Contraseñas: las nuevas directrices de la Agencia para la Ciberseguridad Nacional italiana y la Autoridad garante para la protección de los datos personales.
De niños, al jugar, usábamos «palabras secretas» que imitaban escenas de películas o evocaban cuentos de hadas de lugares a los que solo unos pocos elegidos podían acceder.
Nos formulaban la pregunta con la altivez y la presunción de quien se siente privilegiado, y las pronunciábamos con cierta excitación porque sabíamos que si no nos equivocábamos, se abriría una puerta que nos permitiría entrar en un espacio prohibido. En un mundo de unos pocos elegidos, mientras todos los demás se quedaban fuera.
Una verdadera palabra mágica.
Era una versión antigua y simplificada de las contraseñas que todos conocemos hoy en día y que nos permiten acceder a nuestras realidades 2.0, en las que estamos inmersos a diario. Lugares prohibidos a todos los extraños y de los que solo nosotros (y muy pocos más) conocemos la clave de acceso.
El problema es que este «juego» al que nos vemos constantemente abocados nos obliga a inventar y recordar, según algunas investigaciones, una media de 70-80 contraseñas para acceder a todos nuestros dispositivos, programas, aplicaciones, zonas restringidas de sitios web y todo aquello que se ha vuelto indispensable en nuestras vidas. Por tanto, para eludir este esfuerzo constante de creatividad y memoria, a menudo probamos atajos: utilizamos contraseñas muy sencillas como secuencias de números, nombres y fechas de nacimiento de hijos, parejas, familiares varios, mascotas… o utilizamos la misma contraseña para todos los inicios de sesión que necesitamos o bien escribimos las contraseñas en trozos de papel que luego dejamos a la vista.
En resumen, aunque las contraseñas resulten tan valiosas como la combinación de la caja fuerte, puesto que albergan en su interior nuestras posesiones más preciadas, seguimos sin darles la debida importancia y tratarlas con la debida consideración. Por otro lado, según los datos, el 50 % de los ataques cibernéticos implican credenciales de acceso robadas, ya que se almacenan en bases de datos no protegidas adecuadamente con funciones criptográficas.
Además, parece que el teletrabajo ha agravado enormemente el problema. Según un estudio reciente de 2022, el 62 % de los empleados comparten contraseñas a través de mensajes o correos electrónicos.
El mismo estudio presenta estadísticas alarmantes sobre la falta de cuidado con las contraseñas, como el hecho de que el 57 % de los encuestados admitiera haber escrito contraseñas de internet relacionadas con el trabajo en «notas adhesivas» y, de ellos, el 67 % declarase haber perdido esas notas.
Los datos robados se utilizan para entrar ilegalmente en sitios de entretenimiento (35,6 %), redes sociales (21,9 %) y portales de comercio electrónico (21,2 %).
En otros casos, permiten acceder a foros y sitios web de servicios de pago (18,8 %) y financieros (1,3 %).
Por todas estas razones, la Agencia para la Ciberseguridad Nacional italiana y la Autoridad garante para la protección de los datos personales han desarrollado directrices específicas sobre el almacenamiento de contraseñas, al proporcionar información importante sobre las medidas técnicas que deben adoptarse.
Las directrices están dirigidas a todas las empresas y administraciones que, en calidad de responsables o encargados del tratamiento, conservan en sus sistemas las contraseñas de sus usuarios, pertenecientes a un gran número de interesados (por ejemplo, gestores de la identidad digital Spid o CieID, gestores de correo electrónico certificado, gestores de servicios de correo electrónico, bancos, seguros, operadores telefónicos, estructuras sanitarias), a sujetos que acceden a bases de datos de especial relevancia o dimensiones (por ejemplo, empleados de las administraciones públicas) o a tipos de usuarios que habitualmente tratan datos sensibles o judiciales (por ejemplo, profesionales sanitarios, abogados, magistrados).
Se trata de una medida importante porque subraya de nuevo la necesidad de no subestimar el papel estratégico de las contraseñas.
Sin embargo, ni siquiera el cumplimiento de las nuevas directrices garantiza que uno esté a salvo de los riesgos de los ciberataques, ya que la distracción siempre está a la vuelta de la esquina y el factor de mayor riesgo sigue siendo el ser humano. Por lo tanto, es crucial no bajar la guardia ante nuestras acciones en línea y mantener un alto nivel de seguridad en todo momento, tanto en nuestra vida privada como en las empresas u organizaciones en las que trabajamos.
Por eso, además de tener muy en cuenta las nuevas directrices emitidas por las instituciones, la mejor defensa sigue siendo recibir una formación adecuada adaptada al nivel de preparación de cada persona que, además de los conocimientos teóricos, prevea ejercicios y entrenamientos continuos, para poner en práctica los conocimientos adquiridos.
Los caminos que nos ofrece la red son cada vez más peligrosos, y cuando decidimos recorrerlos (lo que hoy en día ocurre prácticamente siempre) debemos estar seguros de que estamos debidamente protegidos y preparados para detectar y repeler cualquier ataque.
Las directrices, que actualmente se publican en el Boletín Oficial del Estado italiano, están disponibles en los sitios web www.gpdp.it y www.acn.gov.it.