Contraseñas: la puerta blindada para proteger los datos

Security Awareness
26 abril 2023
Password: la porta blindata a protezione dei dati

Aprendamos a mantener su fortaleza

Además de hacer que el mundo sea menos misterioso y más pequeño, la tecnología nos ha hecho la vida más fácil y menos cansada. Pero, como dicen los sabios, nada es gratis y, por una extraña ley de compensación, si hay un beneficio siempre hay algo que perder o, al menos, un riesgo.

Así, si bien es cierto que con un clic basta para realizar prácticamente cualquier acción o para acceder a una gran cantidad de conocimiento, también lo es que cada clic que hacemos deja una huella que puede permitir a otra persona identificarnos, rastrearnos, saber mucho de nosotros y, sobre todo, infiltrarse en nuestras vidas. En resumen, en la era de internet, vivir de incógnito se ha convertido en un lujo que pocos se pueden permitir.

Los datos digitalizados en nuestros dispositivos, ya sean personales o profesionales, representan una extensión digital de nuestra persona o de la empresa para la que trabajamos y se convierten en nuestra huella digital. Una identidad real que hay que salvaguardar y proteger para evitar que alguien nos la robe y la utilice para hacer cosas que no queremos que pasen. Entre ellas, sin duda, está moverse por las redes de la empresa sin ser detectado. Lo cual es una actividad muy popular entre los «hackers» que consiguen camuflarse como un empleado tras acceder a sus credenciales. Por este motivo, la seguridad de las identidades se ha convertido en una de las prioridades de los directores de seguridad de la información.

Pero los robos de identidad pueden tener muchas otras consecuencias graves, como la creación de perfiles falsos, vulneraciones de la intimidad o manipulación y alteración de datos. En el caso de las empresas, además de los mencionados anteriormente, se puede añadir el robo de datos para pedir un rescate, es decir, con ánimo de lucro o con fines de competencia desleal. En resumen, los ataques de «phishing» tienen como objetivo robar o explotar identidades digitales y pueden provocar graves pérdidas para usuarios y proveedores e incluso impedir que los clientes utilicen los servicios en línea. Y todo esto sucede siempre por errores humanos, distracciones o subestimaciones de riesgos.

La última edición de 2022 del Data Breach Investigations Report (la decimoquinta) puso de relieve que, de hecho, la mayoría de las vulneraciones de datos se produjeron por personas que «colaboraron» en el ataque de forma inconsciente y descuidada. Prácticamente dejaron la puerta de la casa abierta.

De hecho, entre los errores humanos que permiten a los «hackers» robar o dañar identidades, está sin duda el de no tener el suficiente cuidado con las contraseñas y credenciales de inicio de sesión, así como usarlas de forma incorrecta.

Es cierto que todos tenemos muchísimas contraseñas y credenciales; según los datos, una persona media tiene unas 70. Recordarlas todas es un gran problema.

Por ello, muchas veces sucumbimos a la pereza de usar siempre las mismas o elegimos unas fáciles para recordarlas más fácilmente. Un error muy común, pero que nunca se debe cometer.

Ciertas estadísticas alarmantes muestran hasta qué punto se ha deteriorado la situación de la seguridad de las contraseñas en los últimos años:

  • Los ciberdelincuentes vulneraron 1700 millones de credenciales de inicio de sesión (incluidas contraseñas) en 2021 (encuesta de Spycloud).
  • La contraseña no cifrada más utilizada es «password» (encuesta de Spycloud).
  • El 45 % de los usuarios no cambia sus contraseñas tras una vulneración (estudio de LastPass).
  • El 60 % de los usuarios reutiliza contraseñas (encuesta de Spycloud).
  • El 84 % utiliza la misma contraseña para varias cuentas (encuesta de Bitwarden).
  • El error humano, que incluye compartir contraseñas y usar contraseñas débiles, está detrás del 95 % de los ciberataques, según la encuesta «IBM Threat Intelligence».

Estos datos dan una buena idea de lo importante que es, para luchar contra la ciberdelincuencia y proteger nuestros datos, mantener contraseñas fuertes y seguras, lo que equivale a tener una puerta de seguridad robusta para proteger nuestra casa y asegurarnos de cerrarla siempre bien.

Aquí presentamos algunos de los errores más comunes en el uso de las contraseñas y las correspondientes sugerencias para solucionarlos.

No compartirlas
Según una encuesta realizada por Yubico y Ponemon, el 49 % de los responsables de seguridad informática y el 51 % de los empleados comparten contraseñas con sus compañeros para acceder a las cuentas de la empresa. Siempre es una buena práctica no hacerlo.

No utilizar la misma contraseña para varias cuentas
Un 60 % de los empleados admite reutilizar contraseñas para varias cuentas. La dificultad de recordarlas todas puede evitarse con un gestor de contraseñas.

No dejar la contraseña escrita en nuestro escritorio
A menudo, por comodidad, se escribe la contraseña en un trozo de papel y se deja a la vista, lo que permite a cualquier persona copiarla. Si, además, el empleado utiliza la misma contraseña para muchas cuentas, se expone a múltiples vulneraciones.

No proporcionar nunca las contraseñas, incluso si se piden
Los estafadores suelen inducir a los empleados, mediante ingeniería social, a facilitar información personal, incluidas las contraseñas. Hay que tener cuidado de no caer en la trampa.

Hacer que las contraseñas sean difíciles de adivinar
La contraseña más común es 123456. Una elección que hace fácil el trabajo de los ciberdelincuentes. En una empresa conviene fomentar el uso de contraseñas más complejas.

Cambiar las contraseñas en caso de duda
Las políticas de seguridad deben garantizar que los empleados cambien las contraseñas si creen que han sido víctimas de «phishing».

Hacer difíciles las preguntas para recuperar una contraseña
La recuperación de contraseñas suele ser un objetivo de los ciberdelincuentes; los métodos utilizados para recuperar contraseñas requieren que los usuarios introduzcan datos como el nombre de soltera de su madre, información que los estafadores encuentran fácilmente. Por lo tanto, es necesario contar con un sistema de recuperación de contraseñas robusto.

No perder las contraseñas debido a conexiones inseguras
Las contraseñas pueden ser objeto de robo si se utiliza una conexión no segura a internet, como suelen ser las públicas. En estos casos, es mejor utilizar un sitio que ofrezca mayores garantías de seguridad, por ejemplo «https» o una VPN.

No usar palabras comunes en una contraseña
El uso de palabras comunes en la creación de contraseñas es aprovechado por los «hackers», que utilizan programas maliciosos para intentar entrar en una cuenta utilizando contraseñas y palabras comunes.

Estos consejos, aunque parezcan triviales, son en realidad muy complejos y requieren de una formación y preparación específicas para asimilarlos e interiorizarlos. Especialmente en una empresa u organización, donde hay mucho en juego, como también son muchas las posibilidades de cometer errores, ya no se puede prescindir de una formación específica sobre estos aspectos. Si partimos del hecho constatado de que siempre hay un error humano en el origen del ataque, es sobre todo en este punto en el que hay que intervenir de forma preventiva. De hecho, la verdadera barrera de protección son unos empleados adecuadamente formados y continuamente actualizados. Una puerta blindada para proteger a la empresa que pondrá las cosas muy difíciles a los «hackers».

Suscríbete al boletín

Artículos relacionados