En la era digital, los usuarios tenemos muchas opciones al alcance. Puedes permitir las cookies o bloquearlas, según la cantidad de información que quieres que los sitios web recopilen sobre ti. Puedes instalar bloqueadores de publicidad para no ver anuncios en internet, o no instalarlos y dejar que aparezcan. Puedes utilizar servicios cifrados o no, según cuánto te preocupe tu privacidad y seguridad.
Además, puedes utilizar un PIN (número de identificación personal) o una contraseña para proteger tus dispositivos digitales y tus cuentas de internet. Sin embargo, en este caso, elegir una u otra opción no es tan fácil como parece.
El otro día, hablé de este tema con mis amigos y constaté tres puntos de vista diferentes. Unos defendían que los PIN son más seguros que las contraseñas. Otros se negaban a creer que un PIN compuesto de cuatro, seis u ocho dígitos pudiera ser más fiable que una contraseña larga y compleja. El tercer grupo afirmaba que tanto los PIN como las contraseñas cumplen la misma función de identificación y ambos son igual de seguros. Todas las partes tenían argumentos válidos, pero no logramos ponernos de acuerdo. A raíz de este debate, decidí profundizar en el tema e intentar averiguar la verdad.
¿Cuándo usar un PIN?
PIN significa «número de identificación personal» por sus siglas en inglés. Al igual que las contraseñas, el PIN se utiliza para demostrar que tienes derecho a acceder a los datos. El PIN suele consistir en una cadena de entre cuatro y ocho dígitos y se utilizó por primera vez en los años sesenta con los cajeros automáticos. El inconveniente más obvio es que solo se pueden utilizar cifras del 0 al 9. Un PIN compuesto por cuatro números ofrece 10 000 posibles combinaciones. Puede parecer fácil de descifrar, pero la realidad no es tan sencilla.
Los PIN suelen utilizarse en dispositivos con pantalla táctil y es necesario escribirlos manualmente. Es posible que un ataque fuerza-bruta automatizado no funcione, ya que la mayoría de los sistemas que utilizan PIN bloquean el dispositivo tras varios intentos fallidos.
Por ejemplo, si tu dispositivo solo permite seis intentos para introducir el PIN, la probabilidad de que alguien acierte el código de cuatro dígitos es del 0,06 %. Naturalmente, si tu PIN es «0000» o «1234», la probabilidad de que alguien lo hackee aumenta considerablemente.
¿Cuándo usar una contraseña?
Una buena contraseña es una combinación de números, letras mayúsculas, letras minúsculas y caracteres especiales. También puede ser una frase compuesta de palabras con los mismos requisitos. Al igual que el PIN, el concepto de contraseña apareció a principios de la década de 1960 y no ha dejado de usarse desde entonces. Una contraseña de 10 caracteres permite 59,873,693,923,837,900,000 combinaciones diferentes, y probablemente pienses que esto la convierte en el método más seguro. Sin embargo, no todo es cuestión de matemáticas.
Las contraseñas se utilizan online y en ordenadores u otros dispositivos que, normalmente, no ponen límites al número de intentos fallidos. Por este motivo, un ataque por fuerza bruta automatizado podría poner en peligro las contraseñas. Por supuesto, no todos los ataques tienen éxito, ya que la mayoría tardarían años en descifrar una contraseña segura. Pero la tecnología de los hackers está evolucionando rápidamente y los ataques son cada vez más sofisticados y exitosos.
Contraseña o PIN: veredicto
Volviendo a la conversación que tuve con mis amigos, se puede afirmar que todas las opiniones eran correctas en cierto sentido. La respuesta a la pregunta depende de dónde utilices el PIN o la contraseña.
Si quieres desbloquear un dispositivo con pantalla táctil, el método más fácil y seguro es el PIN, porque hay que escribirlo a mano y existe un límite de intentos. En cambio, en las cuentas online y en los ordenadores, las contraseñas son mucho más seguras por una pura cuestión matemática: hay muchas más combinaciones posibles.
Además, en la mayoría de las cuentas de internet se puede activar la autenticación multifactor (2FA), que añade otra capa de seguridad y minimiza el riesgo de ataques automatizados por fuerza bruta. De este modo, aunque alguien se haga con tu contraseña, no logrará acceder a la cuenta, ya que no podrá realizar el segundo paso de la verificación.