Los riesgos para una organización por la gestión de las contraseñas

El depender de contraseñas para la seguridad se ha vuelto cada vez más problemático

Diseñar y recordar una contraseña compleja para cada cuenta y sitio web, donde un usuario deba autenticarse, es prácticamente imposible.

De esta forma, se corre el riesgo que los usuarios utilicen claves simples (o débiles, por la longitud, la forma en la que están construidas, …) y que las repitan en varios sitios.

Esto lleva a que éstas sean fácilmente descifradas por los hackers, que puedan tener acceso a información personal o profesional más o menos comprometida, que se apropien de las cuentas u otras formas de ciberataques.

¿Qué contraseñas son las más usadas?

Curiosamente, la palabra «contraseña» (password, en inglés) todavía se usa y según estudios realizados, es la clave más común en diferentes ámbitos empresariales y sectoriales. Otras claves utilizadas frecuentemente son “123456” (o una secuencia de números consecutivos según el nº de caracteres que deba tener la clave), el mismo nombre del usuario, “Hello”.

En el caso de utilizar claves de empresa, alrededor de un 20% era el nombre de la empresa o con alguna variación, del tipo “empresa + nº” o “empresa + año”.

Las contraseñas débiles son en realidad una de las principales vulnerabilidades que conducen a violaciones de datos.

Consejos para el uso de contraseñas seguras en la organización

Para conseguir poner en marcha y desarrollar una política de buenos hábitos en el uso de contraseñas, podríamos mencionar las siguientes pautas:

• Utilizar contraseñas complejas y actualizarlas periódicamente. Los expertos en seguridad coinciden en que una contraseña segura debe contener al menos 12 caracteres, letras mayúsculas y minúsculas, números y símbolos especiales.
• Evitar reutilizar las contraseñas en diferentes sitios y cuentas.
• Utilizar un administrador de contraseñas. Hacer malabares con una contraseña compleja diferente para cada cuenta es inviable sin ayuda. Adoptar un administrador de contraseñas dentro de la empresa proporcionará una forma segura de almacenar, compartir y administrar contraseñas en un solo lugar. Como norma general, podemos decir que un administrador de contraseñas será un almacenamiento más fiable y seguro que la propia cabeza de un individuo o que el autocompletado de su navegador. Sí hay que tener ciertas consideraciones como es configurar y memorizar una contraseña compleja para el gestor y habilitar la verificación en dos pasos. La verificación, no debería ser a través de mensajes de texto SMS, puesto que éstos son susceptibles de hackeo, deberían ofrecer esa segunda verificación a través de llaves de seguridad USB, que no pueden ser falsificadas por ataques de phishing».
• Utilizar autenticación multifactor (conocido como MFA, por sus siglas en inglés) o un inicio de sesión único. La autenticación multifactor requiere que proporcione dos o más factores de verificación para acceder a una cuenta o aplicación en línea. El principal beneficio de MFA es que mejora la seguridad de su organización al pedirles a los usuarios que se identifiquen por algo más que un nombre de usuario y una contraseña. Con el inicio de sesión único, es menos probable que los empleados vuelvan a prácticas incorrectas de contraseñas, como crear contraseñas comunes o escribirlas.
• Utilización de autenticación biométrica (reconocimiento facial, reconocimiento ocular, reconocimiento de huellas dactilares). Este tipo de autentificación se está convirtiendo en una solución robusta a los sistemas de autenticación multifactor puesto que es muy difícil para un atacante replicar el escaneo de huellas dactilares o de reconocimiento facial o del ojo de un individuo.
• Educar a los empleados. Los profesionales de TI y seguridad deben concienciar a sus compañeros de trabajo de la importancia de la seguridad de las contraseñas. Explicarles por qué mezclar su trabajo y sus cuentas personales puede ser peligroso. Evitar los malos hábitos de las contraseñas garantiza que la identidad personal de un empleado esté protegida y que los datos de la empresa estén protegidos en caso de una infracción.

En Tritón somos consultores de tecnología, especialistas en Ciberseguridad, si necesitas asesoramiento en tu empresa, no dudes en contactarnos.