Términos esenciales que necesitas conocer para entender la seguridad de contraseñas y la ciberseguridad en general. Ordenados de más a menos frecuentes en el día a día.
Autenticación de dos factores (2FA)
Método de seguridad que requiere dos pruebas de identidad independientes para acceder a una cuenta: algo que sabes (contraseña) más algo que tienes (código temporal) o algo que eres (biometría).
Ataque de fuerza bruta
Técnica de hackeo que prueba sistemáticamente todas las combinaciones posibles de caracteres hasta encontrar la contraseña correcta. Los ordenadores modernos pueden probar miles de millones de combinaciones por segundo.
Ataque de diccionario
Variante del ataque de fuerza bruta que utiliza listas de palabras y contraseñas comunes en lugar de probar todas las combinaciones posibles. Es mucho más rápido y efectivo contra contraseñas basadas en palabras reales.
Credential stuffing
Ataque automatizado que utiliza credenciales robadas en una filtración para intentar acceder a otros servicios. Funciona porque muchos usuarios reutilizan la misma contraseña en múltiples sitios.
Cifrado AES-256
Estándar de cifrado simétrico utilizado por los gestores de contraseñas modernos. Con claves de 256 bits, se considera inquebrantable con la tecnología actual. Es el mismo estándar usado por gobiernos y militares.
Entropía
Medida matemática de la aleatoriedad o imprevisibilidad de una contraseña, expresada en bits. A mayor entropía, mayor dificultad para descifrarla. Se calcula como: longitud × log₂(tamaño del conjunto de caracteres).
Filtración de datos (Data breach)
Incidente de seguridad en que información confidencial (contraseñas, emails, datos personales) queda expuesta a personas no autorizadas. Las más grandes afectan a cientos de millones de usuarios y sus datos se venden en mercados clandestinos.
Hashing
Proceso unidireccional que convierte datos de cualquier tamaño en una cadena de longitud fija. Los servicios web seguros almacenan hashes de contraseñas (no las contraseñas en texto plano) para que incluso si los datos son robados, las contraseñas originales sean difíciles de recuperar.
HIBP (HaveIBeenPwned)
Base de datos creada por Troy Hunt que recopila credenciales de filtraciones públicas conocidas. Permite verificar si tu email o contraseña aparece en alguna filtración. CryptoPass usa su API con el protocolo k-anonymity para proteger tu privacidad.
K-anonymity
Protocolo de privacidad que permite consultar si una contraseña ha sido filtrada sin revelar la contraseña completa. Solo se envían los primeros 5 caracteres del hash SHA-1; el resto de la comparación ocurre localmente en el navegador.
Keylogger
Software malicioso que registra todas las pulsaciones de teclado del usuario, incluyendo contraseñas. Se instala típicamente a través de malware. Los gestores de contraseñas con autocompletado reducen el riesgo al no requerir que el usuario escriba la contraseña.
MFA (Autenticación multifactor)
Extensión del 2FA que puede requerir tres o más factores de autenticación. En entornos empresariales críticos puede incluir contraseña, app de autenticación, certificado de dispositivo y verificación biométrica simultáneamente.
Passphrase
Contraseña formada por una secuencia de palabras aleatorias separadas por guiones u otros caracteres, como "caballo-batería-grapadora-correcto". Combina alta entropía con facilidad de memorización.
Phishing
Técnica de ingeniería social que engaña al usuario para que entregue sus credenciales voluntariamente, típicamente a través de emails o webs que imitan servicios legítimos. Es el método más común de robo de contraseñas.
Rainbow table
Tabla precomputada de hashes que permite encontrar la contraseña original a partir de su hash de forma muy rápida. Se contrarresta con el uso de "salt" (valor aleatorio añadido a la contraseña antes de hacer el hash) en el almacenamiento.
Salt
Valor aleatorio único añadido a cada contraseña antes de aplicar el hash. Hace que dos contraseñas idénticas generen hashes diferentes, inutilizando las rainbow tables y dificultando los ataques de diccionario precomputados.
SHA-1 / SHA-256
Algoritmos de hash criptográfico. SHA-1 (Secure Hash Algorithm 1) produce hashes de 160 bits y se usa en la verificación de filtraciones. SHA-256 produce hashes de 256 bits y es más seguro. Ambos son funciones de un solo sentido.
SIM swapping
Ataque en que el ciberdelincuente convence a la operadora de telecomunicaciones para transferir el número de teléfono de la víctima a una SIM bajo su control. Esto permite interceptar los SMS de verificación (2FA por SMS), por lo que se recomienda usar apps de autenticación en su lugar.
Single Sign-On (SSO)
Mecanismo de autenticación que permite usar una sola identidad (como Google o Microsoft) para acceder a múltiples servicios. Simplifica la gestión de cuentas pero concentra el riesgo: si la cuenta principal es comprometida, todas las cuentas vinculadas lo son también.
Spear phishing
Variante del phishing dirigida específicamente a un individuo u organización, usando información personal para hacer el engaño más creíble. Es mucho más difícil de detectar que el phishing masivo.
TOTP (Time-based One-Time Password)
Estándar abierto para generar códigos de verificación de 6 dígitos que cambian cada 30 segundos, basados en el tiempo actual y una clave secreta compartida. Es el protocolo que usan apps como Google Authenticator, Authy o Microsoft Authenticator.
Vault (bóveda de contraseñas)
Repositorio cifrado donde un gestor de contraseñas almacena todas las credenciales del usuario. Protegido por una contraseña maestra y cifrado con AES-256, solo puede ser descifrado con la clave correcta.
VPN (Red Privada Virtual)
Servicio que cifra tu conexión a internet y enmascara tu dirección IP. Útil para conectarse a redes WiFi públicas sin riesgo de que alguien intercepte tus credenciales. No protege directamente tus contraseñas, pero sí la transmisión de datos.
Web Crypto API
API nativa de los navegadores modernos que proporciona funciones criptográficas seguras, incluyendo generación de números verdaderamente aleatorios (crypto.getRandomValues). CryptoPass la usa para garantizar que las contraseñas generadas sean impredecibles.
Zero-knowledge
Arquitectura de seguridad en que el proveedor del servicio no puede acceder a los datos del usuario porque todo el cifrado y descifrado ocurre localmente. Los mejores gestores de contraseñas como Bitwarden y 1Password usan este modelo.
Bcrypt / Argon2 / scrypt
Algoritmos modernos de hashing específicamente diseñados para almacenar contraseñas de forma segura. Son deliberadamente lentos y requieren mucha memoria, lo que hace que los ataques de fuerza bruta sean costosísimos incluso con hardware potente.
Man-in-the-Middle (MitM)
Ataque en que el ciberdelincuente se interpone entre el usuario y el servicio legítimo, pudiendo leer y modificar las comunicaciones. HTTPS y certificados SSL/TLS protegen contra este tipo de ataques en las comunicaciones web.
Password spraying
Ataque que prueba un número pequeño de contraseñas muy comunes (como "Password123") contra muchas cuentas diferentes, en lugar de intentar muchas contraseñas contra una sola cuenta. Evita los bloqueos por intentos fallidos y es especialmente efectivo contra empresas.
Gestión de identidades (IAM)
Sistema empresarial que gestiona de forma centralizada quién tiene acceso a qué recursos, con qué privilegios y bajo qué condiciones. Incluye gestión de contraseñas, 2FA, SSO y auditoría de accesos. Esencial para empresas medianas y grandes.
Política de contraseñas
Conjunto de reglas que establece una organización sobre los requisitos de las contraseñas: longitud mínima, tipos de caracteres obligatorios, frecuencia de cambio, historial de contraseñas prohibido, y medidas ante fallos de autenticación.
Superficie de ataque
Conjunto total de puntos de entrada potenciales que un atacante puede intentar explotar. En el contexto de contraseñas, cada cuenta con una contraseña débil o reutilizada es un punto en la superficie de ataque.