Las contraseñas han sido un pilar de la seguridad desde que evolucionó el lenguaje humano. Este secreto compartido puede utilizarse para abrir puertas tanto físicas como digitales. Pero como cualquier secreto, si se revela a la persona equivocada, puede utilizarse para actos nefastos.

Las contraseñas ofrecen a los ciberdelincuentes una forma de traspasar la puerta de entrada. Esa puerta está abierta de par en par si una contraseña es insegura, compartida o suplantada. Gestionar las contraseñas ayuda a mitigar el riesgo en una organización.

He aquí algunos de los riesgos de utilizar contraseñas y consejos para gestionarlas.

El problema de las contraseñas

Las contraseñas son persistentes porque los usuarios las entienden; son comprendidas por los desarrolladores web y de aplicaciones y ofrecen una seguridad básica. Las contraseñas persistirán por estas razones, incluso con iniciativas como el sistema sin contraseña, FIDO.

Una contraseña segura es la credencial de inicio de sesión más fundamental, pero las contraseñas distan mucho de ser una medida de seguridad sólida. Debido a las puertas que puede abrir una contraseña, esta credencial se ha convertido en el foco de los ciberataques. El Informe de Investigaciones sobre la Vulneración de Datos (DBIR) de 2022 identificó el robo de credenciales como uno de los cuatro métodos más utilizados para vulnerar datos.

El Informe Anual sobre la Exposición de la Identidad 2022 identificó algunas estadísticas asombrosas relativas a las contraseñas:

● 1.700 millones de credenciales (combinaciones de dirección de correo electrónico y contraseña o nombre de usuario y contraseña) fueron explotadas por piratas informáticos en 2021

● El 70% de los usuarios seguían utilizando contraseñas comprometidas un año después

● La contraseña reutilizada número uno en texto claro (es decir, sin cifrar) fue ‘contraseña’

● El 60% de los usuarios reutiliza las contraseñas. Una encuesta de Google reveló que el 52% reutiliza las contraseñas en varias cuentas.

● Sólo el 20% de los usuarios dispone de un gestor de contraseñas

Los costes de la exposición de contraseñas, robos y accesos no autorizados se acumulan. El informe de 2022 del Ponemon Institute Cost of Insider Threats descubrió que:

● El coste del robo de credenciales aumentó un 65%, pasando de 2,79 millones de dólares en 2020 a 4,6 millones en 2021/2022.

● Contener una amenaza interna lleva unos 85 días

● Los incidentes que tardaron más de 90 días en contenerse costaron, de media, 17,19 millones de dólares

Cómo acaban las contraseñas en manos de los ciberdelincuentes

Algunas de las formas más típicas en que las contraseñas son robadas o comprometidas incluyen:

Infección por malware

El malware diseñado para robar datos enviará cualquier combinación de contraseña/nombre de usuario/email introducida por un usuario a los ciberdelincuentes que controlan el malware.

Un informe de SpyCloud descubrió que en 2021, el malware «RedLine Stealer» se utilizó ampliamente para robar credenciales y otros datos de usuarios de Windows. El malware estaba disponible para su compra en un sitio web oscuro por 800 dólares o una suscripción de malware como servicio por 200 dólares al mes.

Filtración de datos

Las violaciones de datos ofrecen a un ciberdelincuente una forma de acceder a las contraseñas robadas y a los nombres de usuario o pares de correos electrónicos, es decir, a las credenciales de inicio de sesión. Por ejemplo, la violación de datos Collection 1-5 de 2019 expuso 2.200 millones de contraseñas y direcciones de correo electrónico.

Las violaciones de datos suelen producirse a través de un acceso no autorizado a una base de datos, una mala configuración de la seguridad que la deja vulnerable, una exposición accidental por un error en el envío de correos electrónicos o un pirateo deliberado. En un ciclo de ciberdelincuencia, una base de datos comprometida libera entonces más credenciales de acceso para llevar a cabo nuevos ataques.

Phishing

Una forma popular de robar contraseñas es el phishing. De hecho, el DBIR de 2022 señalaba el phishing como uno de los cuatro métodos principales de violación de datos para acceder a los datos de acceso. El spear-phishing es un problema particular para los administradores de sistemas y los usuarios privilegiados a los que se ataca por sus credenciales de acceso privilegiado.

Los proveedores externos son objetivos de los piratas informáticos en los ataques relacionados con contraseñas. Por ejemplo, en el caso del ataque del ransomware Colonial Pipeline de 2021, una única contraseña robada a un ex empleado estuvo relacionada con el ataque que provocó el cierre temporal de la mitad de los suministros de combustible de Estados Unidos.

Exposición accidental y amenazas internas

A los empleados les gusta compartir contraseñas con sus compañeros, así como reutilizarlas. Una encuesta reciente reveló que casi el 42% de los empleados comparten contraseñas con compañeros de trabajo. El mismo estudio descubrió que 1 de cada 4 empleados seguía teniendo acceso a cuentas antiguas incluso después de abandonar una empresa.

La exposición accidental de contraseñas o el acceso no autorizado contribuyen de forma significativa a los ciberataques y las violaciones de datos, y el DBIR de 2022 constata que en el 82% de los ataques está implicado un ser humano.

Cinco consejos rápidos para gestionar las contraseñas

He aquí cinco consejos para gestionar las contraseñas y reducir los riesgos:

Establezca y aplique políticas de contraseñas

Las políticas de contraseñas son el primer paso para desproteger el uso de contraseñas. Las políticas de contraseñas incluyen todo lo relacionado con la gestión de contraseñas y el mantenimiento de la seguridad de las mismas. Por ejemplo, una política debe incluir el almacenamiento seguro de las contraseñas y la frecuencia con la que debe cambiarse una contraseña.

Las políticas de contraseñas también deben establecer claramente cómo deben crearlas y gestionarlas los empleados. Las políticas deben distribuirse a los empleados, y su gestión debe automatizarse a lo largo del ciclo de vida de la política para garantizar que sea aceptada y comprendida en toda la empresa.

Utilice un gestor de contraseñas

Los gestores de contraseñas como Lastpass y los generadores de contraseñas reducen la fatiga de contraseñas y, por lo tanto, pueden ayudar a eliminar la reutilización y el uso compartido de contraseñas. Si utiliza un gestor de contraseñas, técnicamente sólo tendrá que recordar un conjunto de credenciales: la contraseña maestra para iniciar sesión en su gestor de contraseñas.

Una vez que haya iniciado sesión en el gestor de contraseñas utilizando su contraseña maestra, el gestor de contraseñas hará el resto: almacenará, generará, sincronizará y actualizará las contraseñas. Su contraseña maestra se utiliza para cifrar las contraseñas almacenadas en su bóveda de contraseñas.

Pero los gestores de contraseñas siguen estando infrautilizados en las empresas. Hay muchos gestores de contraseñas, pero los servicios basados en la nube pueden ser más fáciles de implantar y administrar. Busque un gestor de contraseñas que también pueda funcionar en todos los sistemas operativos y proteja otros tipos de datos, incluidas las contraseñas.

Utilice un segundo factor (2FA/MFA)

Utilizar un segundo factor, como un código de autenticación móvil, es una forma útil de añadir otra capa de seguridad al acceso de una aplicación. Sin embargo, no debe confiar en que el 2FA ofrezca un control de acceso 100% libre de riesgos.

Los ciberdelincuentes ya están ideando formas de eludir la autenticación de segundo factor. Si puede, implante la 2FA, pero respalde esta medida con nuestros dos consejos siguientes para desproteger las contraseñas:

Forme a los empleados sobre la higiene de las contraseñas

Las políticas de contraseñas deben reflejar las normas del sector de la ciberseguridad para la creación, el uso y la gestión de contraseñas. Sin embargo, para aplicar esta política es necesario que los empleados comprendan por qué son esenciales las contraseñas seguras.

Los programas de formación en concienciación sobre ciberseguridad suelen incluir módulos sobre la creación de contraseñas seguras y el mantenimiento de contraseñas seguras.

Utilice simulaciones de phishing para reducir el robo de contraseñas

El phishing es uno de los principales métodos para robar contraseñas y otras credenciales. Formando a los empleados sobre cómo funciona el phishing y qué aspecto tienen los signos reveladores de un mensaje de phishing, una empresa puede ayudar a prevenir el robo de credenciales mediante phishing.

Las plataformas de simulación de phishing ofrecen una forma centralizada y configurable de enviar mensajes de phishing simulados al personal. Una plataforma avanzada de simulación de phishing también le permitirá adaptar los mensajes de phishing simulado para reflejar los diferentes roles en su empresa.

Es probable que las organizaciones sigan utilizando contraseñas durante un tiempo, lo que aumenta el riesgo de sufrir un ciberataque. Sin embargo, aplicando los cinco consejos que aquí se exponen, puede reducir el riesgo de que sus empleados utilicen contraseñas. Estos consejos le ayudarán a prevenir las filtraciones de datos y la infección por ransomware y a que su empresa cumpla la normativa sobre protección de datos.

Formación sobre sensibilización en materia de seguridad para proveedores externos