contraseñas

A pesar del crecimiento de los métodos de autenticación sin contraseña, las contraseñas y los nombres de usuario tradicionales continúan siendo el medio principal para proteger los datos.

Tecnologías como la biometría y el inicio de sesión único, no han conseguido impedir que las contraseñas y los nombres de usuario tradicionales sean el medio principal para proteger los datos.

Los ciberdelincuentes ciertamente son conscientes de este hecho: según el Informe de investigaciones de violación de datos de 2021 de Verizon, las contraseñas comprometidas son responsables del 81% de las violaciones relacionadas con la piratería.

Sin embargo, las malas prácticas de contraseñas, como las palabras fáciles de adivinar y la reutilización, son un problema que nunca parece mejorar.

Neil Jones, director de evangelización de seguridad cibernética en Egnyte, comentó: “Desde que tengo memoria, las contraseñas fáciles de adivinar como 123456, qwerty y contraseña han dominado la lista global de las contraseñas más utilizadas. Desafortunadamente, las contraseñas débiles pueden convertirse literalmente en un campo de juego para los atacantes cibernéticos.

logo egnyte
logo egnyte

Esto sucede particularmente cuando obtienen acceso mediante soluciones de acceso remoto de la organización y pueden ver los detalles de identificación de los usuarios corporativos”.

Para las organizaciones, que  ahora recopilan y almacenan más datos que nunca, tomar medidas para reducir de forma drástica la capacidad de los hackers de comprometer sus cuentas, es seguramente el componente más crítico de su estrategia de ciberseguridad.

Para el Día Mundial de la Contraseña de este año, Infosecurity compiló una lista de acciones que las organizaciones deben tomar para mejorar las prácticas de seguridad de contraseñas de sus empleados.

1) Ayude a los empleados a comprender la importancia de la seguridad de las contraseñas

Un componente crucial, para mejorar el cumplimiento de las políticas de contraseñas es educar a los empleados sobre las consecuencias nefastas de no hacerlo para ellos y su empresa.

Hank Schless, gerente sénior de soluciones de seguridad de Lookout, dijo: “Lo mejor que se puede hacer además de compartir la cantidad astronómicamente alta de contraseñas comprometidas cada año, es hacer que las personas entiendan el valor de los datos que se supone que estas contraseñas deben proteger. Las contraseñas seguras pueden ser la diferencia entre que un atacante obtenga acceso a la información de su cuenta bancaria, la identificación del gobierno y más si no pueden violar su cuenta”.

Jones de Egnyte estuvo de acuerdo y aconsejó: «Eduque a sus usuarios de que las contraseñas que  se adivinan con frecuencia, como 123456, la  palabra “contraseña” y los nombres de sus mascotas favoritas, pueden poner en riesgo los datos y la reputación personal de su empresa».

2) Educar a los usuarios sobre cómo puede ocurrir el compromiso de credenciales.

Reforzar las diversas formas en que se comprometen las credenciales de inicio de sesión, también puede reducir sustancialmente las posibilidades de que las organizaciones sean violadas de esta manera.

Las más comunes son las campañas de ingeniería social, como el phishing, que intentan atraer a los usuarios para que revelen voluntariamente su nombre de usuario y contraseña.

 “Recuerde a los usuarios que los mensajes de correo electrónico, los mensajes de texto y las llamadas telefónicas no anticipadas, pueden ser intentos de capturar sus credenciales de inicio de sesión y contraseña”, aconsejó Jones.

Además, los empleados nunca deben compartir sus credenciales de inicio de sesión con nadie ni dejarlas expuestas, ni siquiera a un equipo de TI interno.

Esto incluye escribirlas en notas autoadhesivas o decirlas en voz alta.

3) Establecer políticas para evitar la reutilización de contraseñas

Un paso básico que deben tomar los equipos de TI, es obligar automáticamente a que las contraseñas de los empleados se cambien regularmente, como una vez al mes.

Cian Heasley, consultor de seguridad de Adarma, explicó: “La regla general cuando se trata de contraseñas es que nunca debes reutilizarlas. La reutilización de contraseñas es una gran señal de alerta y puede dejar las cuentas de los usuarios susceptibles de verse comprometidas”.

Es particularmente crítico que se establezcan medidas para evitar que se utilicen contraseñas ya comprometidas.

Darren James, jefe de TI interno/especialista en productos de Specops, aconsejó invertir en herramientas que puedan verificar si las contraseñas de algún usuario no han sido robadas en un ataque cibernético anterior:

Jones observó: «Los usuarios nunca deben proporcionar credenciales de inicio de sesión comerciales (como sus direcciones de correo electrónico) en foros públicos, particularmente cuando otros pueden escucharlos».

“No reutilice la misma contraseña, ya que pueden descubrirse en un incumplimiento. Con las herramientas adecuadas, los equipos de TI pueden localizar automáticamente cualquier credencial robada y bloquear automáticamente las contraseñas débiles”, dijo.

cyber-seguridad
cyber-seguridad

Egnyte de Jones también señaló formas de prevenir las técnicas automatizadas utilizadas por los ciberdelincuentes para descifrar las credenciales de las cuentas de los empleados. “Evite los ataques de contraseña de fuerza bruta al deshabilitar inmediatamente el acceso de los usuarios después de varios intentos fallidos de inicio de sesión”, comentó.

4) Aconsejar alternativas de contraseña fáciles de usar

Si bien el objetivo es que el personal use contraseñas únicas y complejas que sean difíciles de adivinar, presionar demasiado en este tema puede tener el efecto contrario.

Heasley de Adarma dijo: “Para mantener hábitos saludables de contraseñas, es importante que las personas hagan que sus contraseñas sean manejables. Esto se puede hacer logrando un equilibrio entre contraseñas memorables y complejas. Es más probable que las personas olviden una contraseña demasiado compleja, haciéndola inútil. Los usuarios deben tratar de usar frases de contraseña donde puedan organizar palabras no relacionadas en un orden extraño para crear una contraseña poderosa”.

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido aconseja a los usuarios combinar tres palabras aleatorias para ayudar a lograr este equilibrio entre complejidad y facilidad.

Incluso pequeños ajustes a las contraseñas existentes pueden marcar una diferencia significativa.

Schless de Lookout comentó: “Recordar cada contraseña compleja que creas es difícil. Para hacerle la vida más difícil a los atacantes que intentan descifrar su contraseña, una práctica simple es reemplazar las letras con números o símbolos que sean fáciles de recordar. Por ejemplo, reemplazando la letra ‘e’ con un 3, o la letra ‘a’ con un símbolo @».

5) Implementar la autenticación de múltiples factores

Otra medida que pueden tomar las organizaciones es exigir capas adicionales de autenticación además de las contraseñas.

MFA comúnmente viene en forma de códigos únicos enviados a través de mensajes de texto, pero están surgiendo varias alternativas más seguras.

James de Specops dijo: “No importa qué aplicaciones o sistemas esté utilizando: siempre asegúrese de que 2FA o MFA estén en la lista de requisitos. Además de eso, trate de asegurarse de que esos otros factores no sean débiles, por ejemplo, cuál es su película favorita o envíe un SMS a una dirección de correo electrónico/número de teléfono móvil; en su lugar, intente utilizar sistemas biométricos como Touch ID/Face ID o autenticadores como Google o Microsoft o incluso Yubikeys”.

Para Sam Curry, director de seguridad de Cybereason, MFA (Multifactor authentification), es esencial dado que solo se necesita que un empleado no cumpla con las prácticas de contraseña segura para causar una violación.

“Cuando obliga a los empleados a adherirse a políticas estrictas de contraseñas y les pide que cambien las contraseñas con demasiada frecuencia, tenderán a usar contraseñas más simples y que cumplirán más fácilmente con su política, lo cual es contraproducente. Mi consejo para las empresas es instruir a los empleados para que no confíen en las contraseñas y usen factores adicionales en todas las cuentas y servicios”, destacó.

6) Usar administradores de contraseñas

Las organizaciones también deberían considerar ofrecer a los empleados la oportunidad de utilizar sistemas de administración de contraseñas.

 “Los administradores de contraseñas generan contraseñas complejas, aleatorias y únicas para todos los sitios individuales que visita un usuario y las almacena de forma segura para que los usuarios no tengan que preocuparse por recordarlas. También alertan a los usuarios si están reutilizando la misma contraseña en diferentes cuentas y les notifican si aparece una contraseña dentro de una filtración de datos conocida para que sepan que deben cambiarla”, explicó Heasley de Adarma.

Una vez que un usuario esté familiarizado con dicho sistema, garantizará que sus credenciales sean siempre sólidas sin afectar la usabilidad.

Thomas Richards, consultor principal de seguridad en Synopsys Software Integrity Group, dijo:

 “Los administradores de contraseñas brindan muchos beneficios que ayudan a las personas a administrar las diferentes contraseñas que se necesitan en el mundo actual. Proporcionan almacenamiento seguro, comentarios si una contraseña se considera débil y pueden generar contraseñas complejas según sea necesario. Todas estas cosas ayudan al usuario a mantener sus contraseñas de acuerdo con las mejores prácticas para reducir el riesgo de compromiso”.

La seguridad de las contraseñas es cada vez más desafiante y vital, en una era en la que las organizaciones almacenan niveles sin precedentes de datos confidenciales.

La instalación de prácticas seguras de contraseñas en el personal ha resultado particularmente difícil para las empresas; sin embargo, se pueden tomar una variedad de pasos para mejorar radicalmente la situación, que giran en torno a la capacitación, las políticas y las herramientas de concientización de los empleados.

Con las contraseñas configuradas como el principal medio de autenticación durante muchos años, estos enfoques deberían convertirse en prácticas estándar para las organizaciones que se toman en serio su ciberseguridad.

Por Frank G