Cuanto más protegido esté tu sistema de seguridad personal o empresarial, más seguras estarán tus contraseñas. Ningún servicio online es completamente seguro; nunca se sabe qué tácticas maliciosas pueden usar los hackers para acceder a tus cuentas. Los peppers de las contraseñas son una medida de seguridad adicional que protege contra los ataques de fuerza bruta, los ataques de diccionarioy las tablas arcoíris. Sigue leyendo para descubrir qué son los peppers de las contraseñas, cómo funcionan y cómo pueden mejorar tu ciberseguridad.
Índice:
¿Qué son los peppers de las contraseñas?
Los peppers de las contraseñas están estrechamente relacionados con el proceso de hashing de las contraseñas . Los sitios web no guardan las contraseñas de los usuarios como texto sin formato, ya que cualquier persona con acceso podría verlas. Normalmente, se les aplica la técnica del hashing: unos algoritmos de cifrado las convierten en complicadas cadenas de caracteres. De este modo, aunque los hackers logren acceder a la base de datos de un sitio web, deberán descifrar los hashes para hacerse con las credenciales de los usuarios.
Los peppers son valores secretos (cadenas aleatorias de caracteres) que se añaden a las contraseñas antes de cifrarlas con un hash. A diferencia del salt, otra técnica criptográfica para añadir una medida de seguridad adicional a las contraseñas, el pepper no cambia. Es como el ingrediente secreto de un chef que se mantiene igual en todos los platos: las cuentas online de los usuarios o, si forma parte del código fuente, las bases de datos de usuarios.
¿Cómo funciona el peppering de contraseñas?
El pepper de las contraseñas cambia el valor que se va a cifrar con un hash, por lo que este último se modifica y es más seguro. Los peppers pueden estar integrados en el código fuente del sitio web, pero también pueden añadirlos manualmente los usuarios particulares o profesionales.
En el primer caso, el propietario de la plataforma online elige el pepper y se hace responsable de la solidez y seguridad del código. Se utilizará el mismo pepper en toda la base de datos del sitio, en lugar de uno individual para cada usuario. Si se produce una filtración de los datos, el pepper integrado en el código podría dar más problemas que beneficios. Si los ciberdelincuentes logran acceder al código fuente, podrían descubrir el pepper rápidamente y las contraseñas cifradas estarían en peligro. Además, con este sistema, cambiar un pepper filtrado exige modificar el código fuente y reestructurar la aplicación, un proceso bastante complicado.
Por estas razones, vamos a centrarnos en el segundo caso: el peppering manual de las contraseñas. Este proceso requiere crear un código seguro y aleatorio (puedes usar nuestro generador de contraseñas para hacerlo) y custodiarlo separado de tus credenciales de inicio de sesión. Aunque utilices un buen gestor de contraseñas como NordPass, si añades un pepper a tus credenciales, deberás memorizar el código secreto o guardarlo en otro lugar seguro.
Utilizar el peppering de contraseñas para mejorar tu seguridad online
El peppering puede proteger tus cuentas si tus contraseñas se ven comprometidas. Los ciberdelitos están al alza (son la actividad delictiva más lucrativa en la actualidad), por lo que toda precaución es poca y cuantas más medidas de seguridad se implementen, mejor. Ningún proveedor de servicios online está completamente a salvo de ataques informáticos. LastPass lo aprendió por las malas a finales de 2022.
Añadir un pepper a las contraseñas es un proceso manual, por lo que tardarás más tiempo en acceder a tus cuentas. Esto puede suponer una molestia, sobre todo si te has acostumbrado a iniciar sesión rápidamente, pero sin duda mejorará tu seguridad online.
Las personas se aferran a sus costumbres y a la comodidad, y suelen abandonar las prácticas de seguridad cuando resultan demasiado exigentes. Por lo tanto, no recomendamos añadir peppers a todas las contraseñas, solo a las más importantes. Lo puedes hacer de la siguiente manera:
Crea un pepper seguro y complejo que puedas recordar.
Es como una contraseña: cuanto más largo y complejo, mejor. Debe ser aleatorio y contener distintos tipos de símbolos. Pero tampoco te pases, ya que la mejor forma de mantener tu pepper a salvo es memorizarlo.
Crea una «contraseña base» y guárdala en el gestor de contraseñas.
Utiliza un generador de contraseñas para crear una cadena compleja de caracteres, que llamaremos «tu contraseña base». Guárdala en el depósito cifrado del gestor de contraseñas.
Añade peppers y actualiza las contraseñas en tus cuentas más importantes.
Una vez creada la contraseña base, añade el pepper. Ya tienes tu nueva contraseña. Actualiza las contraseñas de tus cuentas más importantes. Ahora, al iniciar sesión, tendrás que añadir el pepper cada vez que accedas a la cuenta.
Nota: Puedes añadir el pepper en cualquier parte de la cadena de caracteres que componen tu contraseña base. Sin embargo, para no complicarlo demasiado, es mejor añadirlo al principio o al final.
No guardes el pepper en el depósito del gestor de contraseñas.
La idea es no tener toda la información en el mismo sitio. No tiene sentido guardar el código secreto en el depósito del gestor de contraseñas, ya que si estas se filtrasen, también se filtraría el pepper. Para que este sistema funcione, debes guardar el pepper a buen recaudo en algún otro lugar, preferiblemente en tu cabeza.
Peppering de contraseñas para las empresas
Desde el punto de vista de las empresas, el peppering de las contraseñas puede dar más problemas que beneficios. Puede interrumpir la cooperación y el intercambio de información entre los equipos, prolongar el tiempo dedicado a tareas que podrían automatizarse fácilmente y empeorar los resultados de las auditorías de cumplimiento normativo y seguridad de las contraseñas.
Veamos otras medidas de seguridad más adecuadas para un entorno empresarial. A diferencia del peppering de contraseñas, estas medidas promueven la transparencia y permiten responder de inmediato a las ciberamenazas.
Política de contraseñas
Una política de contraseñas es un conjunto de reglas y directrices para crear y gestionar las contraseñas de una organización. Estipula la longitud que deben tener las contraseñas de los empleados, qué tipo caracteres deben incluir y con qué frecuencia se deben cambiar. Si el gestor de contraseñas de la empresa aplica esta política automáticamente, los administradores de la red podrán controlar todas las contraseñas que se usan en su empresa.
Seguridad de la Contraseña
Los análisis de la seguridad de las contraseñas te permiten identificar cuáles son vulnerables. La función La Seguridad de la Contraseña de NordPass detecta las contraseñas poco seguras que utilizan los empleados, así como aquellas que tienen más de 90 días y las que se han reutilizado. Esto permite evitar que se filtren datos por culpa de contraseñas poco seguras, en lugar de tener que mitigar las consecuencias de los ataques de los hackers.
Escáner de filtración de datos
Escáner de filtración de datos te avisa en tiempo real de las filtraciones de datos relacionadas con los correos electrónicos y los dominios de tu empresa. Puede ser de gran ayuda, ya que, según el informe de seguridad de datos de IBM de 2023, las empresas tardan de media 277 días en detectar y contener las filtraciones. Si reaccionas inmediatamente ante un incidente de seguridad, probablemente los ciberdelincuentes no tendrán tiempo para usar la información contra tu empresa.
Tendencias en cuanto a seguridad de las contraseñas
Vivimos años cruciales para la seguridad de las contraseñas. Estamos asistiendo a un cambio hacia un método de autenticación más seguro y más fácil de usar: claves de acceso. las claves de acceso te permiten acceder a las cuentas online de la misma forma que desbloqueas tu smartphone: con la huella digital o mediante identificación facial. Esta nueva tecnología combina la verificación biométrica con claves criptográficas, lo que reduce el riesgo de phishing, los ataques de fuerza bruta y otras ciberamenazas.
Algunos gigantes tecnológicos, como Amazon, Apple, Google y Meta ya se han unido a la Alianza FIDO, una asociación del sector creada para «resolver el problema de las contraseñas en el mundo». NordPass también forma parte de la FIDO y, junto con otros miembros, promueve activamente el uso de las claves de acceso y las pone a disposición de los usuarios. Por eso, nuestro gestor de contraseñas te permite almacenar claves de acceso, acceder a ellas y compartirlas de manera segura.
Preguntas frecuentes
Tanto «pepper» como «salt» son términos criptográficos que describen prácticas destinadas a aumentar la seguridad de una contraseña (haciéndola más compleja) antes de proceder con el hashing (que la convierte en código).
El pepper es un valor secreto o, continuando con la metáfora culinaria, un ingrediente secreto que se añade a la contraseña. Es un elemento estático; es decir, es el mismo para todas las contraseñas existentes en el sistema. Solo tú debes conocer este ingrediente secreto: no lo guardes nunca junto con los valores hash ni las contraseñas.
El salt es una cadena aleatoria de caracteres que se añade a la contraseña antes de que un algoritmo le aplique el hash. Sin embargo, a diferencia del pepper, es diferente para cada usuario. Es decir, aunque dos personas usen la misma contraseña en un sitio web, terminarán con diferentes hashes (códigos) debido al salt.
No. Los peppers de las contraseñas pueden optimizar la seguridad online, pero no sustituyen a otras medidas de seguridad como guardar las contraseñas en un depósito cifrado o contar con un antivirus de confianza.
Sí, los peppers de las contraseñas son adecuados para un uso personal. Puedes crear un pepper (un código secreto) y añadirlo a las contraseñas base parciales que estén guardadas en los sitios web que utilizas o en el depósito de tu gestor de contraseñas, según la fórmula: «contraseña base + pepper = contraseña real».
Aunque este proceso te protege contra posibles filtraciones de contraseñas, es necesario hacerlo de forma manual, lo cual no resulta muy cómodo a la hora de acceder a las cuentas. Por eso, recomendamos usar el pepper solo en las contraseñas de las cuentas más importantes, como el correo electrónico o la banca online.