NoticiasSeguridad

Dia mundial de la contraseña: Cómo establecer una política fuerte de seguridad

Coincidiendo con el 5 de mayo, el día mundial de la contraseña, expertos de fibratel, Wallix, CyberArk, Sophos, Wallix, Nuance y Tanium exponen su punto de vista.

Según diferentes informes, durante el último año los ataques digitales, más en concreto los de ransomware, aumentaron un 150%, un tercio más que en 2020. Estos datos, demuestran que además del uso de estos mecanismos de defensa cada vez más sofisticados, los cuales son realmente eficientes, existen otros vectores más tradicionales, a los que muchas empresas no ponen el foco necesario. Uno de ellos hace referencia al uso de una correcta política de contraseñas, las cuales son muy efectivas a la hora de obstaculizar estos ataques

El uso de una contraseña compleja, que no sea utilizada por el usuario en ningún otro sitio y que sea cambiada con cierta periodicidad, se convierte en una de las barreras más importantes a la hora de intentar evitar un ciberataque.

“Aplicar las tecnologías de protección más avanzadas es totalmente necesario pero no debemos olvidar reforzar y mejorar las más básicas, como puede ser una contraseña. Combinar ambas acciones resulta en un escudo muy efectivo frente a la ciberdelincuencia”, explica Juan Francisco Moreda, responsable de la unidad de ciberseguridad de fibratel.

No perder de vista a los bots

Bryan Murphy, Senior Director, Consulting Services & Incident Response de CyberArk, pone el dedo en la llaga en el tema de los bots: “aunque las personas siguen siendo un objetivo lucrativo y relativamente sencillo (de media, un empleado tiene más de 30 identidades digitales, y más de la mitad de ellas cuenta con algún tipo de acceso sensible), los bots de software, esas pequeñas piezas de código que realizan tareas repetitivas, también son un objetivo principal”. 

De hecho, según el informe ‘CyberArk 2022 Identity Security Threat Landscape’, el 68% de los no humanos o bots tienen acceso a datos y activos confidenciales. Por otro lado, el informe también destaca que las identidades de las máquinas se han multiplicado por 45 y ahora superan a las identidades humanas, y que, mayoritariamente, sus credenciales no están siendo protegidas de forma adecuada, lo cual es un motivo más de preocupación. 

El 68% de los no humanos o bots tienen acceso a datos y activos confidenciales

Los atacantes persiguen específicamente a los bots porque saben que, en muchos casos, sus contraseñas no se están cambiando, que los bots, por lo general, tienen permisos excesivos, con más acceso de los que necesitan, y que no se monitorizan, ya que las identidades humanas son para detectar anomalías. Un bot comprometido permite a un atacante mantener el acceso y permanecer allí sin ser detectado. Incluso hoy en día, todavía existen bots que hacen copias de seguridad de todos los servidores o cuentas de administrador de dominios y, en algunos casos, dichos bots siguen utilizando contraseñas predeterminadas.

Lo mejor es usar un gestor de contraseñas

El principal problema de las contraseñas es que, si son difíciles de adivinar para los ciberdelincuentes, también son difíciles de recordar para los usuarios. Para evitar el mal hábito de elegir contraseñas demasiado fáciles, o repetir la misma contraseña una y otra vez, la mejor opción es utilizar un gestor de contraseñas. 

Según explica Paul Ducklin, investigador principal de Sophos: “Los gestores de contraseñas aportan ventajas a los usuarios ya que pueden inventar contraseñas extrañas y complejas automáticamente mezclando T0d0 T1p0! DE Ch*r@ct3res y recordarlas de forma segura. Otra de las ventajas es que estos administradores no recuerdan los sitios web por su apariencia, algo que los atacantes pueden copiar fácilmente, sino por la coincidencia con el nombre exacto del sitio web”.

Las páginas web falsas, conocidas como “webs de phishing” sueles ser muy parecidas a las reales e intentan engañar al usuario con un nombre web que contenga el dígito uno (1) en lugar de la letra "I", o el dígito cuatro (4) en lugar de la "A", trucos que no funcionan con un gestor de contraseñas.

Passwords triviales

Jorge Marcos, PEDM de Wallix Ibérica, advierte que las contraseñas que cumplen fuertes medidas de seguridad a menudo son vistas por los empleados como datos difíciles de recordar, así como un punto de acceso lento, que tienen que actualizar constantemente, y, que les requiere iniciar y salir de las sesiones de varias aplicaciones.

La lista de las contraseñas más utilizadas según NordPass, muestra cómo todavía hoy los usuarios utilizan claves de números correlativos, el mismo número repetido, la palabra “password” o el propio nombre de la persona con demasiada frecuencia lo que hace que sea demasiado fácil para cualquier ciberdelincuente adivinar el dato.

Ahora hay tecnologías disponibles que pueden ofrecer el cifrado de contraseñas, administradores de passwords que simplifican el proceso, y administradores que ayudan a almacenar y recordar estas claves. Además, las organizaciones también pueden tomar medidas para reforzar la seguridad de las contraseñas mediante la implementación de la gestión de acceso privilegiado. Utilizando este proceso, pueden garantizar que, incluso si se roba una contraseña, los hackers tengan un acceso limitado a la información confidencial, lo que ayuda a salvaguardar a la empresa y limitar los posibles daños.

Adiós a las contraseñas

En palabras de Chris Hallenbeck, CISO de Tanium en América:"Las contraseñas han sido la higiene cibernética básica 101 durante décadas, pero ya no son un método viable de seguridad en medio de los crecientes ataques actuales. Los hackers lanzan una media de 50 millones de ataques con contraseña cada día, unos 580 por segundo. Además, aproximadamente el 60% de las violaciones de datos se atribuyen a credenciales comprometidas”.

Las grandes empresas tecnológicas ya están abandonando las contraseñas (Microsoft, Google y Apple, entre otras) y adoptando soluciones de más alta tecnología como los inicios de sesión biométricos y el software de reconocimiento facial. Sin embargo, es probable que las contraseñas sigan existiendo durante un tiempo. Con el coste medio de una filtración de datos estimado en 4,2 millones de dólares, debemos seguir utilizándolas para evitar convertirnos en el objetivo de la próxima gran filtración.

“El uso proactivo de la gestión de contraseñas seguras y la autenticación multifactorial (MFA) siguen siendo las mejores prácticas, convirtiéndose en algo habitual para los consumidores, los empleados y las organizaciones por igual. La MFA protege eficazmente contra el ‘relleno de credenciales’, en el que los piratas informáticos reutilizan contraseñas robadas para lanzar ataques”, concluye el experto.

Por su parte, Oliver Cronk, Chief Architect EMEA en Tanium, aduce que "cuando alguien busca establecer una contraseña fuerte, suele elegir alrededor de 8 caracteres que contienen múltiples números, caracteres especiales y varias letras que son aleatorias. Sin embargo, esto puede hacer que los usuarios olviden sus contraseñas o las escriban en un lugar que otros las puedan ver. Esto deja a los usuarios expuestos a ser hackeados y expone a las empresas a que personas no verificadas se unan a la red”.

Aunque muchos organismos aconsejan utilizar la lógica de las tres palabras aleatorias a la hora de crear contraseñas, los nombres de mascotas predecibles y las fechas de nacimiento siguen siendo muy utilizados. Por tanto, se demuestra que aún queda trabajo por hacer en materia de higiene informática para ayudar a proteger tanto a las empresas como al público. Establecer unas ciberdefensas sólidas nunca ha sido tan esencial, sobre todo porque los hackers son cada vez más sofisticados.

La biometría se convierte como el gran aniquilador de las contraseñas. Hoy día, contar con estrategias eficaces de prevención del fraude ya no es una opción. Según un estudio global de Nuance, el 50% de los consumidores se sienten más cómodos utilizando la biometría para autenticarse al acceder a las cuentas que antes de la pandemia, mientras que el 38% identifican ahora las soluciones biométricas como su método de autenticación preferido.

Esto permitirá que las tecnologías modernas, como la biometría, se adopten cada vez más por las organizaciones con el fin de proteger sólidamente a los clientes.  La biometría autentifica a las personas de forma inmediata basándose en sus características únicas, eliminando la necesidad de recordar PINs, contraseñas y otras credenciales antiguas y propensas a ser explotadas por los defraudadores, lo que se traduce en tranquilidad y seguridad en los usuarios.

6 claves para una política de contraseñas segura y efectiva

  • Caducidad de las claves. Para favorecer el cambio de la contraseña entre los trabajadores, es importante establecer una caducidad de las mismas. Así, es aconsejable que cada 3 meses se renueven, impidiendo el acceso si esto no se produce. El trabajador simplemente recibirá una notificación del cambio de las claves y deberá establecer una nueva siguiendo los mismos criterios fijados en la política empresarial de contraseñas.
  • Longitud. Aunque es una medida sencilla y bastante globalizada, lo cierto es que la extensión de la contraseña es clave para la seguridad. No solo eso, la combinación de letras y números así como mayúsculas, minúsculas y signos como ‘&’ o ‘$’, es relevante para conseguir una clave fiable.
  • Crear un histórico de contraseñas. Al igual que es importante cambiar las contraseñas cada ciertos meses, hay que ser conscientes de que no se deben volver a utilizar las anteriores. En ese sentido, la empresa debe crear un histórico de claves que refleje las que cada trabajador ha utilizado anteriormente y le impida volver a usarla en un tiempo.
  • Diferentes contraseñas para diferentes accesos. Aunque se tiende a utilizar una misma contraseña para todos los accesos con el fin de no olvidarla, lo cierto es que esto puede ser contraproducente. Es necesario crear claves diferentes para cada ocasión y para evitar olvidos se pueden utilizar diferentes gestores de contraseñas donde almacenar cada una de ellas y consultarlas cuando sea necesario.
  • Gestores de contraseñas. La complejidad para recordar este tipo de contraseñas y la cantidad de claves utilizadas (una por cada acceso), hace que sea prácticamente imposible recordarlas todas. Este hecho hace casi obligatorio el uso de aplicaciones que gestionen nuestras contraseñas de una forma segura y permiten incluso la generación aleatoria de las mismas.
  • Uso de soluciones de PAM. Este tipo de soluciones permite realizar una correcta gestión de las cuentas privilegiadas de la empresa, proporcionando, además, una visibilidad total de las acciones realizadas con las mismas.

FUENTE: fibratel

Computing 815