Reflexiones sobre el futuro de las contraseñas en su Día Mundial

 

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Una gran cantidad de informes sobre las contraseñas evidencian el riesgo que supone su mal uso. Sin embargo, sigue siendo el método más ampliamente empleado para acceder a dispositivos y servicios digitales y, pese a estar constantemente en tela de juicio, no acaba de llegar su adiós definitivo, aunque tecnologías, como la biometría, llevan pidiendo paso.  

Son muchos los datos que constatan el peligro que representan para usuarios y empresas. Por ejemplo, según Proofpoint, existe actualmente un aumento de los ataques de relleno de credenciales o credential stuffing en los que se prueban de forma automática distintas claves robadas hasta lograr acceder a la cuenta del usuario.

Según uno de sus estudios, el 45% de las personas empleadas afirma introducir siempre los mismos datos de acceso en diferentes plataformas. Una práctica que llegaría a tener repercusiones muy graves: si una contraseña queda comprometida, el ciberdelincuente podría suplantar la identidad del trabajador y poner en peligro a toda la empresa. 

De igual modo, los atacantes continúan utilizando sofisticadas cepas de malware o keyloggers (registradores de pulsaciones de teclas) para hacerse con información sensible mediante campañas de phishing por correo electrónico.

Por eso, con motivo del Día Mundial de las Contraseñas, Adenike Crosgrove, una de sus estrategas de seguridad, recuerda que “en esta jornada deberíamos reflexionar acerca de qué podemos hacer para que nuestras contraseñas sean más sólidas y que, a la hora de gestionarlas, no se vea comprometida su integridad como un método de autenticación seguro”.

Por su parte, David Higgins, director técnico de CyberArk, pone su atención en que este año se celebra en el escenario de una “nueva normalidad" para gran parte de la población mundial, que se caracteriza principalmente por el teletrabajo. “El resultado ha sido un cruce de líneas previamente diferenciadas entre el trabajo y los dispositivos domésticos, ya que se están usando dispositivos personales para acceder a los sistemas de trabajo, abriendo una nueva superficie de ataque potencial”. Si combinamos eso con las prácticas comunes de los empleados como son guardar contraseñas en los navegadores o reutilizar contraseñas, este nuevo panorama se convierte en “un patio de recreo para los atacantes”, subraya, por lo que recuerda que “la autenticación efectiva de todos los dispositivos ahora se vuelve aún más crucial para proteger no solo la PII (Información de Identificación Personal) sino también los datos y activos críticos de las organizaciones para las que trabajamos”.

Consejos de protección
En esta jornada, la firma de seguridad McAfee también ha querido conciencia a usuarios porque en “esta nueva normalidad la seguridad de las contraseñas es crítica”, según Francisco Sancho, Product Manager Consumer y Mobile de McAfee en España.

Sus recomendaciones son que no se use información personal en las contraseñas, como nombre, dirección o nombre de una mascota, que son más fáciles de adivinar, a lo que el proveedor suma que se debe evitar su reutilización para que los ciberdelincuentes no tengan acceso a todas las cuentas y también emplear un gestor de contraseñas que facilitar el uso y gestión de contraseñas más difíciles.

El uso del gestor es una de las medidas que aconsejan los expertos de Entelgy Innotec Security, que añaden las siguientes pautas:

- Crear una clave robusta con sencillas pautas: de una longitud mayor a 8 caracteres, que incluyan letras, números y signos, sin palabras comunes y que no estén relacionadas con ninguna información personal, como pareja, trabajo, aficiones, etc. Sería aconsejable, por ejemplo, que estén formadas por varias palabras y en diferentes idiomas, sin relación alguna entre ellas, con caracteres especiales intercalados entre cada letra.

- Modificar la contraseña periódicamente: lo mínimo recomendable es cada seis meses. También si hay alguna cuenta o aplicación a la que el usuario no ha accedido desde hace tiempo, lo más precavido será cambiarla en ese mismo momento, por si alguien hubiese accedido durante ese período de inactividad.

- Activar la doble autenticación: cada vez son más las plataformas que apuestan por no solo solicitar una contraseña, sino que también es necesario introducir una clave que puede llegar a través de un SMS o de una aplicación como, por ejemplo, Google Authenticator.

- Emplear soluciones de biometría como complemento: muchos dispositivos permiten utilizar tecnologías que se basan en características físicas de un individuo: huella dactilar, escáner de iris, reconocimiento facial, etc.

Nuance ha sido otra de las compañías que ha expresado su preocupación por la seguridad de las credenciales en un momento de aumento vertiginoso de la actividad online y el teletrabajo. Su vicepresidente y director general de seguridad y biometría, Brett Beranek, ha hecho un llamamiento a la precaución, ya que los estafadores están analizando las vulnerabilidades de los nuevos modelos operativos digitales que han incorporado los negocios para aprovecharse de los consumidores. A su juicio, este día es también un momento para “reconocer que con la incertidumbre a menudo viene la innovación, y que ésta podría ser lo que redefine cómo estaremos protegidos en el futuro”.

En este sentido, la firma sostiene que la biometría puede ser la respuesta. Según apunta, al preguntar a los consumidores sobre su percepción sobre que la biometría sirve para la detección del fraude y prevenirlo antes de que ocurra, un tercio (36%) de ellos señaló que haría negocios con compañías que ofrecen esta tecnología. Un número similar (25%) incluso pidió que más empresas la usaran.

Su director de fraude y prevención, Simon Marchand, equilibrar la conveniencia del consumidor y la facilidad de acceso con fuertes medidas de seguridad es un acto que la organización debe hacer de manera continua. “Hoy en día, al incrementarse el volumen de usuarios que utilizan canales digitales para hacer negocios, se espera un cierto nivel de seguridad sin que por ello se vea comprometida la usabilidad en el proceso. Las contraseñas no solo causan frustración al consumidor, sino que también son inherentemente inseguras, y este Día Mundial de las Contraseñas es hora de cambiar la forma en que pensamos acerca de la autenticación de datos”.

Las principales ventajas que ofrecen los sistemas biométricos residen, según Entelgy, en su práctica imposibilidad de ser utilizadas por otra persona, dado que dependen de características propias de un único individuo.

Retos de la tecnología
Sin duda, el nivel de protección que ofrecen estas medidas puede llegar a ser altamente superior al que permite una contraseña alfanumérica, pero, en opinión de sus especialistas, dependiendo de la tecnología, en ocasiones pueden sufrir alguna brecha, por lo que lo ideal es combinarlo con la contraseña.

Por otra parte, a día de hoy presentan diversos retos como su alto coste y la protección especial que requieren esos datos para cumplir con Reglamento General de Protección de Datos (GDPR), que impiden que estas técnicas se hayan masificado ya. “Si bien aún se encuentran en una etapa muy primaria y han de hacer frente a diversos obstáculos, lo que se espera es vayan evolucionando y cada vez las vayamos viendo implementadas en más sistemas, tecnologías y dispositivos”, afirman.

En todo caso, como dice Jorge Martinez, director regional de OpenText en España y Portugal, una jornada como ésta es una oportunidad importante para reflexionar sobre la evolución de la autenticación y la gestión de identidad, sobre todo ahora que estamos en un momento de dependencia digital sin precedentes debido al cambio global hacia el teletrabajo como resultado del Covid-19.

Aún siendo la contraseña tradicional la principal forma de identificación, se está imponiendo enfoque de seguridad multicapa. “Las huellas digitales, o el reconocimiento de voz y facial, se utilizan cada vez más para proteger tanto los dispositivos como los servicios”, explica el portavoz de OpenText.

Desde hace tiempo, muchos en la industria tecnológica llevan tiempo hablando de eliminar esa contraseña que tan interiorizada tenemos, pero es “ahora cuando estamos comenzando a ver una tendencia real a confiar en los dispositivos móviles para lo que algunos llaman acceso de ‘inicio de sesión cero’, añade.

A día de hoy, desde una perspectiva empresarial, se trata de adoptar enfoques proactivos e “implementar un conjunto robusto de políticas, prácticas y soluciones de ciberseguridad para mantener seguros los dispositivos y los datos", concluye.