¿Por qué es importante el uso de contraseñas seguras? Tal vez, mucha gente no sabe que la contraseña es tu firma digital, al igual que la firma autógrafa, es un identificador único de la persona.
Uno de los principales errores al momento de crear una contraseña es utilizar información personal como nombres, fechas importantes, direcciones, etcétera. Otro error común es usar la misma contraseña para todo como nuestra firma. ¿Y qué tiene de malo usar la misma contraseña para todo? El problema es que si alguien llegara a hackear tu contraseña en algún lugar, tendría acceso a todas tus cuentas donde tengas la misma contraseña.
Para muchos es muy complicado recordar una contraseña compleja, ahora más si tenemos que poner una diferente para cada aplicación, portal web, rede social, dispositivos móviles, cuentas bancarias, etcétera. Incluso, la práctica de usar la misma contraseña para todo o con poca complejidad, no es exclusiva de personas que no conocen de seguridad, por mi profesión, me ha tocado conocer los passwords que personal del área de seguridad utiliza y en su mayoría son contraseña con un nivel de complejidad muy básico o nulo, por ejemplo, usar el nombre de la compañía y un año o también, el nombre del área o departamento.
La pandemia aumentó el uso de plataformas electrónicas y la creación de cuentas y contraseñas, lo cual incrementó el robo de identidad. Hoy la identidad se considera el nuevo perímetro de las empresas, debido a que, los usuarios se convirtieron en remotos y el perímetro que se encontraba controlado se volvió deficiente. El usuario remoto se volvió una potencial carnada para los atacantes, ya que desde sus casas no contaban con toda la seguridad necesaria.
Hoy en día, si una empresa no cuenta con una tecnología para la gestión de identidades, corre el riesgo de ser atacada o infectada por ransomware. Algunas estadísticas de estudios relacionados con el robo de contraseñas e identidades lo demuestran:
De acuerdo con el Informe de Análisis de Seguridad y Uso de Gestores de Contraseñas de UBA:“El 69% usuarios usan la misma contraseña para más de un servicio”, además de que el “82% de los usuarios admitió haber olvidado su contraseña” y el “el 51 % de los encuestados no cambia sus contraseñas o lo hace solo cuando el sistema se lo pide”.
Forrester por su parte, destaca que el “80% de las brechas de seguridad involucra robo o mal uso de credenciales privilegiadas” y “87% de las organizaciones no han eliminado privilegios de administración local en las cuentas de los usuarios”, según CyberArk Threat Landscape Survey, febrero de 2019.
Buenas prácticas para el uso de contraseñas seguras:
- Evitar las combinaciones obvias: nunca uses como contraseña una palabra que aparezca en el diccionario, puedes utilizar una palabra conocida, pero cambiando letras por número o caracteres especiales. Evita también combinaciones de letras y números que estén consecutivos como por ejemplo “6789” o “qwerty”.
- Usa números, símbolos y letras mayúsculas y minúsculas: utiliza números, letras tanto mayúsculas como minúsculas y al menos 1 carácter “raro” como es el punto (.), el guion (-), arroba (@) y por qué no, hasta el espacio ( ). Esto reduce exponencialmente adivinar una contraseña.
- Utilizar gestores de contraseñas: se cuenta con herramientas para gestionar nuestras contraseñas, existen gestores gratis y de paga, cualquiera de los dos es seguro. La diferencia son las funcionalidades con las que cuentan. Los gestores que yo recomiendo, y uso, son KeePass y PasswordSafe, los dos son de licencia gratuita y de uso personal. La mayoría de los gestores generan contraseñas aleatorias y esto ayuda a no tener que crear una contraseña de forma manual, solamente guardarla y cuando se requiere sacarla del gestor.
- Prohibido utilizar palabras del diccionario: podemos pensar que utilizar una palabra poco conocida es seguro, pero la mayoría de las herramientas que utilizan los hackers tienen cargadas miles de palabras de los diccionarios en diferentes idiomas, por lo cual, el que sea poco conocida, o no, es irrelevante.
- Nunca dejar contraseñas de forma visible: es primordial no dejar las contraseñas en notas, archivos de texto, dispositivos móviles o en algún lugar visible. Otra mala práctica, es utilizar una hoja de cálculo para guardar nuestras contraseñas, aún y cuando esté protegida, ya a que este tipo de archivos en muy fácil y sencillo eliminar la contraseña.
- Cámbialas de forma periódica: sobre todo en las cuentas donde tenemos información sensible, el tiempo máximo de vida de una contraseña se considera 90 días, sin embargo, yo recomendaría que al menos cada 45 días hacer el cambio.
- No reutilices contraseñas: repetir contraseña eleva el riesgo y si nuestra cuenta es un correo electrónico, el atacante intentará en varios servicios y plataformas acceder con el mismo correo y contraseña.
- Habilitar un doble o multifactor de autenticación: En todas las aplicaciones o plataformas que lo permitan, hay que habilitar la autenticación de segundo o multifactor, con el uso de los dispositivos móviles se puede contar con aplicaciones de factores de autenticación. Si un atacante llegara a tener el usuario y contraseña, deberá de superar al menos una barrera adicional que es el segundo factor de autenticación, pueden ser dinámicos o biométricos.
- No utilizar redes Wifi-públicas: Es importante evitar al máximo utilizar redes Wifi-públicas, ya que es muy fácil para un atacante escuchar todo lo que pasa por esas redes, realmente es muy sencillo tanto que hay hasta videos en YouTube que dicen cómo hacerlo. Pero si por algún motivo tienes que usarla, nunca la uses para acceder a un portal bancario, acceder a las aplicaciones de tu trabajo o personales, transferir archivos sensibles.
- No compartas tus contraseñas: parece una recomendación evidente, pero es otro grave error muy común, y si por algún motivo tienes que compartirla, tienes que cambiarla inmediatamente después de que ya no la usen. Recuerda que tu contraseña es como tu firma, y al dársela a alguien, es como si le estuvieras firmando un cheque en blanco o firmándole un poder para que haga cualquier trámite en tu nombre.
En la siguiente tabla se puede ver el tiempo que le toma a un atacante crackear una contraseña.
Las contraseñas más usadas, si usas alguna de estas, te recomiendo cambiarla de inmediato.
La contraseña es la punta del iceberg ya que si no cuidamos nuestras contraseñas se comprometen nuestras identidades, pero no solo las personales, si no también, las de nuestra empresa o negocio. Y hoy en día la identidad se ha vuelto el nuevo perímetro, debido a que, ya no es suficiente proteger a la empresa, ahora con todos estos cambios y movilidad, hay que proteger a la identidad del usuario y los datos.
Por tal motivo, es importante atender a las recomendaciones mencionadas y algunos tips para generar contraseñas robustas son los siguientes:
- Puedes utilizar una frase que sea fácil de recordar, pero que la contraseña esté conformada solo con la letra inicial de cada palabra. Ejemplo: Toma 8 vasos de agua todos los días – T8vdAtld.
- Puedes cambiar letras por número o símbolos, por ejemplo, la A por el 4 o la @, la G por el 6, la S por $ o por 5, la i por ¡.
- Puedes utilizar espacio en la contraseña o también la letra ñ, que no se tienen en muchos teclados.
- Intercambia minúsculas por mayúsculas sin algún orden.
Si quieres saber más de cómo mantener a tu empresa protegida, del buen uso de contraseñas, de gestión de secretos y de seguridad de información escríbenos a [email protected].