La importancia del empleo de contraseñas robustas en las organizaciones

Las contraseñas más utilizadas en España son ‘admin’, ‘123456’, ‘12345678’, ‘123456789’ y ‘12345’, y todas ellas, por su simplicidad, son descifradas por los hackers en menos de un segundo, lo que evidencia que ciudadanos y empresas corren un alto riesgo de sufrir un ciberataque.

De hecho, como explica Juan Francisco Moreda, responsable de f/safe, la unidad de ciberseguridad de fibratel, “las credenciales comprometidas son la primera causa de ataques relacionados con el robo y las filtraciones de datos o los ataques de ransomware, al ser una puerta de entrada a los sistemas de información corporativos”. Tras un estudio llevado a cabo por fibratel, esta organización ofrece nueve claves para articular una política de contraseñas robusta en la empresa.

Asegurar una mínima longitud y complejidad: para que las contraseñas sean seguras, es necesario combinar mayúsculas, minúsculas, números, signos de puntuación, y que sean lo más largas posible. Ahora son comunes las de 8 caracteres pero, en realidad, no son seguras porque un descifrador de claves puede probar hasta cien millones de contraseñas por segundo. Se aconseja el uso de entre 12 y 14 caracteres.

Cambiar las credenciales periódicamente: para evitar vulnerabilidades y que los ciberdelincuentes utilicen cuentas que han sido comprometidas conviene actualizar las contraseñas de forma recurrente. Por tanto, para favorecer el cambio, es importante establecer una caducidad de estas. Según los expertos, es aconsejable renovarlas cada tres meses. El empleado recibirá una notificación del cambio de credenciales y tendrá que generar una nueva, siempre siguiendo el criterio marcado por la empresa.

Tener un histórico de contraseñas: las medidas anteriores no surtirán el efecto deseado si se vuelven a utilizar contraseñas que ya han sido empleadas en ocasiones anteriores. Por eso, debe crearse un histórico de claves generadas por cada trabajador para impedir que se reutilicen.

Crear contraseñas únicas: otra recomendación es utilizar contraseñas diferentes para cada sitio o servicio, para evitar que una misma clave se emplee en diferentes plataformas y aplicaciones. De esta forma, se limitan los daños en caso de que una credencial se vea comprometida.

Utilizar un buen gestor: otro paso fundamental será utilizar un gestor de contraseñas para facilitar todo este proceso ya que, al aumentar su complejidad, incorporar una política de cambios periódicos y utilizar una variedad de claves puede resultar difícil para los empleados. El gestor las genera aleatoriamente, las almacena y posibilita que estén disponibles para los usuarios de forma sencilla.

Cifrado de credenciales: la encriptación impide que cualquier usuario y también los administradores del sistema accedan a contraseñas claras. De esta forma, se evitan accesos no autorizados a las claves de los usuarios. Esta funcionalidad la puede tener el gestor de contraseñas.

Doble autenticación o multifactor: otra medida muy efectiva para evitar el robo de contraseñas es activar la autenticación de doble autenticación o la multifactor. Así, se valida la identidad antes de conceder un acceso y las cuentas estarán más protegidas.

Emplear soluciones de acceso privilegiado: aquellos usuarios cuyas funciones son críticas en la compañía deben contar con acceso privilegiado para estar protegidos de forma proactiva. No obstante, para que esta medida sea efectiva, se precisan soluciones de gestión de accesos privilegiados (PAM, en sus siglas inglesas), para poder no solo administrar, sino examinar, supervisar y analizar, de manera que los activos estén protegidos frente a las amenazas y el abuso de credenciales.

Formar a los empleados: adquirir buenas prácticas a la hora de gestionar las contraseñas y evitar ciberataques será una de las claves para reducir errores humanos que pueden poner en riesgo la seguridad de la empresa. Además, contribuirá a incorporar la ciberseguridad en la cultura organizativa.

A modo de resumen, Juan Francisco Moreda concluye que hoy en día, muchas empresas no han puesto en marcha una política de contraseñas adecuada. “Resulta fundamental caminar en esta dirección puesto que una sola cuenta comprometida en una organización puede permitir a un ciberdelincuente moverse por todos los sistemas y redes. No obstante, la tecnología para mejorar en este ámbito está disponible y, junto con la instauración de buenas prácticas, puede ser una primera línea de defensa ante posibles ciberincidentes”.