Guía de buenas prácticas para la gestión de contraseñas para periodistas

Las buenas prácticas en el uso de contraseñas son esenciales para la libertad de prensa. Periodistas, editores y organizaciones de medios son objetivos frecuentes de hackeos, vigilancia y acoso digital. Una mala gestión de contraseñas puede exponer a fuentes, comprometer investigaciones y poner vidas en riesgo.

Esta guía ofrece recomendaciones prácticas, respaldadas por investigaciones, pensadas para periodistas, con un enfoque en hábitos y herramientas que reducen riesgos sin requerir conocimientos técnicos avanzados.

Por qué la gestión de contraseñas es clave para el periodismo

Los periodistas almacenan información sensible en cuentas de correo electrónico, servicios en la nube, aplicaciones de mensajería, sistemas de gestión de contenidos (CMS) y redes sociales. Una sola contraseña comprometida puede:

• Exponer fuentes confidenciales y denunciantes.
• Provocar la toma de control de cuentas y la suplantación de identidad.
• Permitir la vigilancia de comunicaciones.
• Derivar en censura, presión legal o riesgos físicos.

Los estudios muestran que las malas prácticas con contraseñas son una de las principales causas de brechas de seguridad (Verizon, Data Breach Investigations Report 2023).

Errores comunes que deben evitarse

Muchas brechas de seguridad ocurren por errores previsibles:

• Reutilizar contraseñas en varios servicios.
• Usar contraseñas cortas o simples.
• Basarse en información personal (nombres, fechas de nacimiento, lugares).
• Guardar contraseñas en el navegador o en archivos de texto sin protección.
• Compartir contraseñas por correo electrónico o aplicaciones de mensajería.

Investigaciones del National Cyber Security Centre (NCSC) destacan que la reutilización de contraseñas aumenta significativamente el riesgo de compromiso.

¿Qué hace que una contraseña sea segura?

Una contraseña sólida debe ser:

• Larga: al menos 14–16 caracteres.
• Única: no reutilizada en otras cuentas.
• Aleatoria: no basada en palabras de diccionario ni patrones previsibles.
• Impredecible: sin referencias personales o profesionales.

Frases de contraseña: una mejor alternativa

En lugar de contraseñas cortas y complejas, se recomiendan las frases de contraseña, compuestas por una secuencia de palabras no relacionadas.

Ejemplo: río-vela-órbita-mango-lente

Las frases de contraseña son más fáciles de recordar y más difíciles de descifrar, según investigaciones del CyLab de la Universidad Carnegie Mellon (2022).

Usa un gestor de contraseñas (imprescindible)

Los gestores de contraseñas almacenan y generan contraseñas únicas y seguras para cada cuenta. Sus ventajas incluyen:

• Generación automática de contraseñas.
• Almacenamiento cifrado.
• Sincronización segura entre dispositivos.
• Alertas sobre contraseñas reutilizadas o comprometidas.

Buenas prácticas:

• Proteger el gestor con una frase maestra sólida.
• Activar la autenticación de dos factores (2FA).
• Evitar depender únicamente del almacenamiento del navegador sin un gestor dedicado.

Estudios de Google (Security Blog, 2023) muestran que el uso de gestores de contraseñas reduce el riesgo de compromiso de cuentas en más de un 50 %.

Activa la autenticación de dos factores (2FA)

La 2FA añade una capa adicional de seguridad más allá de la contraseña. Debe activarse en:

• Cuentas de correo electrónico.
• Almacenamiento en la nube.
• Redes sociales.
• CMS y herramientas de publicación.
• Gestores de contraseñas.

Es preferible usar aplicaciones de autenticación o llaves de seguridad físicas. Evita la 2FA por SMS cuando sea posible, ya que los ataques de SIM swapping son frecuentes (ENISA, 2022).

Priorizar cuentas: por dónde empezar

Si el tiempo o los recursos son limitados, asegura primero estas cuentas:

1. Correo electrónico.
2. Gestor de contraseñas.
3. Aplicaciones de mensajería usadas con fuentes.
4. Almacenamiento en la nube y herramientas de colaboración.
5. Redes sociales y plataformas de publicación.

Una brecha en cualquiera de estas cuentas puede desencadenar compromisos más amplios.

Compartir contraseñas en redacciones

Las cuentas compartidas aumentan el riesgo. Buenas prácticas:

• Evitar compartir contraseñas.
• Usar accesos y permisos basados en roles.
• Utilizar funciones seguras de compartición dentro de los gestores de contraseñas.
• Revocar accesos de inmediato cuando alguien deja el equipo o cambia de rol.

Qué hacer si una contraseña se ve comprometida

Si sospechas que una cuenta ha sido vulnerada:

1. Cambia la contraseña de inmediato.
2. Cierra todas las sesiones activas.
3. Activa o restablece la 2FA.
4. Revisa la actividad de la cuenta y los métodos de recuperación.
5. Actualiza las contraseñas de cualquier otra cuenta que use las mismas credenciales.

La rapidez es clave: retrasar la acción aumenta el daño potencial.

Gestión de contraseñas en contextos de alto riesgo

Los periodistas bajo vigilancia deben tomar precauciones adicionales:

• Usar un perfil separado del gestor de contraseñas para trabajo sensible.
• Auditar y rotar regularmente las contraseñas críticas.
• Combinar la seguridad de contraseñas con dispositivos y comunicaciones cifradas.
• Evitar iniciar sesión en cuentas sensibles desde ordenadores públicos o compartidos.

Recomendaciones finales

Una buena gestión de contraseñas consiste en reducir riesgos mediante hábitos consistentes. Pequeños cambios, como usar un gestor de contraseñas y activar la 2FA, pueden mejorar drásticamente la seguridad digital. Para el periodismo, proteger las cuentas es inseparable de proteger a las fuentes, las investigaciones y el derecho del público a estar informado.

Fuentes y referencias utilizadas en esta guía:

• Verizon, Data Breach Investigations Report 2023
• National Cyber Security Centre (NCSC), Password Guidance, 2023
• Universidad Carnegie Mellon, investigación de CyLab, 2022
• Google Security Blog, Password Manager Impact Study, 2023
• ENISA, Two-Factor Authentication Recommendations, 2022