Bill Burr, el hombre que obligó a millones de personas a usar contraseñas imposibles, admite que fue un error: "Me arrepiento de muchas cosas que hice. Estaba buscando el camino equivocado"

Seguro que te has encontrado esa situación en la que te abres una cuenta nueva en cualquier app o servicio, quieres que sea más o menos sencilla para recordarla, pero el programa te la tira para atrás por ser demasiado sencilla y no cumplir con ciertos requisitos. Te exige que metas una letra mayúscula, varios números y algún símbolo raro como un dólar o una exclamación, y tú solo buscas que sea fácil.

Al final, acabas inventando una mezcla de todo que olvidas a los dos días si no la apuntas en algún sitio. Lo curioso de todo esto es que esa norma tan molesta que usan bancos, correos electrónicos y redes sociales tiene origen en un único funcionario de Estados Unidos llamado Bill Burr, que en el año 2003 escribió un documento oficial que quería cambiarlo todo.

Este antiguo jefe de nivel medio del Instituto Nacional de Estándares y Tecnología (NIST) recibió el encargo de crear un manual de seguridad para proteger los ordenadores de las oficinas del gobierno. El problema es que Burr no tenía datos reales sobre cómo funcionaban los delincuentes en internet, así que se basó en un estudio de los años 80.

El documento, registrado con el nombre de Publicación Especial 800-63, se convirtió rápido en una norma obligatoria para muchas empresas, que copiaron esas normas al pie de la letra sin ni siquiera pensar que esto iba a dar más problemas.

Alerta si tienes un router WiFi D-Link: miles en todo el mundo han sido infectados por una peligrosa botnet

Más de 20 años después, el propio Bill Burr ha hablado para confesar que se equivocó por completo y que lamenta mucho las consecuencias de su informe. En una entrevista con The Wall Street Journal, reconoció que estaba buscando el camino equivocado y que todo esto obligó a la gente a hacer justo lo contrario de lo que él quería.

Al obligarte a crear contraseñas tan difíciles y, sobre todo, obligarte a cambiarlas cada poco tiempo, la mente humana, que siempre busca el camino más fácil para no complicarse la vida, empezó a repetir trucos que los hackers se aprendieron de memoria.

Por ejemplo, si te obligan a poner una mayúscula, un número y un símbolo, casi todo el mundo hace exactamente lo mismo: poner la primera letra en grande, la palabra que quieren usar, el número 1 y un signo de exclamación al final.

Cuando la página web te obliga a renovar la clave a los 90 días, lo único que haces es cambiar el 1 por un 2, y luego por un 3. Los hackers esto lo saben perfectamente, por lo que sus programas automáticos tardan pocos segundos en adivinar la nueva combinación.

Olvídate de las contraseñas kilométricas: tu móvil es tan seguro como lo sea tu PIN, y cuatro simples números no son suficientes

¿Cómo crear una contraseña segura según los expertos en seguridad?

El mayor consejo es que esta mínimo tenga 12 caracteres. Debes mezclar minúsculas, mayúsculas, números y símbolos, y que siempre sea distinta, por lo que no repitas esa misma contraseña para varios sitios. Es complicado acordarse de todas, sí, pero puedes apuntarlas en algún lugar seguro de tu casa o usar alguna aplicación.

Por un lado, no se recomienda partir de una frase sencilla y reconocible por nosotros para luego tunearla y complicarla. Así, por ejemplo, si tienes esta opción, "Tengo 2 hijos pequeños", transfórmala en "Tengo-2-Hijos-Pequeñ@s".

Por otro lado, puedes usar una frase larga, pero asegurándote de que esta incluye mayúsculas y minúsculas y algún símbolo como una exclamación o interrogación. ¡Me encantan los conciertos de U2!, sería un buen ejemplo.

Otra posibilidad es el cifrado de contraseñas, es decir, coger una frase y transformar las "a" por el @, la "e" por el 3 o  la “y” por &.

Finalmente, también puedes usar el truco de usar frases que conoces. Por ejemplo, puedes coger una frase de tu canción favorita y solo coger la primera letra de cada palabra para crear tu contraseña. 

Debes tener muy presente que cada letra que añades a tu frase multiplica enormemente el número de intentos que necesita el ordenador de un hacker para adivinar el código, mientras que meter un simple signo de dólar apenas le frena unos segundos si la palabra es corta y simple.

Una contraseña formada por cuatro palabras normales separadas por guiones, como por ejemplo "perro-guitarra-ventana-chocolate", es más difícil de adivinar para los ciberdelincuentes que una combinación corta del estilo "P@ss1!".