Guía en 6 pasos para organizar bien las contraseñas sin ceder datos biométricos. (2024)
[Català – Castellano] Traducción humana cortesía de Ander Romero. ¡Gracias!
Vivimos un boom de noticias escalofriantes sobre datos biométricos. [Edit: Me siento obligado a recopilar a posteriori unas cuantas más, según van saliendo.] Menores venden su iris por cryptos en un esquema ponzi, Un gimnasio escanea ojos sin permiso, La empresa que sabrá si estás deprimido antes que tú, Alarma por máquinas de vending con reconocimiento facial...
Tras la buena recepción del artículo sobre navegar de forma segura con Firefox en personas de mi entorno poco amigas de la tecnología, voy a recomendar como organizar bien, pero bien-bien, nuestras contraseñas.
Hay mucha gente que a día de hoy todavía utiliza contraseñas inseguras, ya sea porque son débiles o por ser la misma en todas partes, aunque sea compleja. Estas personas saben que lo están haciendo mal y se sienten culpables por ello, pero el estrés del día a día no les permite parar y organizarse como toca. Se dicen a sí mismas “soy un desastre”... y ese es el estado de ánimo que aprovechan las Big Tech para pedir nuestros datos biométricos (reconocimiento facial, iris ocular, huella dactilar) prometiéndonos un futuro en el que no necesitaremos contraseñas. Además, captan estos datos utilizando patrones oscuros de diseño, como es esconder la opción de “no aceptar y no volver a preguntar”. Atizando nuestro miedo y mercadeando con nuestra privacidad a cambio de orden y protección. No hace falta que explique qué riesgos comporta todo esto para las libertades individuales y colectivas.
Pop-up de Google al entrar en Gmail, dice “Simplifica el inicio de sesión”, con un botón de “Continuar” mucho más visible que el de “Ahora no”. No existe la opción “No volver a preguntar”.
Como uso yo algunos datos biométricos
Admito que utilizo la huella dactilar (no el reconocimiento facial) en algunos de mis dispositivos. Este dato se almacena cifrado y en local, según la fuente oficial de Apple y Samsung/Android. Sirve para desbloquear el aparato, pero por precaución no lo activo para acceder a cuentas online. ¿Por qué uso la huella? Considero el riesgo de que alguien acceda a mi dispositivo conociendo el PIN o el patrón, sea por pérdida, robo o requisa policial. Como mi huella está almacenada en dispositivos Apple y Android/Samsung, evito los servicios en la nube de estas empresas (iCloud, Samsung Cloud y Google Drive), especialmente el guardado de contraseñas online (Safari, Samsung Pass, Chrome).
Para no enredarnos en detalles, no voy a explicar en profundidad las razones por las que recomiendo unas cosas y no otras. Los llamados “passkeys” o claves de acceso son una buena herramienta y suponen una mejora al clásico “usuario y contraseña”, pero no es necesario que las uses con datos biométricos. Un gestor de contraseñas (Bitwarden) y un 2FA (FreeOTP) debería ser más que suficiente. Quien busque lecturas más detalladas puede empezar por Fido Alliance, EFF – Biometrics y EFF – Passkeys. Cada persona es libre de contrastar y personalizar su método: En eso consiste la Soberanía Tecnológica.
Proyecto GTD para poner orden en tus contraseñas
Suponemos que no has nacido ayer, por lo que ya tienes bastantes cuentas y contraseñas, e incluso es probable que no recuerdes algunas y otras hayan sido hackeadas sin que lo sepas. Esta guía te permitirá ir reordenando el caos por orden de prioridades. Los pasos están pensados como un proyecto GTD (Capturar > Planificar > Ejecutar) para poder realizar cada paso de una sentada, sin prisa pero sin pausa.
Paso 1. La lista
Papel y boli para hacer una lista en cuatro columnas. No apuntes contraseñas, solo el nombre de la web o app.
- La primera columna, sitios muy importantes, incluyendo los correos electrónicos que usas para entrar en otros sitios.
- La segunda, sitios que tienen datos personales (DNI, dirección postal, teléfono), datos bancarios o datos biométricos.
- La tercera, sitios con contraseñas que vas a compartir con otras personas. (Ej: plataforma de streaming o un correo colectivo).
- La cuarta, todo aquello que “te da igual”. Esta lista podría ser interminable, pero sienta bien hacerla porque ocupa espacio en tu mente y más adelante puedes valorar qué hacer con cada una de las cuentas.
Tendrás algo así (empresas ficticias):
Primer nivel de seguridad – GPOST (Correo personal) – ACME S.A. (Correo de la empresa) – UEPBOX (Mi nube) – FAKTUR (Mi programa de facturación) – ENERGO (El panel de clientes de la compañía eléctrica) – MOVILEA (El panel de clientes de la compañía telefónica)
Segundo nivel de seguridad – PICTAM (La red social de fotos y stories) – BIRDER (La red social de microblogging) – LAMAÑANAONLINE (El medio de comunicación) – BLUEBANANAS.ORG (El WordPress de mi web) – HOSTEA (El hosting de mi web) – COLDMAIL (Un correo antiguo, que aún tiene información importante) – BARRABAS (La tienda online de deportes) – VOLEO (La cuenta de cliente de la aerolínea)
Tercer nivel de seguridad – FILMNET (La plataforma de streaming que comparto) – Otro GPOST (Un correo compartido de la asociación) – Otro PICTAM (Para promocionar nuestro grupo de música)
Cuarto nivel de seguridad – Aquella newsletter que no deja de molestar... Algun día lo revisaré. – Aquella tontería que me pidió crear cuenta. ¿Por qué no cerrarla?
Paso 2. La variable
Para los dos primeros niveles de seguridad, vamos a inventarnos una regla de cifrado que descodifique todas ellas. Esto generará una variable que permitirá que todas sean diferentes (y a la vez fáciles de recordar, porque el resto de la cadena será igual).
Por ejemplo, tu regla de cifrado podría ser las tres primeras letras del sitio, la segunda en mayúscula, seguidas de un signo de exclamación. No escribas ni compartas esta regla con nadie. Será tu secreto.
La lista de arriba quedaría algo así:
Primer nivel de seguridad: – gPo! – aCm! – uEp! – fAk! – eNe! – mOv!
Segundo nivel de seguridad: – pIc! – bIr! – lAm! – bLu! – hOs! – cOl! – bAr! – vOl!
Ahora añade la variable a tu contraseña habitual (constante), con un + o un & de conector, y así generarás una contraseña segura por arte de magia. Si no tienes una buena constante, te enseño a crear una a continuación.
Paso 3. La constante
Piensa en tres palabras divertidas. Algo que, sin ser personal de un modo obvio para otras personas, signifique algo gracioso para ti. No necesitarás escribirla cada vez que entres en los sitios porque vamos a utilizar un gestor de contraseñas, pero necesitarás poder recordarla sin recurrir al gestor en casos excepcionales. No deberían ser palabras comunes en internet. Si hablas varios idiomas y alguno es minoritario, aprovéchalo. Si te gustan las esdrújulas y los trabalenguas, aprovéchalo. Juega con mayúsculas, minúsculas y números, aunque sea con el viejo truco de sustituir A-E-I-O-U por 4-3-1-0-8. Hay quien dice que este método está desfasado, pero no lo combina con el resto de capas de seguridad que proponemos en esta guía.
Por ejemplo: “JulioCesarEmperador” o “J8l10C3s4r3mp3r4ad0r” sin ser una malísima opción, es mejorable.
“SalsifiHundoAritmetiques”, es decir, “S4ls1f1H8nd0Ar1tm3t1q83s” es muchísimo mejor. Nadie que conozca esta asteácea sabe decir perro en Esperanto y tiene un buen recuerdo de aquel profe catalán de matemáticas... ¡Excepto tú!
Puedes probar la seguridad de tu constante aquí y recuerda que siempre añadirás la variable, como medida adicional, más otras capas que veremos a continuación.
La ventaja de este método sobre otros, es que puedes recordar contraseñas en situaciones de emergencia. Si generas una contraseña aleatoria y la almacenas en tu teléfono, puedes tener problemas al quedarte sin batería. Imaginar todas las situaciones posibles es fundamental para diseñar el laberinto de almacenamiento de tus datos.
Imagina varias situaciones hipotéticas:
Necesito cambiar un billete de avión, pero estoy de viaje y no tengo mi ordenador: Voy a un ordenador público y pienso: Salsifí Hundo Aritmétiques & vOl!, es decir: S4ls1f1H8nd0Ar1tm3t1q83s&vOl!
Quiero compartir mi cuenta de streaming de FILMNET con mis amigos... No usaré S4ls1f1H8nd0Ar1tm3t1q83s&fIl!, porque pondría en riesgo, aunque sea con amigos y familiares, la constante y el método de obtener variables. Por eso FILMNET está en el tercer nivel.
Paso 4. El “nivel cero”
Si te quieres sentir como Neo, debes saber que hay otra capa, una más profunda… El “nivel cero” por así decirlo.
Crea un correo gratuito en Tuta o Proton con un nombre de usuario diferente del habitual. El nivel cero es aquel desde el que podrías cambiar las contraseñas de todas las cuentas de todos los niveles, incluidas cuentas de correo personal y profesional del nivel uno. Piensa que entrando en el nivel uno, cualquiera podría usar un simple “recuperar contraseña” y entrar en todas partes.
(Y sí, si te preguntas si hay un nivel por debajo del cero… claro que hay. Consistiría, por lo pronto, en que esa cuenta cero no se pueda rastrear, creandola desde Tor. Pero yo no voy a bucear tan profundo, Calbasi da más detalles).
Tu cuenta en Tuta o Proton servirá como “cuenta de recuperación” para las cuentas importantes y también para abrir una cuenta en Bitwarden, el gestor de contraseñas con el que ya no necesitarás escribir ninguna contraseña en tu día a día (salvo la que desbloquea Bitwarden). Una vez instalado, puedes importar todas las contraseñas que guardabas en el navegador con un par de clicks. Recuerda borrarlas del navegador y de cualquier otra parte (documentos online, papelitos...) cuando ya las tengas en Bitwarden.
Al final de este paso, tendrás algo como:
Un mail “limpio” en Tuta o Proton con un nombre de usuario distinto al habitual (sisoyyo) sisoyyo@proton.me y su contraseña (Salsifí Hundo Aritmétiques & Pro!) S4ls1f1H8nd0Ar1tm3t1q83s&pRo! No uses esta dirección de correo para comunicarte, sino como llave maestra.
Una cuenta en Bitwarden con el usuario “sisoyyo@proton.me” y su contraseña: S4ls1f1H8nd0Ar1tm3t1q83s&bIt!
Paso 5. 2FA con FreeOTP
En la actualidad (2024) solo hay un método comparable en seguridad criptográfica al uso de datos biométricos, pero más seguro en términos socio-políticos: 2FA o Factor de Doble Autenticación Es un PIN temporal (OTP significa One-Time-Password) en otro dispositivo. Atención, el mismo sistema por SMS ya no es seguro y no debería utilizarse.
Las dos apps de 2FA más utilizadas son Google Authenticator y Authy, pero son propietarias, es decir, comerciales y de código cerrado. FreeOTP es la mejor alternativa FOSS y funciona exactamente igual. Además de ser libre y de código abierto (pública y auditable), está promocionada por un grande, Red Hat, por lo que su continuidad y mantenimiento está más garantizado que otras iniciativas más pequeñas.
Al configurar 2FA, es importante cerrar el círculo sin bloquearse a una misma por “exceso de celo”. No bloquees el “nivel cero” a menos que imprimas en papel los códigos de recuperación, ya que una simple rotura de pantalla del móvil podría ser fatídica. Además, FreeOTP te permite exportar un backup con todos los códigos. La rotura de pantalla o la pérdida de móvil son más frecuentes de lo que puedes imaginar. Puedes enviartela a la cuenta cero, o guardarla en local en varios dispositivos.
Código de recuperación de Tuta en papel
Todas tus contraseñas del nivel uno deben tener obligatoriamente 2FA activado. Para las del segundo nivel, es recomendable. Las del tercer y cuarto nivel no lo necesitan.
Paso 6. El tercer y cuarto nivel
Recordemos que en la tercera lista que hiciste al principio tienes aquellas cuentas que compartes con otras personas. Aunque hay servicios 2FA para estos casos, aún son un poco experimentales. Yo te recomiendo que uses Bitwarden para crear una contraseña aleatoria y se la pases a las otras personas. Cambia esta contraseña una vez al año o si lees en la prensa que esa empresa ha sufrido un ataque. Además, Bitwarden te permite comprobar si la contraseña ha aparecido en listas robadas o no.
Para el cuarto nivel, la recomendación de la contraseña aleatoria es la misma. Simplemente utiliza Bitwarden, no trates ni de recordarla, y ya la recuperarás con “he olvidado mi contraseña” si hace falta. Además, puedes acostumbrarte a no registrarte con tu correo habitual, sino con uno secundario o una máscara. Hay varios servicios gratuitos para esto, como Firefox Relay o DuckDuckGo Email. De este modo, puedes tener una dirección “falsa” como anaperez@duck.com que redirija a anaperez@gpost.com. Pero no uses la cuenta “limpia” que hiciste en sisoyyo@proton.me, resérvala para las grandes ocasiones.
Listo. Si has seguido los pasos hasta aquí sin perder los estribos... ¡Felicidades! Cuéntame como ha ido la experiencia en el Telegram de Permacultura Digital o con el hashtag #PermaculturaDigital en el Fediverso.
En los próximos días es probable que modifique algún detalle, corrija faltas de ortografía y cosas así, pero no creo que cambie en lo fundamental. Espero que esta guía siga vigente para todo 2024. La revisaré y republicaré en 2025.
Esta entrada se ha escrito basada en mi experiencia personal y reutilizando consejos de Corio, Calbasi, EFF, Som Connexió… Si me dejo a alguien, que me disculpe, iré ampliando la lista.