Cinco claves para evitar la fatiga de la contraseña

¿Recuerdas todas las contraseñas de correo electrónico, acceso a ordenadores, aplicaciones bancarias, intranets de empresas de las que eres cliente o redes sociales? Para la mayoría de la gente, esta tarea es cada vez más difícil. Incluso, algunas personas sufren un fenómeno conocido como fatiga de la contraseña, ya que la necesidad de recordar y gestionar las contraseñas les genera estrés.

«El estrés se debe a que nos vemos forzados a recordar la contraseña cuando queremos llevar a cabo una acción concreta y sabemos que, si no lo conseguimos, las consecuencias serán negativas. Si olvidamos la contraseña, tenemos que pedir otra, con el consiguiente gasto de tiempo y de esfuerzo, y, sobre todo, corremos el riesgo de perder información o no tener acceso a ella cuando la necesitamos», explica Modesta Pousada, profesora de los Estudios de Psicología y Ciencias de la Educación de la UOC.

Sin embargo, las nuevas tendencias en seguridad informática reducen la presión que tenemos para recordar contraseñas, una tarea que también podemos facilitar con las estrategias que apuntan los expertos de la UOC:

1. El auge de las contraseñas permanentes

Uno de los hechos que pueden desencadenar el estrés de la fatiga de la contraseña es que el sistema nos exija periódicamente cambiar la contraseña porque la que tenemos ha caducado.

«Si después de un tiempo hemos conseguido recordar las dos, tres o cuatro contraseñas que utilizamos con más frecuencia, es normal que nos genere malestar recibir un aviso para cambiarlas», explica Pousada, que es directora del grado de Psicología de la UOC. La profesora afirma que «existe un fenómeno llamado interferencia que explica algunos de los errores más habituales al recordar información. Consiste en que, si debemos eliminar de nuestra memoria una información que tenemos ya consolidada y debemos sustituirla por otra, es frecuente que cuando la queremos recordar aparezca la primera en lugar de la segunda. Y esto es lo que nos pasa cuando nos piden un cambio de contraseña».

Los expertos en seguridad informática son conscientes de que esta obligación de cambiar contraseñas periódicamente fomenta prácticas poco fiables. «Pedir que se renueve la contraseña cada medio año acaba siendo perjudicial: se termina optando por tener una contraseña muy fácil o bien por ir intercambiando unas cuantas», explica Helena Rifà, profesora de los Estudios de Informática, Multimedia y Telecomunicación. «Esta obligación de renovarlas constantemente hace que cada vez se utilicen contraseñas más similares y sencillas y se va pervirtiendo el sistema, por lo que cada vez es menos seguro», añade.

Según Rifà, directora del máster de Seguridad de las Tecnologías de la Información y de las Comunicaciones de la UOC, «las prácticas más modernas evitan hacer cambiar las contraseñas y limitan este recurso para cuando se intuye que ha podido haber un problema de seguridad. Así, excepto en entornos muy sensibles, solo se pide el cambio si se sospecha que ha habido un ataque informático».

Para comprobar si la contraseña ha sido comprometida en un ataque informático puede accederse al web Have I been pwnd?, tal como recomienda el profesor colaborador de los Estudios de Informática, Multimedia y Telecomunicación de la UOC Diego Miranda-Saavedra.

2. La creciente aportación de la biometría

Cambios de políticas como el de Microsoft, que propone un acceso a la nueva versión de Windows 10 sin contraseña o promueve el acceso con reconocimiento facial, demuestran que el avance de la biometría hace que esta vaya sustituyendo en algunos entornos la función que desempeñaban las contraseñas. 

«La mejor forma de control es usar varios factores de autenticación», apunta Helena Rifà. «Si a la contraseña le sumamos un control biométrico, el sistema será más seguro», considera.

De todos modos, según la profesora Rifà, la biometría aún tiene problemas por superar, ya que por un lado pueden existir reconocimientos dudosos porque no es un sistema inequívoco como el uso de una contraseña, y, por el otro, plantea problemas vinculados con la privacidad y la imposibilidad de sustituir la prueba de identificación si hay un problema de seguridad, pues no podemos modificar nuestros rasgos físicos.

«La identificación mediante la biometría actualmente no es suficiente para responder a todas las necesidades de seguridad informática, pero es un buen complemento del uso de contraseñas», opina Rifà, que es investigadora del grupo de investigación KISON de la UOC.

Coincide con ella Diego Miranda-Saavedra: «La imagen de nuestro iris o de la huella dactilar son vulnerables y un hacker podría obtenerlas. De momento, la biometría no es lo suficientemente fiable».

3. El uso de gestores de contraseñas

Mientras aún sea necesario recordar códigos de acceso, una opción para evitar memorizarlos todos son los gestores de contraseñas. Estos sistemas guardan la información de nuestros códigos personales cifrada, y los hay que la guardan localmente en nuestro dispositivo mientras otros lo hacen en un servidor, en la nube. 

«Con este sistema solo tienes que recordar la contraseña maestra y el gestor se ocupa de administrar una contraseña distinta para cada cuenta de correo. Así se evita que el usuario utilice la misma contraseña en todas partes, lo que sería muy peligroso», según Diego Miranda-Saavedra.

El profesor colaborador de la UOC recomienda «no tenerlas en un servicio en la nube, puesto que se estarían exponiendo conjuntamente. Utilizaría un gestor instalado localmente y que no comparta las contraseñas fuera del teléfono o el ordenador», tal y como explica en este artículo.

«Los gestores de contraseñas son una buena alternativa para no tener que recordar los códigos, pero debe estarse informado sobre los posibles riesgos», considera Helena Rifà. La profesora recomienda que antes de instalarlos se compruebe que se trata de un sistema fiable: «es prudente que sean sistemas ya ampliamente probados, que tengan buenas referencias y evaluaciones. En este sentido, los de código abierto es más fácil que hayan sido ampliamente testados», afirma.

También es relevante saber cómo funciona el sistema de acceso: «Si la información se cifra mediante una contraseña que solo tú conoces, estás obligado a recordarla. Por otra parte, existen sistemas a los que puede accederse por ejemplo respondiendo a una serie de preguntas personales, pero en estos casos la información está en manos de una empresa, que es quien genera el cifrado de los datos», afirma Rifà.

4. La creación de contraseñas con sentido

Al decidir la contraseña, hay pautas que nos pueden facilitar la tarea de recordarla. Según explica la profesora Pousada, «a menudo nuestras contraseñas son combinaciones de símbolos sin significado que no tienen ninguna relación con el contexto y, por lo tanto, no nos ofrecen ninguna pista para recordarlas».

Como, además, es habitual tener muchas contraseñas y algunas se usan de vez en cuando, «es muy difícil recordar algo que no tiene significado, de lo que no tenemos pistas para recuperarlo y que además hace mucho que no utilizamos», añade Pousada, que es investigadora del grupo de investigación Psicologia, Salud y Red (PSINET) de la UOC. 

Miranda-Saavedra propone encadenar palabras que no estén relacionadas de forma lógica y que sean fáciles de recordar. Por ejemplo, explica que, si se ponen las ciudades españolas por orden de población, separadas y con asteriscos al inicio y al final (**Madrid_1_Barcelona_2_Valencia_3_Sevilla_4**), se genera una contraseña muy segura, ya que según el web How Secure Is My Password tardaría en ser adivinada al azar miles de millones de años.

Para evitar olvidar los códigos, Pousada recomienda «construir pistas para el recuerdo, es decir, asociar la contraseña a algo con sentido y fácil de recordar, como sería el nombre de la calle donde viven tus padres combinado con el número de hermanos que tienes o el lugar donde pasaste las últimas vacaciones y los días que estuviste allí, por ejemplo».

Además, propone añadir algún elemento que asocie la contraseña al ámbito al que pertenece —ya sea un cajero electrónico, un carné de la biblioteca o una red social— para poder disponer de una pista que ayude a recuperarla. Puede referirse a su función, la ubicación donde se encuentra o incluso a un color, según la profesora Pousada.

5. Inventar historias que conducen a la contraseña

Las pistas que nos hacen recordar una contraseña pueden consistir en «pequeñas historias —sean visuales, recreadas mentalmente o asociadas a sensaciones como los olores, los colores y los sonidos— en las que se inserten informaciones», explica Pousada. «A menudo pensamos que cuanto más simple sea un elemento, más fácil será recordarlo, pero en realidad la memoria funciona a la inversa. Es decir, cuantos más elementos tengamos asociados a la información que queremos recordar, más fácil será que alguno actúe como el hilo de Ariadna, y tirando de él lleguemos a la salida», concluye la profesora Pousada.