A fondo: Recomendaciones básicas en el Día Mundial de las Contraseñas

Los entornos de trabajo se han transformado durante el último año a raíz de la pandemia de coronavirus y las medidas de distanciamiento social impuestas para controlar la expansión de la enfermedad. Muchos profesionales se quedan en casa y, desde ahí, realizan sus tareas.

Esto amplía la superficie de ataque, porque el trabajo en remoto implica el uso de dispositivos que antes no estaban conectados a la red corporativa y de más aplicaciones que permiten comunicarse, colaborar y, en definitiva, trabajar sin perder eficiencia.

A su vez, la incorporación de nuevas herramientas corporativas obliga a recordar un gran número de contraseñas. Aunque lo ideal es utilizar contraseñas únicas, una para cada servicio, aplicación y dispositivo, lo cierto es que no resulta fácil recordar diferentes combinaciones. Y esto acaba derivando en malas prácticas.

Un informe de CyberArk desvela que el 84 % de los teletrabajadores ha reutilizado sus contraseñas. Y un estudio de Nuance sobre lo que ocurre en España confirma que el 44 % de los usuarios las olvida y al final tiene que resetearlas. Además, un tercio recibe notificaciones cada trimestre acerca de que sus contraseñas se han visto comprometidas.

Como cada año, este primer jueves de mayo, se celebra el Día Mundial de la Contraseña, que invita a reflexionar sobre la situación, hoy más importante si cabe por la extensión del teletrabajo. Existe la falsa creencia de que los ciberdelincuentes sólo atacan a personas o empresas de interés, cuando muchos ataques no están discriminando entre sus víctimas.

Teniendo en cuenta que las contraseñas siguen siendo el método de protección generalizado para controlar el acceso a servicios personales y profesionales y mantener a salvo datos sensibles, es crucial conocer el riesgo asociado a un mal uso de las mismas. Y también resulta básico conocer cuáles son las principales tácticas en las que confían los criminales para hacerse con contraseñas que no les pertenecen.

Ataque y contrataque

Check Point Software determina que el phishing, con correos que suplantan la identidad de remitentes de confianza, los ataques de fuerza bruta, que aciertan con las combinaciones ideadas por los usuarios a base de ensayo y error, y los keyloggers, programas de malware capaces de registrar lo que se teclea y lo que se ve en pantalla, son las vías de ataque más frecuentes.

Para neutralizar sus efectos, se recomienda habilitar la autenticación de dos pasos, que requiere de un segundo factor como un código enviado al móvil, y crear contraseñas complicadas, libres de nombres familiares, fechas y palabras comunes, y únicas, para que no se produzca un efecto dominó si un tercero descubre cómo acceder a una de las cuentas.

Todos los expertos insisten en estas medidas como pilares fundamentales de seguridad. Una contraseña adecuada es aquella que mezcla letras mayúsculas y minúscula con números y caracteres extendidos y se aleja de recursos como el “123456”, fáciles de escribir, de recordar… y de adivinar. Y, si hay dudas sobre cómo proceder, siempre se puede recurrir a un generador de contraseñas para aplicar combinaciones especiales a cada servicio.

“A la hora de garantizar el máximo nivel de ciberseguridad, es igual de relevante contar con las tecnologías más avanzadas como prevenir riesgos como el robo de contraseñas”, comenta Eusebio Nieva, director técnico de Check Point para España y Portugal.

“Este riesgo puede remediarse fácilmente configurando combinaciones variadas y robustas de ocho caracteres” como mínimo. “De esta forma”, dice Nieva, “los cibercriminales tendrán mucho más difícil adueñarse de las claves y garantizaremos el más alto nivel de seguridad en nuestros equipos”.

Avast recomienda descarga un gestor para administrar las decenas o cientos de credenciales complejas que puede llegar a acumular un usuario. Esta compañía de seguridad también recuerda que, si una contraseña se ha filtrado, hay que cambiarla lo antes posible para evitar robos de información confidencial. Para certificar si los hackers se han hecho con ella, se puede usar la página web Have I Been Pwned.

Mientras, devolo subraya que es igual de importante blindar el acceso al administrador de contraseñas con su propia contraseña compleja. Otras pautas serían instalar en los dispositivos sistemas de protección y no cambiar continuamente de contraseña si el reemplazo va a ser una combinación más fácil de descifrar que la anterior.

A mayores, CyberArk propone abordar el riesgo de las cuentas de administrador local. Las credenciales con privilegios permiten a los ciberdelincuentes moverse lateralmente y hacerse incluso con propiedad intelectual de la empresa. Por ello, cabría plantear la posibilidad de eliminar los privilegios de administrador de los equipos de usuarios finales.

La alternativa de la biometría

“El Día Mundial de la Contraseña está para recordarnos que los PIN y las contraseñas son una herramienta arcaica que ya no funciona”, opina Brett Beranek, vicepresidente y director general de la unidad de negocio de seguridad y biometría en Nuance Communications.

“Las contraseñas se venden en la dark web al mejor postor, se explotan para actividades fraudulentas e incluso han costado a algunas personas grandes sumas de por olvidarse las contraseñas con las que guardaban sus criptomonedas”, relata. “Está claro que este tema es un verdadero problema para la población”.

Para Beranek “ya es hora de que los PINs y las contraseñas pasen a la historia, y que tecnologías como la biometría se desplieguen de forma amplia y general con el fin de ejercer una protección sólida a los clientes”, reconociendo “a las personas de forma inmediata basándose en sus características únicas” y no “en la memoria” y  otras cuestiones más “propensas a ser explotadas por los estafadores, proporcionando, así, tranquilidad, y seguridad a los usuarios finales”.