La seguridad de las contraseñas es un componente fundamental de la ciberseguridad para las organizaciones. Esta guía ofrece consejos esenciales para crear y gestionar contraseñas seguras, incluido el uso de gestores de contraseñas y la autenticación multifactorial.
Obtenga información sobre las vulnerabilidades comunes de las contraseñas y las mejores prácticas para formar a los empleados en materia de seguridad de las contraseñas. Comprender la seguridad de las contraseñas es fundamental para proteger la información confidencial y evitar el acceso no autorizado.
La contraseña de un usuario es la llave que abre la puerta de su cuenta. Dependiendo del tipo de permisos que tenga esa cuenta de usuario una vez dentro del sistema, esa llave puede ser muy poderosa. Si tengo la contraseña de su banca online, puedo acceder a su cuenta y a todos los datos que contiene. Eso sería un fastidio para ti. Pero si consigo la contraseña del administrador del sistema del banco online a nivel de servidor, puedo acceder a tu información y a la de todos los demás usuarios. Así es como se producen un número sorprendente de violaciones de datos .
Lo que hace que una buena seguridad de contraseñas sea tan importante es lo siguiente: no es necesario ser un experto en tecnología para explotar la contraseña de alguien una vez que se tiene. Otros tipos de brechas de seguridad, ya sean puertas traseras, instalación remota de malware o la inyección de código malicioso en servidores web—requieren una buena dosis de conocimientos técnicos. ¿Pero una contraseña? Es la forma más fácil de acceder a datos que no te pertenecen. Por eso existe mercado de contraseñas en la web oscuraEl relleno de credenciales, el rociado de contraseñas y otros tipos de ataques basados en contraseñas a menudo pueden detenerse simplemente empleando una buena seguridad de contraseñas.
Recomendaciones de seguridad de contraseñas del NIST
El Instituto Nacional de Ciencia y Tecnología (NIST) ha estado estudiando el tema para aumentar la seguridad a nivel federal. Ha publicado un borrador de los cambios propuestos en las políticas de seguridad de contraseñas del país para proteger mejor el sistema del gobierno federal’s system. Una vez promulgadas, estas políticas solo afectarán a los usuarios que trabajen en cualquier entidad federal. Sin embargo, deben ser tomadas en serio por cualquier persona encargada de mantener la seguridad de su infraestructura informática (o cuentas personales).
Algunas de las recomendaciones contradicen la sabiduría convencional sobre la seguridad de las contraseñas:
1. Haga que sea más fácil para sus usuarios crear contraseñas que puedan recordar
No imponga restricciones en el formato de la contraseña. Cuando se exige el uso de al menos una letra mayúscula, un número o caracteres especiales, o se indica que la contraseña es demasiado larga, lo único que se consigue es frustrar a los usuarios, que buscarán soluciones más fáciles. Si John Smith decide que su contraseña sea "johnsmith", eso no es aceptable. Pero al exigir un formato específico, le estás animando a trabajar dentro de esas restricciones para crear algo como "J0hnsm1th", lo cual no es realmente mejor. Cualquiera que sea experto en descifrar/decodificar contraseñas puede descubrir rápidamente esta variación. En su lugar, dé a John más libertad para crear su contraseña. Fomente el uso de una frase más larga (ahora se recomienda un máximo de 64 caracteres, no 16) y asegúrese de que el sistema puede manejar cualquier carácter que se le introduzca, incluyendo no solo texto ASCII, sino también cualquier carácter Unicode, incluidos los emojis. Esto funciona mejor cuando se dispone de un diccionario de contraseñas malas conocidas que el sistema puede comprobar. Entonces, cuando el primer intento de John de crear una contraseña, "johnsmith", sea rechazado, podrá canalizar su frustración en algo mucho más seguro, como estos 49 caracteres: "Nuestro administrador del sistema es un fastidio ????". Claro, es inglés bastante sencillo, pero es más aleatorio que simplemente sustituir letras por números similares. Además, deja de dejar que las contraseñas caduquen y de obligar a los usuarios a cambiarlas. Cada vez que lo haces, es más probable que las contraseñas sean más fáciles de descifrar. Además, independientemente del tiempo de caducidad (30 días, 6 meses, 1 año), si has pasado tanto tiempo sin que te roben la contraseña, significa que estás haciendo algo bien. Nadie cambia las cerraduras de su casa cada año para tener más protección. Si nadie ha podido entrar en la casa, significa que tú sigues siendo el único que tiene la llave. Solo las cambias cuando sabes que alguien que no debería tener acceso ha conseguido tu llave. Lo mismo ocurre con las contraseñas. Llevamos tanto tiempo haciendo cosas como esta que parece contradictorio dejar de hacerlo. Pero, si lo piensas bien, lo que no tiene sentido es establecer pistas y mecanismos para obtener o restablecer una contraseña. El objetivo de una pista es facilitar la obtención de la respuesta. Imagina que entras en un banco donde sabes que Bill Gates tiene una cuenta e intentas sacar un millón de dólares. El cajero te pide tu identificación, que no tienes porque no eres Bill Gates. Pero en lugar de rechazarte, te pregunta: "Bueno, ¿cómo se llama la ciudad en la que naciste?". Esa es una información que es mucho más fácil de obtener y parece un método terrible para proteger los activos. Las contraseñas seguras son el primer paso para proteger los activos digitales (y, en muchos casos, esos activos digitales representan el acceso a dinero real). Si alguien no conoce una contraseña, es mejor suponer que hay una razón para ello que echarle una mano. La autenticación de dos factores, o incluso de múltiples factores, es imprescindible, sin duda. Pero la biometría, como el escaneo de huellas dactilares o de retina, es una forma mucho mejor de proteger su cuenta, y ya no es la tecnología futurista de ciencia ficción que solía ser. El futuro ya está aquí. Hacerlo a través de SMS es una forma bastante deficiente de hacerlo. En cuanto a los obstáculos, enviar códigos de autorización a un teléfono móvil a través de un mensaje de texto es como pedirle a un caballo que salte una valla de quince centímetros de altura. Como esta publicación muestra que alguien lo suficientemente inteligente como para hacerse con tu contraseña también lo es para encontrar la forma de burlar los códigos de autenticación basados en texto. Y, por supuesto, ahora que todo el mundo se ha enterado de la ineficacia de este método, los blogueros especializados en seguridad están reflexionando y escribiendo sobre el diferentes formas este tipo de protección puede ser vulnerada. En 2013, el blog Naked Security detalló cómo una de las mayores empresas de software del mundo, Adobe, falló a 150 millones de sus usuarios con prácticas terribles en vigor para proteger las contraseñas. Además de poner de manifiesto lo inútiles que son las sugerencias de seguridad para contraseñas, también quedó claro que Adobe utilizaba un cifrado bastante básico y no añadía ninguna otra protección. El resultado fue un proceso de descodificación sencillo, no mucho más sofisticado que el que los niños solían utilizar con los kits de espionaje de juguete. En nuestro mundo protegido por contraseñas, la seguridad resulta ser responsabilidad de todos. Las políticas deben estar bien pensadas, los usuarios deben cumplirlas y los administradores deben actuar correctamente con los usuarios, sin dar por sentado que los intrusos no pueden entrar para robar contraseñas. Las nuevas recomendaciones y conclusiones del NIST son sin duda un buen punto de partida para todos. Los gestores de contraseñas son otra forma en que las personas y las organizaciones intentan reducir el riesgo de usar contraseñas. Al igual que otras herramientas de seguridad, los gestores de contraseñas pueden ayudar, pero no son una solución completa que exima a su organización de los riesgos relacionados con las contraseñas. Otro aspecto a tener en cuenta es que se ha descubierto que la mayoría de los gestores de contraseñas tienen vulnerabilidades o incluso han sufrido violaciones de seguridad a lo largo de los años. Al implementar un gestor de contraseñas en su equipo, pone su seguridad en manos de estas herramientas. Algunos incidentes de seguridad destacados incluyen LastPass, My1Login, KeePass, OneLogin, PasswordBox, MyPasswords, Avast Passwords y RoboForm. Tavis Ormandy, de Google Project Zero, reveló algunas de estas vulnerabilidades, incluidas las vulnerabilidades en sus complementos para navegadores. ¿Nuestras recomendaciones? Los gestores de contraseñas pueden ayudar a minimizar la carga informática que supone la recuperación de contraseñas, pero también introducen otro posible ataque a la cadena de suministro en las organizaciones. Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID. En nuestro mundo protegido por contraseñas, una política de seguridad sólida incluye a los proveedores y a las personas de cada equipo. Las políticas deben estar bien pensadas, los usuarios deben cumplirlas y los administradores deben actuar correctamente con los usuarios, sin dar por sentado que los intrusos no pueden entrar para robar contraseñas. Las recomendaciones y conclusiones del NIST son un buen punto de partida para todos.2. Deja de usar pistas para contraseñas
3. Elimine la autenticación de dos factores por SMS
4. Los administradores deben ser más inteligentes a la hora de almacenar las contraseñas
Gestores de contraseñas: sopesar los pros y los contras
Reduzca el riesgo de identidad en toda su organización
Conclusión
Preguntas frecuentes sobre la seguridad de las contraseñas
La seguridad de las contraseñas se refiere a las prácticas y herramientas que mantienen sus contraseñas a salvo de los atacantes. Puede considerarla como una cerradura digital que protege sus cuentas del acceso no autorizado. La seguridad de contraseñas implica crear contraseñas seguras, almacenarlas de forma segura y utilizar medidas de seguridad adicionales, como la autenticación multifactor.
Sin una seguridad de contraseñas adecuada, los atacantes pueden acceder fácilmente a sus cuentas y robar sus datos o su dinero.
La seguridad de las contraseñas es importante porque las contraseñas débiles son la principal causa de las violaciones de datos. Si los atacantes descifran su contraseña, pueden acceder a su información personal, datos financieros y cuentas comerciales. Las malas prácticas en materia de contraseñas pueden dar lugar a robos de identidad, pérdidas financieras y graves daños a la reputación.
Cuando utiliza una contraseña segura, crea una barrera que dificulta mucho más que los ciberdelincuentes le ataquen.
Puede comprobar la seguridad de su contraseña utilizando diversas herramientas de comprobación de la seguridad de las contraseñas. Estas herramientas analizan la longitud y la complejidad de su contraseña y comprueban si ha sido expuesta en violaciones de datos. Le indican cuánto tiempo tardarían los atacantes en descifrar su contraseña utilizando ataques de fuerza bruta. Debe utilizar estas herramientas para comprobar sus contraseñas actuales y mejorar las que sean débiles.
Puede hacer que sus contraseñas sean seguras utilizando al menos 12-15 caracteres con una combinación de mayúsculas, minúsculas, números y símbolos. Cree contraseñas únicas para cada cuenta y nunca las reutilice en varios sitios. Utilice un gestor de contraseñas para generar y almacenar contraseñas complejas de forma segura.
Habilite la autenticación multifactor siempre que sea posible para añadir una capa adicional de protección. Evite utilizar información personal o palabras comunes en sus contraseñas.
Puede mejorar la seguridad de las contraseñas cambiando a frases de contraseña más largas en lugar de contraseñas cortas complejas. Utilice gestores de contraseñas para crear contraseñas únicas y aleatorias para todas sus cuentas. Configure la autenticación multifactorial en todas las cuentas importantes, especialmente en las bancarias y de correo electrónico.
Compruebe periódicamente si sus contraseñas se han visto comprometidas en violaciones de datos utilizando herramientas como SentinelOne o Have I Been Pwned. Reemplace inmediatamente las contraseñas débiles o reutilizadas y actualícelas si han quedado expuestas.
Las mejores prácticas de seguridad de contraseñas incluyen el uso de contraseñas de al menos 12 caracteres con tipos de caracteres variados. Nunca reutilice contraseñas en diferentes cuentas y cree contraseñas únicas para cada servicio. Utilice gestores de contraseñas de confianza para generar, almacenar y rellenar automáticamente sus contraseñas de forma segura.
Habilite la autenticación multifactorial en todas las cuentas que la admitan. Evite anotar las contraseñas o almacenarlas en lugares inseguros, como hojas de cálculo. Revise periódicamente sus contraseñas y sustituya aquellas que hayan sido comprometidas.