Contraseñas más inteligentes que los hackers no pueden tocar

Cada día, millones de contraseñas son robadas, filtradas o crackeadas. Sólo en el último año, más de 19.000 millones han aparecido en filtraciones de datos; una cifra tan grande que cuesta hacerse a la idea. Y, sin embargo, muchas de ellas seguían siendo cosas como 123456 o password1.

Es la prueba de que, aunque la mayoría de nosotros sabemos que las contraseñas seguras son importantes, mucha gente sigue optando por no seguir las mejores prácticas. Esa brecha entre el conocimiento y la acción es exactamente lo que explotan los atacantes.

Las contraseñas pueden parecer mundanas, pero no dejan de ser una defensa de primera línea. Utilícelas mal, y las consecuencias pueden caer en cascada rápidamente. Utilícelas sabiamente, y elevará el listón de forma espectacular para los atacantes.

Cómo las contraseñas débiles abren la puerta a las infracciones

Cuando los atacantes se hacen con las credenciales, no se quedan con ellas, las utilizan. Esa «vieja contraseña» que una vez utilizó para un sitio de compras podría seguir desbloqueando hoy su correo electrónico profesional. Cada brecha se convierte en un trampolín, alimentando los ataques de relleno de credenciales y dando a los ciberdelincuentes nuevas vías de entrada.

Además, las contraseñas débiles no son rival para las herramientas modernas. Una contraseña de ocho caracteres en minúsculas puede descifrarse en unas tres semanas utilizando las GPU actuales, mientras que una mezcla más compleja de ocho caracteres podría durar siete años. Pero si ya se encuentra en una base de datos filtrada, puede ser descifrada casi al instante.

En resumen: las contraseñas cortas, predecibles y reutilizadas no tienen ninguna posibilidad.

Incluso en un lugar de trabajo habilitado para MFA, las credenciales débiles siguen siendo uno de los mayores vectores de ataque. Muchas brechas siguen comenzando con el relleno de credenciales, el phishing o los ataques de fuerza bruta. De hecho, los datos del sector muestran que más del 80% de las brechas confirmadas implican contraseñas débiles o robadas.

El riesgo tampoco se limita a la empresa. Un correo electrónico de trabajo comprometido puede exponer datos personales, información sobre nóminas e incluso brindar a los atacantes la oportunidad de atacar a amigos o colegas. Las contraseñas débiles ponen en peligro tanto a los particulares como a las empresas.

Los malos hábitos con las contraseñas ponen en peligro el lugar de trabajo

Las cuentas corporativas son objetivos prioritarios para los atacantes porque a menudo abren la puerta a sistemas más amplios. Una contraseña débil en una aplicación de terceros o un inicio de sesión compartido puede dar a un atacante todo lo que necesita para moverse lateralmente por la red. A partir de ahí, las nóminas, los datos de los clientes o los sistemas financieros corren peligro.

Las cuentas compartidas o de servicio son especialmente peligrosas. Estos inicios de sesión suelen reutilizarse entre equipos y olvidarse de ellos hasta que algo sale mal. Deben seguir las normas más estrictas posibles, con credenciales fuertes y únicas almacenadas de forma segura y rotadas regularmente.

En última instancia, el personal es una defensa clave. Cuando los empleados ven la higiene de las contraseñas no como una molestia sino como parte de su responsabilidad, la resistencia mejora. Ese cambio cultural sólo se produce si la empresa lo hace fácil y coherente.

Ahí es donde entra en juego la Gestión de Riesgos Humanos (GRH). La GRH reconoce que la tecnología no es el eslabón más débil, sino las personas. Comprendiendo dónde es más vulnerable el personal, ofreciendo oportunidades de aprendizaje claras y atractivas, y midiendo el cambio de comportamiento a lo largo del tiempo, las organizaciones pueden reducir los riesgos creados por las decisiones humanas cotidianas. Las contraseñas son sólo una parte de este panorama más amplio: ayudando a las personas a tomar decisiones más inteligentes, de forma coherente, es como se crea una resistencia duradera.

Cómo es el bien

Afortunadamente, las contraseñas seguras no tienen por qué ser complicadas. En la mayoría de los casos, la longitud importa más que la sustitución inteligente de caracteres. Una frase como CoffeeTable7Rainbow$ es mucho más fuerte y fácil de recordar que C0fT@#9. Procure tener al menos 12 caracteres, preferiblemente 16 o más, y constrúyalos a partir de palabras o frases que signifiquen algo para usted pero no para los demás.

Mezclar tipos de caracteres ayuda, pero no caiga en patrones predecibles como «¡P@ssw0rd!». Piense, en cambio, en combinar palabras de forma inusual, añadiendo un símbolo o un número donde normalmente no aparecería.

Quizá la regla más importante sea no reutilizar nunca la misma contraseña en diferentes cuentas. La reutilización es lo que convierte una brecha en muchas. Si recordar docenas de inicios de sesión únicos le parece abrumador, para eso están exactamente los gestores de contraseñas. Un buen gestor genera y almacena contraseñas complejas, las rellena automáticamente cuando las necesita y permite compartirlas de forma segura para las cuentas de equipo.

Cada vez más, las empresas también están considerando las claves de acceso y la autenticación sin contraseña, pero hasta que éstas sean universales, las contraseñas seguras siguen siendo esenciales.

Incorporar las mejores prácticas

Una cosa es conocer las reglas y otra aplicarlas día tras día. Ahí es donde entran en juego los recordatorios y los empujoncitos. Los carteles en las salas de descanso, los salvapantallas con consejos breves y las listas de comprobación que se entregan en la incorporación ayudan a tener presentes las buenas prácticas. Nuestro kit de herramientas CSAM está repleto de recursos listos para usar como éstos, diseñados para que el mensaje cale hondo.

Las campañas periódicas también ayudan. Una «limpieza de primavera» en la que el personal revise y actualice las contraseñas antiguas puede convertirse en parte de la rutina anual. El liderazgo también desempeña un papel. Cuando los ejecutivos dan ejemplo de buenos hábitos y hablan abiertamente de por qué son importantes, el resto de la organización sigue su ejemplo.

También debe animar al personal a ser responsable. Llevar a cabo auditorías de contraseñas, ya sea a través de bóvedas de contraseñas corporativas o herramientas de supervisión de TI, puede poner de relieve las credenciales débiles o reutilizadas. El refuerzo positivo también puede ayudar mucho, dar a su equipo reconocimiento por una higiene de contraseñas fuerte puede hacer que el proceso sea menos sobre reglas y más sobre orgullo.

Capacitar a su personal

Enmarcar la cuestión en términos personales es poderoso. Cuando el personal se da cuenta de que sus datos de nómina, sus datos bancarios o sus comunicaciones privadas podrían quedar expuestos a través de una contraseña débil, el mensaje se hace más cercano. Las buenas prácticas en materia de contraseñas no sólo protegen a la empresa, sino también a ellos mismos, y ese cambio de mentalidad puede facilitar mucho la adopción.

Nuestro kit de herramientas CSAM

El kit de herramientas CSAM incluye recursos prácticos y listos para usar que hacen que las mejores prácticas en materia de contraseñas sean más fáciles de recordar e integrar:

• Carteles de concienciación: elementos visuales llamativos que refuerzan los buenos hábitos en las zonas comunes y mantienen la seguridad en primer plano.
• Salvapantallas llamativos: recordatorios oportunos que aparecen en pantalla para animar al personal a tomar decisiones más inteligentes a lo largo del día.
• Práctico planificador de la concienciación sobre ciberseguridad: una guía estructurada que le ayudará a desplegar campañas y actividades de forma coherente a lo largo del año.
• Infografía: un desglose claro y visual de lo que se debe y no se debe hacer, perfecto para las reuniones informativas del equipo o las páginas de la intranet.
• Lista de comprobación: 5 pasos para ayudarle a proteger nuestro mundo – una lista sencilla y práctica que los empleados pueden seguir a la hora de crear o actualizar contraseñas.

Descargue ahora su kit de herramientas.

Trabajar con MetaCompliance

Si sólo recuerda tres cosas, que sean éstas: más larga es más fuerte, nunca la reutilice y utilice siempre un gestor de contraseñas.

Ahora es el momento de ponerlos en práctica. Realice una rápida auditoría de la salud de las contraseñas en toda su organización, despliegue la lista de comprobación CSAM y asegúrese de que el personal directivo está modelando los mismos buenos hábitos. Con estos pasos, su empresa y su personal estarán mejor protegidos con contraseñas más inteligentes que los piratas informáticos simplemente no podrán tocar.

Póngase en contacto con nuestro equipo hoy mismo para saber más sobre nuestros servicios.