ya había sido adoptada por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés): en 2018, este organismo publicó un informe que concluía que la exigencia de cambios regulares de contraseña hacen que los usuarios tiendan a realizar modificaciones mínimas en sus claves previas, generando variaciones previsibles y vulnerables a ataques de fuerza bruta o técnicas de ingeniería social.

Las buenas prácticas en seguridad digital están evolucionando hacia modelos que priorizan la protección efectiva sin imponer cargas innecesarias a los usuarios. Así, frente a la ineficacia de los cambios forzados de contraseña, expertos como Woodward abogan por:

• Adoptar sistemas de autenticación multifactor, que combinan el uso de una contraseña con un segundo factor de autenticación, como un código único enviado por SMS o una aplicación de autenticación. Según Woodward,

"Esto anula la mayoría de los ataques, ya que un atacante que logre obtener la contraseña de un usuario seguiría necesitando el segundo factor de autenticación".

• El NIST recomienda que las contraseñas sean largas y compuestas por frases fáciles de recordar, pero difíciles de adivinar, en lugar de cadenas cortas de caracteres complejos que los usuarios tienden a olvidar.

Es hora de que empresas y usuarios adopten estas recomendaciones y dejen atrás prácticas obsoletas que, lejos de proteger, facilitan el trabajo de los atacantes... esperamos no descubrir dentro de diez años que había otras investigaciones que apuntaban en otro sentido.

Vía | New Scientist

Imagen | Marcos Merino mediante IA

En Genbeta | Si usas una de las contraseñas de esta lista, tienes el récord del inicio de sesión más hackeable de Internet

Para Microsoft, las contraseñas son algo del pasado. Y no solamente para esta compañía, sino que las grandes tecnológicas impulsan cada vez más el uso de las passkeys, una manera de acceder a tus sitios web y servicios de siempre sin necesidad de contraseñas. Para ello, dependes de un dispositivo con el que poder verificar tu inicio de sesión a través de un sistema biométrico, como puede ser un escáner facial o huella dactilar.

En este sentido, Microsoft ya ha anunciado planes para eliminar las contraseñas de mil millones de usuarios, declarando que “la era de las contraseñas está terminando”. Y es que según la compañía, los ciberataques relacionados con contraseñas están en aumento, con 7.000 ataques bloqueados por segundo, casi el doble respecto al año pasado, y un incremento del 146% en los ataques de phishing.

Microsoft quiere que más gente inicie sesión sin contraseñas

La compañía quiere impulsar el uso de las passkeys, un método de autenticación mucho más seguro, pues no depende de las contraseñas. Estas claves permiten iniciar sesión de forma rápida mediante reconocimiento facial, huellas dactilares o PIN, eliminando la necesidad de recordar contraseñas o usar códigos de un solo uso. Además, los datos respaldan su eficacia: el 99% de los usuarios que empiezan el proceso de registro de passkeys lo completan, y los inicios de sesión con passkeys son tres veces más exitosos que con contraseñas tradicionales.

Imagen: Microsoft

Desde su introducción hace dos años, las passkeys han ganado popularidad rápidamente. Según la FIDO Alliance, la conciencia sobre esta tecnología ha aumentado del 39% en 2022 al 57% en 2024. Microsoft, en su esfuerzo por convencer a los usuarios, reconoce que el desafío principal será persuadir al último 30-40% de personas para que adopten esta solución y abandonen las contraseñas por completo.

Microsoft enfatiza que para garantizar la seguridad, es esencial eliminar las contraseñas de los sistemas, ya que mantener ambas opciones abiertas sigue exponiendo a los usuarios al riesgo de phishing. En 2022, la compañía ya ofreció la posibilidad de eliminar contraseñas y afirma que millones de usuarios han optado por hacerlo.

En Genbeta

Llevo décadas usando ALT + Tab en Windows. Acabo de enterarme de que es incluso mejor de lo que pensaba

Según la compañía, Microsoft señala que las passkeys también son más rápidas y seguras que las contraseñas tradicionales y métodos de autenticación multifactor (2FA) basados en SMS, ya que éstos pueden ser interceptados. Esta tecnología vincula el acceso seguro a un dispositivo físico protegido por biometría y un PIN local, mejorando significativamente la seguridad general.

Aunque el uso de passkeys sea significativamente más seguro que el uso de una contraseña tradicional, no es un método infranqueable (ninguno lo es). La clave criptográfica se almacena en hardware seguro, como TPM en Windows, Secure Enclave en Apple y otros HSMs (Hardware Security Module) integrados en demás dispositivos y sistemas.

A pesar de que estos sistemas son muy seguros, existen técnicas que pueden comprometer este tipo de métodos, sobre todo en la fase de configuración de la passkey, momento en el que un atacante podría aprovecharse del sistema durante el registro inicial o de la sincronización de passkeys entre dispositivos para vulnerar la seguridad del usuario.

Passkeys será, en un futuro cercano, el método de inicio de sesión por defecto de muchos servicios, y eso está bien, pues es muchísimo más seguro que una contraseña que puede ser obtenida por miles de maneras. Por ello mismo, las tecnológicas irán obligando al usuario cada vez más a eliminar sus contraseñas, como lo está haciendo Microsoft.

Imagen de portada | Tadas Sar

En Genbeta | Qué fue de Blaster, el gusano que aterrorizó Internet... y nos dejó clara la importancia de usar Windows Update

De un tiempo a esta parte, cuando se acercan las fechas de final de año, la tradición manda saber si seguimos cometiendo el mismo error doce meses después. Se repite hasta la saciedad lo importante que es tener un buen sistema de contraseñas a nuestros accesos, de no repetir el mismo password en todos los espacios que funcionamos y, quizás lo más importante, que no sea la contraseña que escribiría un niño de ocho años. ¿Habremos cambiado algo en 2024?

Año nuevo, informe actualizado. Nos referimos, por supuesto, a la llegada del informe anual de NordPass donde recopilan las contraseñas más utilizadas en todo el mundo (en realidad 44 países, pero vale para todos). Para ello, la compañía ha analizado exhaustivamente una monstruosa base de datos de nada menos que 2,5 TB solo de contraseñas, en este caso robadas por malware o expuesta en filtraciones de datos, junto a una novedad: este año, además de las pass individuales, incluyen las corporativas más usadas.

En Genbeta

La Generación Z se enfrenta a dos grandes problemas: la crisis de vivienda y no querer trabajar a cualquier precio

Lo mismo de siempre. Si estabas leyendo esto esperando encontrar un cambio de paradigma en el homo sapiens, tenemos malas noticias. A pesar de la creciente conciencia sobre la importancia de tener contraseñas seguras, millones de personas continúan eligiendo combinaciones tremendamente fáciles de adivinar, por decirlo suavemente, dejando sus cuentas personales y corporativas vulnerables a cualquier tipo de ataques.

Lo cierto es que el informe de NordPass ofrece una preocupante visión de los hábitos digitales en todo el mundo, otro año más.

Las tendencias globales. El análisis, que como decíamos está basado en datos filtrados por malware y brechas de seguridad, muestra una alarmante falta de conciencia en el manejo de contraseñas. Como era de esperar en prácticamente todos los países, una opción es la más “popular".

¿Adivinan? Sí, "123456" sigue siendo la elección más común a nivel mundial, aunque algunos hacen el “esfuerzo” y se lanzan al vacío con propuestas como "123456789" o "password", ambas también entre las más utilizadas. A continuación, las 20 contraseñas más frecuentes a nivel global. Maravilla:

1. 123456
2. 123456789
3. 12345678
4. password
5. qwerty123
6. qwerty1
7. 111111
8. 12345
9. secret
10. 123123
11. 1234567890
12. 1234567
13. 000000
14. qwerty
15. abc123
16. password1
17. iloveyou
18. 11111111
19. dragon
20. sunshine

¿Y en España? Bueno, adaptando las contraseñas al idioma, no podemos decir que seamos mucho más creativos que los anglosajones. Si acaso destacar el uso de algunas alternativas ciertamente “interesantes” como “España”, “barcelona” o “alejandro” y “cristina”. La lista del top 20 hispano es la siguiente:

1. 123456
2. 123456789
3. 12345678
4. España
5. qwerty123
6. 12345
7. qwert1
8. 1234567890
9. password
10. 1234567
11. barcelona
12. 000000
13. 111111
14. ESPAÑA
15. qwerty
16. alejandro
17. 123123
18. españa
19. cristina
20. Qwert123

Variaciones regionales. La lista completa de los 44 países y sus contraseñas se puede visitar desde la web. Aunque muchas de las elecciones son universalmente débiles, ciertas particularidades regionales llaman la atención fuera de España. Por ejemplo, en Estados Unidos, "secret" encabeza la lista, mientras que en Canadá, "qwerty123" es la favorita. México, por lo que sea, posiciona a "iloveyou" entre sus opciones principales. 

Además, contraseñas tan específicas como "9-11-1961" en Canadá intrigan a los analistas, ya que su relevancia cultural o personal sigue siendo un misterio. Ahí hay una buena historia.

Las corporaciones. En cuanto al análisis de credenciales corporativas, revela si cabe algo más preocupante, ya que hablamos de vulnerabilidades en los sistemas organizacionales en conjunto. En Estados Unidos, contraseñas como “aaron431” aparecen sorprendentemente alto en la lista, probablemente debido a un incidente de seguridad significativo en alguna empresa. 

La prevalencia de contraseñas genéricas o fáciles de adivinar subraya la necesidad urgente de implementar protocolos de seguridad más estrictos, como el uso obligatorio de gestores de contraseñas o la autenticación multifactor.

En Xataka

La masificación en Japón está llevando a sus habitantes a una medida extrema: pagar para que nadie les dirija la palabra

¿Por qué? Es la gran pregunta a nivel global. Pasan los años, pero a la gente le da bastante igual incluir su contraseña ante cualquier amenaza cibernética. Como contaban nuestros compañeros, en el caso de España (y del mundo) es ciertamente inexplicable, ya que sería posible averiguar una contraseña débil en cuestión de segundos (la contraseña más utilizada, de hecho, se rompe en menos de un segundo de media).

¿Qué debemos hacer? Lo hemos contado muchas veces. Como mínimo, tratar de no utilizar la misma contraseña en varios sitios. El motivo es sencillo: en caso de que una plataforma sufra una filtración de datos, todas tus cuentas de usuario estarán comprometidas. Además, por supuesto, evitar passwords ridículamente simples, cambiarlos de vez en cuando y mientras más largos y combinados de diferentes caracteres, mejor que mejor. 

Imagen | Lewis Ogden

En Genbeta | Un hacker ha contado los errores que cometemos al elegir una contraseña. No querrás repetirlos

En Genbeta | Cambiar la contraseña cada cierto tiempo ya no es buena idea. Los expertos en seguridad tienen sus razones

Lo confieso: hace tiempo que lo de las contraseñas se me fue de las manos. Yo empecé con un plan: usar una contraseña. Pero como tener una clave para todo es una mala idea, fui añadiéndole ciertos caracteres en función de lo importante que era el servicio. O de que el servicio en cuestión admitiera u obligase a que tuviera cierta extensión o caracteres.

Como tener solo una base para tantas apps era poco, pensé en otra. Al final, mi cabeza atesora cuatro bases de contraseñas y diferentes combinaciones que pueden llegar a desesperarme si quiero acceder ya a una cuenta. El propio sistema me ofrecía la solución, solo había que leer con atención.

Pero olvidar la contraseña no es un drama: siempre puedes generar otra para entrar y listo. Si antes ya me costaba recordar qué contraseña correspondía a qué servicio, imagínate ahora.

'¿Has olvidado la contraseña?' Claro que sí, guapi

Muchas cuentas, muchas contraseñas y ningún problema. Cuando tienes que tener diferentes contraseñas y además cada tiene unos requisitos, o tienes un gestor de contraseñas o tienes un serio problema, ¿no? Pues no. Todos y cada uno de los servicios donde me registro tienen lógicamente un mecanismo para restablecer la contraseña. Y es tan fácil y rápido que sale mejor que recordarla.

Ahí, en una esquinita, aparece la opción de '¿Has olvidado la contraseña?' o similar. Le das y te pide el correo electrónico con el que te creaste la cuenta. Aquí aunque tengo varios, normalmente el proceso es más rápido. Y si te equivocas y metes uno donde no hay cuenta, el propio mecanismo te avisa. Normalmente al introducir el mail, recibes un correo electrónico con un enlace para el restablecimiento.

Toca volver a escribir una contraseña nueva y aunque hago el esfuerzo de poner una de las mías, la sensación es tan de déjà vú que a veces hasta se da la paradoja que generando una nueva clave me sale el aviso de que ya la he utilizado antes. Porque a veces es culpa mía por olvidar las contraseñas, pero también de los servicios cuando para la creación de la clave no añaden un sistema de verificación. O lo que es lo mismo, que te obliguen a escribirla dos veces. En cualquier caso ya está: vuelvo a estar dentro de mi cuenta y no he necesitado ni un minuto.

...pero no os voy a engañar: es altamente probable que tarde o temprano tenga que volver a entrar el servicio en un dispositivo nuevo (o tras borrar las cookies) y no recuerde la contraseña. Vuelta a empezar. Me sale mejor y más barato que un gestor de contraseñas de pago y paradójicamente estoy llevando a cabo una buena práctica de seguridad: cambiar las contraseñas periódicamente.

Con este modus operandi hay dos cosas a tener en cuenta: mucho ojo cuando llega el típico mensaje de alguien ha intentado restablecer tu cuenta porque quizás por la inercia le das al enlace y en realidad alguien está intentando hackear tu cuenta. Y la otra: siempre que sea posible, intento cambiar a métodos de dos pasos que envían códigos a mi teléfono, bastante más prácticos que recordar la enésima contraseña.

Portada | Foto de Volodymyr Kondriianenko en Unsplash

En Genbeta | Trucos para crear y recordar una buena contraseña

Ahora que las estafas por vía telefónica (por llamada de voz y/o por mensajería instantánea) están a la orden del día, las autoridades españolas intentan recurrir a la divulgación para ayudar a que los usuarios no caigan en la trampa.

En el caso de la Policía Nacional, han recurrido a TikTok para difundir un truco que puede marcar la diferencia entre que caigamos en la trampa de los estafadores (en casos como el del timo del "hijo en apuros") o mantener a salvo nuestro dinero y nuestros datos personales.

El fraude del "hijo en apuros"

La del hijo en apuros es una estafa cada vez más en auge, que suele llevarse a cabo a través de WhatsApp: comienza cuando un número desconocido se pone en contacto con la víctima, haciéndose pasar por un hijo o hija que ha tenido que cambiar de teléfono móvil debido a un percance técnico.

A partir de ahí, los estafadores piden ayuda económica con el pretexto de cubrir un gasto urgente, como la compra de un billete de avión, el pago de un ordenador portátil o cualquier otro artículo costoso.

En Genbeta

El 'hijo en apuros', el timo que ha estafado ya 1,4 millones de euros... sólo en la Comunidad de Madrid

Este tipo de fraude apela a la empatía y el instinto de protección de los padres, quienes no dudan en hacer lo que esté a su alcance para ayudar a sus seres queridos, cayendo así en la trampa de los delincuentes.

A pesar de que las formas y los detalles pueden variar, el objetivo final es siempre el mismo: aprovecharse de la buena fe de las víctimas para obtener dinero.

El truco de las claves secretas

"Te proponemos un truco que va a hacer casi imposible que te engañen haciéndose pasar por un ser querido".

En respuesta a este preocupante aumento de estafas, la Policía Nacional nos plantea una solución tan simple como efectiva: el uso de una 'clave secreta familiar', una contraseña previamente pactada entre los miembros de la familia y que sólo ellos conozcan.

Esta clave puede ser algo tan simple como el nombre de la bisabuela, el nombre de un peluche de la infancia o incluso una frase que tenga un significado especial para la familia. Lo importante es que permite verificar rápidamente si quien está al otro lado del mensaje es realmente un ser querido o, por el contrario, un estafador que pretende suplantarlo.

Con esta medida, incluso en situaciones donde los estafadores intenten clonar la voz de un familiar mediante técnicas de inteligencia artificial o que sean capaces de enviar mensajes convincentes gracias a una investigación previa, bastará con pedir esta clave para confirmar si la persona es realmente quien dice ser.

Imagen | Jan Vašek from Pixabay + Marcos Merino mediante IA

En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas

Los Números de Identificación Personal o códigos PIN están presentes en nuestra vida en diferentes formas, pero en todos los casos tienen una importancia elevada: para acceder aplicaciones de la Administración, para desbloquear el teléfono (aunque hay otros sistemas más seguros y recomendables) y por supuesto, el PIN de nuestras tarjetas de crédito y débito: cuatro cifras que deberían dar margen suficiente para ofrecer cierta protección en teoría, aunque en la práctica dejen mucho que desear.

Y no es tanto por las 10.000 posibilidades teóricas de elegir un PIN sean pocas (muchas menos que las que permitiría un sistema donde introducir caracteres alfanuméricos de diferente longitud) , sino porque las personas somos comodonas y poco creativas. Así, tendemos a elegir PIN fáciles de recordar y que nos sean familiares. Consecuencia: 1 de cada 4 pines de tarjeta bancaria puede sacarse probando 20 números, según un estudio. Si estás pensando en cambiar el PIN de tu tarjeta, evita estos números.

Cuáles son los PIN de tarjeta más fáciles de adivinar

Lo que ves bajo estas líneas es un gráfico que recoge los pines de cuatro cifras más comunes de un análisis de una muestra de 3,4 millones de diferentes brechas de seguridad. Lo más interesante es que el top 20 constituye el 27% del total, una auténtica barbaridad.

Para ayudarte a entender mejor el gráfico, cuanto más oscuro es el cuadrado, menos común es el PIN y cuanto más claro, más común. De hecho, verás que el cuadrado del gráfico está cortado por una diagonal: es la de los PIN compuestos por cuatro cifras iguales, los míticos 1111, 2222, 3333, etc. Si es tu idea inicial, descártala inmediatamente.

Otro dato interesante de este experimento llevado a cabo por un científico de datos de Facebook: casi el 11% de las contraseñas son el mítico '1234'. Huelga decirlo: este PIN por defecto está en todas las quinielas, así como el inverso '4321'.

Toca para ir a la publicación | Twitter/X

Pero hay otras tendencias interesantes que merece la pena mencionar para descartar a la hora de elegir un buen PIN: evitar usar la fecha nacimiento en cualquiera de sus formatos. Si prestas atención, verás una línea clara que corresponde al 19XX precisamente de ahí (casi un 20%) y otra que nace en el 20XX: la gente de la gen Z también cae en lo mismo. Asimismo, hay otra sección más clara que también el nacimiento, pero combinando mes y día, de ahí que esté localizada dentro de esa zona de 1 a 12 y de 1 a 31 para el formato DD/MM europeo o MM/DD anglosajón.

Finalmente también están las combinaciones numéricas con significado cultural, como por ejemplo el 0007 del agente James Bond o ese 1984 de la obra de George Orwell.

Aunque el gráfico da una buena idea global, aquí tienes una lista con los 10 pines más comunes y su frecuencia en ese estudio:

Portada | Foto de CardMapr.nl en Unsplash

En Genbeta | Los métodos más usados y efectivos para descifrar contraseñas (y cómo puedes protegerte)

Nuestra sesión del sistema operativo tiene contraseña. Nuestro e-mail tiene contraseña. Nuestras redes sociales. Nuestro sitio. Nuestro gestor de tareas. Nuestro Steam. Nuestro... bueno, se capta la idea.

El asunto es que, a la hora de crear contraseñas para todos esos cientos de aplicaciones y servicios online que usamos en nuestro día a día, nos enfrentaremos siempre a dos problemas contrapuestos:

• O bien la hacemos fácil de recordar... y, por lo tanto, potencialmente insegura (¡por Tutatis, que '123456', 'qwerty' o 'contraseña' no sirven como contraseñas!).

• O bien procuramos hacerla muy segura... de tal modo que nunca jamás vuelves a recordar qué contraseña pusiste. Y no, apuntarla en una libreta al lado del PC no es una solución aceptable.

Sobre los gestores de contraseñas

Casi puedo sentir ahora mismo a varios lectores pensando (y deseando decir) "Eh, una libreta no, pero el gestor de contraseñas es lo que necesitas para superar esa disyuntiva: hazla tan compleja como quieras (incluso enteramente aleatoria) y tu gestor la guardará por ti".

En Genbeta

Uso un gestor de contraseñas y aunque llegué por la seguridad, me quedé por las funciones extra: así me ayuda en mi día a día

Sí, en teoría sí. Pero en primer lugar, sencillamente algunos no nos hemos acostumbrado nunca a usar gestores de contraseñas. Además, puedes no tenerlo a mano justo cuando más lo necesites (y sí, sé que puede sincronizar entre dispositivos).

Y por último, aceptemos que no son la panacea de la seguridad. Sólo este año han logrado hackear LastPass, uno de los gestores de contraseñas más conocidos, al menos un par de veces.

Mi sistema mnemotécnico infalible: 'SPLppNS'

De modo que sólo nos queda una opción para lograr que la contraseña sea segura y al mismo tiempo recordable: ¡reglas nemotécnicas! Podría ser que los siguientes consejos se inspiren (más o menos) en mis propios trucos infalibles para crear esa clase de contraseñas. O no, quién sabe.

Me gustaría poder deciros que mi sistema tiene algún nombre chulo (fácil de recordar, vamos), pero lo cierto es que 'SPLppNS' es más 'seguro' que recordable. En cualquier caso, el nombre proviene de la siguiente fórmula

[Símbolo] + [personajes] + [listado de pares de palabras] + [números] + [siglas]

• 'Símbolo': De un tiempo a esta parte, usar símbolos (!,.,$,&...) es un requisito a la hora de crear contraseñas en cualquier plataforma que se precie. Así que empecemos por ahí. Por supuesto, siempre sería mejor usar símbolos que no aparecen en el teclado, de esos que hay que pulsar simultáneamente 'Alt' y una secuencia de teclas del bloque númerico, como '~'.

• Personajes: En segundo lugar, elegimos un listado pequeño (por ejemplo, cinco) de personajes interconectados entre sí. Pueden ser 'sanchez', 'feijoo', 'abascal' o 'miercoles', 'morticia', 'gomez' (no, no tienen por qué ser lúgubres, como los ejemplos aquí expuestos). Esos nombres los alteraremos lo más posible ('s4nch3Z') y, cuando haya que crear una contraseña, optaremos por elegir el nombre que más fácilmente vinculemos con el servicio en cuestión (la mente humana conecta conceptos de maneras misteriosas... y, en este caso, eso nos viene muy bien).

Los universos de ficción pueden ser una buena fuente de ideas para personajes.

• Listado de palabras por pares: Si antes optamos por alterar tipográficamente una palabra recordable por preexistente, aquí vamos a dejarla tal cual, pero vamos a optar por un par de palabras inexistentes, como 'todal crubur' o 'prema tofyx'. No abuses intentando pensar muchos pares (yo sólo uso tres por ahora)... no te vas a acordar de ellos, ni falta que hace: sólo tenemos que despistar a los ataques de diccionario y lograr que, si nuestra contraseña se filtra en algún momento, podamos cambiarla sin alterar esta metodología.

• Número: Aquí se trata de recordar la contraseña según el valor que le otorguemos a la cuenta en cuestión. No es lo mismo nuestra cuenta principal de Google que una cuenta creada para probar puntualmente una herramienta web, por ejemplo. Pues bien, utilicemos esa importancia para ayudarnos a recordar esta parte de la contraseña: podemos hacerlo indicando cifras del '0' al '9', del '10' al '01', o del '1.01' al '1.99'. Lo importante es no cambiar el criterio.

• Sigla: Bueno, esa es fácil. Una cuenta de Google puede terminar en 'g' y una de Evernote en 'en', por ejemplo.

En Genbeta

¿Cuánto tiempo lleva siendo 123456 la peor contraseña posible y por qué nunca lograremos eliminarla?

Resultado final

Así, mi nueva cuenta de Google tendrá este aspecto final: '~m4z1nG3rtodal crubur6g'.

O este otros: '%4fr0d1T4prema tofyx03g'.

Oye, pues ni tan mal.

Obviamente, esto sólo pretende aportar una referencia de metodología. Por supuesto, hay gente que preferirá usar 'frases famosas' o 'nombres de canciones', en lugar de personajes, por ejemplo. No hay una 'opción correcta' en estos casos.

Hay varias razones por las que quieras acceder a tu contraseña del WiFi desde Windows. La que más me encaja es por comodidad, en caso de que no la tengas almacenada en ningún otro sitio y no quieras levantarte para ir al router y apuntarla o echarle una foto. Además, también es útil en caso de que queramos compartirla, aunque hoy día con un solo código QR es posible hacerlo de forma mucho más sencilla.

En cualquier caso, en este artículo te vamos a enseñar a cómo extraer la contraseña de tu WiFi desde Windows 11. No solamente la contraseña del WiFi al que estás conectado actualmente, sino la de todas a las que te has conectado desde el mismo ordenador. Y todo sin descargar programas de terceros.

Cómo ver la clave de tu WiFi desde Windows 11

La forma más sencilla de acceder a la clave WiFi desde Windows 11 es a través del buscador de la barra de tareas. Aquí escribimos 'Ver conexiones de red', hacemos clic derecho en la red WiFi a la que estemos conectados y presionamos sobre la opción de 'Estado'.

Una vez abierta la ventana, seleccionamos la opción de 'Propiedades inalámbricas', y se nos abrirá otra ventana, donde tendremos que ir a la pestaña de 'Seguridad'. Es en esta sección donde podemos ver la contraseña de la red WiFi a la que estamos conectados actualmente. Para ello, tan solo hay que presionar sobre 'Mostrar caracteres', y la clave de seguridad será totalmente visible.

Cómo ver las claves de todas las redes WiFi guardadas en Windows 11

En caso de que quieras ver y guardar cualquier clave de una red a la que te hayas conectado previamente con el mismo ordenador, también lo puedes hacer fácilmente desde Windows 11. El procedimiento es sencillo, aunque requiere entrar al terminal y escribir una serie de comandos.

Para conseguir esto, lo único que tienes que hacer es entrar al CMD, PowerShell, o terminal de preferencia, y escribir la siguiente línea:

netsh wlan show profile

En Genbeta

Cómo crear un punto de acceso WiFi en Windows 10 y 11 con tan solo un clic

Cuando lo hayas hecho, te aparecerá una lista con todas las redes a las que te hayas conectado desde tu ordenador. Una vez sepas el nombre de la red de la que quieres conocer su clave, apúntala y escríbela en la siguiente línea:

netsh wlan show profile name=nombredered key=clear

Lo único que tienes que hacer es sustituir 'nombredered' por el SSID de la red que has apuntado. Al pulsar 'Enter', la contraseña te debe de aparecer en la línea de 'Contenido de la clave', tal y como te mostramos en la imagen.