Las mejores prácticas para la gestión de contraseñas seguras
En la actualidad, los ataques de phishing continúan creciendo exponencialmente. Cuando un dispositivo personal de un empleado es comprometido, supone un gran riesgo para la organización. Por tanto, es fundamental que el cliente establezca un programa de concienciación sobre ciberseguridad que porporcione a los empleados información sobre cómo mitigar y evadir estos riesgos.
Las contraseñas no seguras, débiles y reutilizadas provocan el 80 % de los robos de datos. Para evitar robos de datos personales se necesita mantener las contraseñas seguras y tener cuidado con las acciones que se realizan. Hoy en día, las empresas hacen uso de cientos de aplicaciones para mejorar la productividad. Algunas de estas aplicaciones requieren el uso de nombres de usuario y contraseñas para que los empleados puedan acceder a estas aplicaciones fácilmente, desde cualquier dispositivo y en cualquier momento.
En el siguiente artículo veremos algunas de las pautas que debemos seguir para gestionar de forma adecuada nuestras contraseñas.
¿Cómo funciona mi contraseña?
En el momento que ingresamos una contraseña en nuestro sistema se realizan procesos de seguridad para evitar que dicha contraseña caiga en manos de personas que no deberían tenerla. Se usa un proceso llamado “hashing”, que se encarga de convertir esta contraseña en una cadena de caracteres, usando algoritmos de encriptación.
Lo que ocurre cuando creamos o usamos una contraseña es básicamente un proceso como el siguiente:
1. Se crea una contraseña.
2. La contraseña que se crea se convierte a una cadena de caracteres, letras y números, y se almacena en una base de datos.
3. Cuando el usuario ingresa la contraseña para autenticarse en un equipo o sitio web, se genera nuevamente una cadena de caracteres usando un algoritmo de encriptación.
4. El servidor se encarga de verificar que la nueva cadena de caracteres generados sea exactamente la misma cadena que se encuentra almacenada en la base de datos.
5. Si las cadenas coinciden, se permite el acceso al equipo o aplicación.
Consejos para crear contraseñas seguras
La dificultad para recordar contraseñas, sobre todo si queremos que sean realmente contraseñas seguras, es algo que nos pasa a casi todos. Para evitar riesgos a causa de una mala gestión de contraseñas, las contraseñas que usemos tienen que tener las siguientes características:
- La longitud mínima recomendable de una contraseña es de 8 caracteres.
- Estos 8 caracteres tienen que incluir mayúsculas, minúsculas, números y caracteres especiales, como por ejemplo * ( # @, etc.
- Deben ser impersonales. No tenemos que usar nunca contraseñas como el cumpleaños de una persona, números de teléfono, el número de nuestro DNI, etc.
- Hay que evitar utilizar secuencias básicas de teclado, por ejemplo: ”qwerty”, “asdf” o las típicas en numeración: “1234” ó “98765”
- Debemos cambiar frecuentemente la contraseña, en función de la antigüedad. Esto es importante para mantener la seguridad de nuestros datos.
- No tenemos que repetir la misma contraseña para distintos servicios, usaremos contraseñas diferentes. Si un atacante se hace con la contraseña de un servicio, lo primero que hará será usar esa contraseña para intentar acceder al resto de nuestro servicios.
Pero ¿cómo gestionar gran cantidad de contraseñas diferentes? Para ello usaremos un gestor de contraseñas, que es una aplicación para almacenar contraseñas en una base de datos cifrada, protegida con una contraseña maestra.
Usar contraseñas seguras no significa que no podamos ser víctimas de un ataque
Aunque sigamos los consejos mencionados en este artículo no estaremos totalmente seguros. Las contraseñas se almacenan en un sistema de control de acceso. Si alguien consigue acceder al sistema de control de acceso puede llegar a descargase su base de datos y por tanto obtener las contraseñas de miles de usuarios.
Por esta razón, es muy importante que el sistema de control de acceso sea seguro, para ello:
- Los administradores del sistema de control de acceso deben cifrar las contraseñas de los usuarios mediante funciones hash. De este modo, si un atacante consigue robar la base de datos que contiene las claves únicamente obtendrá un hash.
- Hay que bloquear a los usuarios o IPs que cometan demasiados errores en la introducción de una contraseña.
- Es recomendable que los sistemas de control de acceso implementen sistemas de doble autenticación. Se trata de una metodología de autenticación que, además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor que podría ser un código de seguridad o un dato biométrico.
A parte de securizar el control de accesos también podemos ser víctimas de otro tipo de ataques. Por ejemplo ataques de phishing mediante ingeniería social. Por tanto, siempre tenemos que estar atentos de no estar en una página fraudulenta en el momento de introducir nuestra contraseña.
Algunas de las técnicas más utilizadas por ciberatacantes frente a contraseñas no seguras son:
- Ataques de fuerza bruta. Los atacantes prueban millones de combinaciones de contraseñas básicas, en cuestión de segundos hasta que dan con la indicada y logran acceder a los medios internos de una compañía.
- Ataques por diccionario. El atacante trata de adivinar las contraseñas con base en palabras de un diccionario en cualquier idioma.
- Ataques a contraseñas con Ingeniería Social. Son ataques conocidos como phishing, e implican engañar a las personas para que revelen información que puede utilizarse para conseguir acceso.
Consecuencias del robo de nuestras contraseñas
Algunos de los objetivos del robo de contraseñas apropiándose de información sensible para el usuario, son con el fin de realizar otras acciones dañinas o delictivas, como borrado de información, chantaje, espionaje industrial o finalidad económica.
Las consecuencias son diversas y varían según el valor que cada usuario haya establecido para la información. En el ámbito laboral, las consecuencias pueden llegar a ser catastróficas si un atacante suplanta nuestra identidad utilizando nuestro usuario y contraseña. Podría acceder a los sistemas corporativos de la organización con nuestro usuario y robar todo tipo de información del empleado y/o la empresa, o bien podría modificar o incluso eliminar archivos. Esto podría llegar a tener consecuencias económicas, de responsabilidad jurídica y pérdida de la imagen de la organización.
Si quieres conocer el estado de ciberseguridad de tu empresa, en CiberTRS te podemos ayudar con nuestras auditorías de ciberseguridad.