Contraseñas: la primera línea de defensa de la ciberseguridad

El día 4 de mayo se celebra el Día Mundial de la contraseña. Cuando hablamos de ciberseguridad, los empleados son el eslabón más importante de la empresa y, las contraseñas con las que operan son la primera línea de defensa contra los accesos no autorizados.

Mediante diversos métodos, los atacantes tratan de hacerse con nuestras credenciales constantemente, por tanto, la labor de cualquier organización es dificultar esta tarea. Para ello, hay una serie de pautas que deben seguirse a la hora de escoger nuestras contraseñas:

• Debe contener más de 10 dígitos.
• Debe contener mayúsculas, minúsculas, números y símbolos.
• Debe ser única.
• Debe cambiarse regularmente.

Y, de la misma forma, hay una serie de prácticas que son totalmente desaconsejables:

• Emplear información personal.
• Seguir patrones sencillos.
• Escoger expresiones hechas.
• Apuntar las contraseñas en notas.
• Reciclar las contraseñas.

Sin embargo, estas son pautas genéricas, ya que cada empresa debe desarrollar su propia política de contraseñas en base a sus necesidades. En dicha política se concretarán elementos como la propia gestión de las contraseñas, el uso de herramientas para garantizar la seguridad de las mismas, el empleo de técnicas de autenticación externas…

Recordar las contraseñas es una tarea que se puede complicar si empezamos a acumular claves que empleamos en nuestro día a día, afortunadamente, muchas empresas contemplan en sus políticas el uso de gestores de contraseñas para facilitar dicha labor a sus empleados.

Estas herramientas permiten ir agregando contraseñas de diferentes servicios bajo una contraseña maestra, la cual permite el acceso a todo ese listado de credenciales. Por tanto, cada vez que queramos recordar una contraseña bastará con introducir esa contraseña general (la cual debe ser especialmente sólida) en el gestor de contraseñas.

Otro recurso que es imprescindible tener en cuenta para elaborar una robusta política de contraseñas es el factor de autenticación doble o múltiple. Este elemento aporta una segunda capa de seguridad, haciendo que la contraseña deba ser verificada, obligatoriamente, mediante dos o más métodos diferentes.

Implementar este mecanismo para reforzar la seguridad de las contraseñas en una empresa comprende el empleo de tokens (generadores de claves) físicos o virtuales, sistemas biométricos como huellas dactilares, y/o, de manera más asequible, software específico para ello.

Optar por alguna de estas alternativas será, en cualquier caso, una práctica eficaz para dificultar la tarea a unos atacantes, que, si bien se hicieran con alguna contraseña sensible para la empresa, no podrían operar con la misma debido a que no cuentan con el resto de los factores de autenticación.

Cómo atacan las contraseñas de nuestra empresa

Existen multitud de formas mediante las cuales los atacantes tratan de hacerse con las credenciales de las empresas. Como primera línea, es importante prestar especial atención a aquellas amenazas que implican un factor humano, es decir, las derivadas de las técnicas de Ingeniería Social.

En dichas amenazas, en las cuales existe una manipulación previa mediante la cual se pretende obtener contraseñas sensibles, entra en juego la concienciación de todos los empleados de la empresa.

Ya sea a través de suplantaciones de identidad en correos de phishing, mediante accesos físicos no autorizados a las instalaciones de la organización, etc. Los atacantes, a menudo, tratan de obtener las contraseñas haciendo que los empleados faciliten su tarea, lo cual se puede combatir mediante formación y concienciación continua en ciberseguridad.

De esta forma, se pueden prevenir intrusiones tan evitables como el shoulder surfing, técnica conocida como “Mirar por encima del hombro”. Si se conciencia a los empleados de que el entorno que les rodea es igual de importante que actuar de manera precavida al operar en línea, se contribuirá a generar espacios seguros dentro y fuera de la empresa.

Por otro lado, existen multitud de amenazas técnicas a las que los miembros del Departamento de Ciberseguridad de cada empresa deben hacer frente, teniéndolas en consideración a la hora de establecer políticas de prevención, mitigación y /o recuperación.

Ataques como el keylogger, el cual es un software espía que recoge las pulsaciones que se hacen en el teclado; los ataques de fuerza bruta, mediante los cuales los atacantes prueban multitud de combinaciones hasta dar con la correcta; o los ataques de Man in the middle, con los que los atacantes tratan de interceptar el tráfico de red para obtener contraseñas, son solo ejemplos de los numerosos tipos de amenazas que los responsables de ciberseguridad de la empresa deben tener en cuenta a la hora de asegurar las contraseñas.

A modo de conclusión, podemos afirmar lo siguiente:

• La clave para proteger las contraseñas de una organización reside en establecer una política de contraseñas sólida y que contemple todos los factores y elementos que atañen a la misma.
• Invertir en mejores herramientas/dispositivos para el factor de autenticación doble o múltiple asegura una protección más eficaz.
• Gran cantidad de los ataques que se llevan a cabo hacia las contraseñas de nuestras empresas son evitables mediante formación y concienciación.
• De la misma forma que la ciberseguridad es responsabilidad de todos en la empresa, es crucial tener un Departamento de Ciberseguridad o unos especialistas dedicados a ello.

En Memorándum tenemos una amplia experiencia en ciberseguridad, cuenta con nosotros para proteger a tu empresa y formar a empleados sobre seguridad en red.