Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Equipo directivo

Conozca al equipo directivo de MetaCompliance

Carreras

Únase a nosotros y personalice la ciberseguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Gestión de contraseñas y mitigación del riesgo de contraseñas

gestión de contraseñas

sobre el autor

Compartir esta entrada

Las contraseñas han sido un pilar de la seguridad desde que el lenguaje humano evolucionó. Este secreto compartido puede utilizarse para abrir puertas tanto físicas como digitales. Pero como cualquier secreto, si se revela a la persona equivocada, puede utilizarse para actos nefastos.

Las contraseñas ofrecen a los ciberdelincuentes una forma de pasar por encima del guardián. Esa puerta se abre de par en par si una contraseña es insegura, compartida o suplantada. La gestión de las contraseñas ayuda a mitigar el riesgo en una organización.

A continuación, se exponen algunos de los riesgos del uso de contraseñas y consejos para su gestión.

El problema de las contraseñas

Las contraseñas persisten porque los usuarios las entienden, porque los desarrolladores de aplicaciones y sitios web las comprenden y porque ofrecen una seguridad básica. Las contraseñas persistirán por estas razones, incluso con iniciativas como el sistema sin contraseña, FIDO.

Una contraseña segura es la credencial de inicio de sesión más fundamental, pero las contraseñas distan mucho de ser una medida de seguridad sólida. Debido a las puertas que puede abrir una contraseña, esta credencial se ha convertido en el foco de los ciberataques. El informe 2022 Data Breach Investigations Report (DBIR) identificó el robo de credenciales como uno de los cuatro métodos más utilizados para violar datos.

El Informe Anual sobre Exposición de Identidades 2022 identificó algunas estadísticas asombrosas en relación con las contraseñas:

● 1.700 millones de credenciales (combinaciones de dirección de correo electrónico y contraseña o nombre de usuario y contraseña) fueron explotadas por hackers en 2021

● El 70% de los usuarios seguía utilizando contraseñas comprometidas un año después

● La contraseña número uno reutilizada en texto claro (es decir, sin encriptar) fue 'password'

● El 60% de los usuarios reutiliza las contraseñas. Una encuesta de Google reveló que el 52% reutiliza contraseñas en varias cuentas.

● Sólo el 20% de los usuarios tiene un gestor de contraseñas

Los costes de la exposición de contraseñas, robos y accesos no autorizados se acumulan. El informe de 2022 del Ponemon Institute Cost of Insider Threats descubrió que:

● El coste del robo de credenciales aumentó un 65%, pasando de 2,79 millones de dólares en 2020 a 4,6 millones en 2021/2022

● Contener una amenaza interna lleva unos 85 días

● Los incidentes que tardaron más de 90 días en contenerse costaron, de media, 17,19 millones de dólares

Cómo acaban las contraseñas en manos de los ciberdelincuentes

Algunas de las formas más típicas en las que se roban o ponen en peligro las contraseñas son:

Infección por malware

El malware diseñado para robar datos enviará cualquier combinación de contraseña/nombre de usuario/correo electrónico introducida por un usuario a los ciberdelincuentes que controlan el malware.

Un informe de SpyCloud descubrió que en 2021, el malware "RedLine Stealer" era ampliamente utilizado para robar credenciales y otros datos de usuarios de Windows. El malware estaba disponible para su compra en un sitio web oscuro por 800 dólares o una suscripción de malware como servicio por 200 dólares al mes.

Violación de datos

Las violaciones de datos ofrecen a un ciberdelincuente una forma de acceder a contraseñas robadas y pares de nombres de usuario o correos electrónicos, es decir, credenciales de inicio de sesión. Por ejemplo, la filtración de datos Collection 1-5 de 2019 expuso 2.200 millones de contraseñas y direcciones de correo electrónico.

Las filtraciones de datos suelen producirse a través de un acceso no autorizado a una base de datos, una mala configuración de la seguridad que deja la base de datos vulnerable, una exposición accidental por un error en el envío de correos electrónicos o un hackeo deliberado. En un ciclo de ciberdelincuencia, una base de datos comprometida libera más credenciales de acceso para llevar a cabo nuevos ataques.

Phishing

Una forma popular de robar contraseñas es el phishing. De hecho, el DBIR de 2022 señalaba el phishing como uno de los cuatro métodos principales de violación de datos para acceder a los datos de inicio de sesión. El spear-phishing es un problema particular para los administradores de sistemas y los usuarios privilegiados a los que se ataca por sus credenciales de acceso privilegiado.

Los proveedores externos son objetivos de los hackers en los ataques relacionados con contraseñas. Por ejemplo, en el caso del ataque del ransomware Colonial Pipeline de 2021, una única contraseña robada a un exempleado se vinculó al ataque que provocó el cierre temporal de la mitad del suministro de combustible de Estados Unidos.

Exposición accidental y amenazas internas

A los empleados les gusta compartir contraseñas con sus compañeros, así como reutilizarlas. Una encuesta reciente reveló que casi el 42% de los empleados comparten contraseñas con compañeros de trabajo. El mismo estudio reveló que 1 de cada 4 empleados seguía teniendo acceso a cuentas antiguas incluso después de dejar la empresa.

La exposición accidental de contraseñas o el acceso no autorizado contribuyen de forma significativa a los ciberataques y a las violaciones de datos, ya que el DBIR de 2022 constata que en el 82% de los ataques está implicado un ser humano.

Cinco consejos rápidos para gestionar las contraseñas

He aquí cinco consejos para gestionar las contraseñas y reducir los riesgos:

Configurar y hacer cumplir las políticas de contraseñas

Las políticas de contraseñas son el primer paso para desproteger el uso de contraseñas. Las políticas de contraseñas incluyen todo lo relacionado con la gestión de contraseñas y el mantenimiento de la seguridad de las mismas. Por ejemplo, una política debe incluir el almacenamiento seguro de las contraseñas y la frecuencia con la que hay que cambiarlas.

Las políticas de contraseñas también deben establecer claramente cómo deben crearlas y gestionarlas los empleados. Las políticas deben distribuirse a los empleados y su gestión debe automatizarse a lo largo del ciclo de vida de la política para garantizar su aceptación y comprensión en toda la empresa.

Utilice un gestor de contraseñas

Los gestores de contraseñas como Lastpass y los generadores de contraseñas reducen la fatiga de contraseñas y, por lo tanto, pueden ayudar a eliminar la reutilización y el uso compartido de contraseñas. Si utilizas un gestor de contraseñas, técnicamente solo necesitas recordar un conjunto de credenciales: la contraseña maestra para iniciar sesión en tu gestor de contraseñas.

Una vez que hayas iniciado sesión en el gestor de contraseñas con tu contraseña maestra, el gestor de contraseñas hará el resto: almacenará, generará, sincronizará y actualizará las contraseñas. La contraseña maestra se utiliza para cifrar las contraseñas almacenadas en el almacén de contraseñas.

Pero los gestores de contraseñas siguen estando infrautilizados en las empresas. Hay muchos gestores de contraseñas, pero los servicios basados en la nube pueden ser más fáciles de implementar y administrar. Busca un gestor de contraseñas que también funcione en todos los sistemas operativos y que proteja otros tipos de datos, incluidas las contraseñas.

Utilice un segundo factor (2FA/MFA)

El uso de un segundo factor, como un código de autenticación móvil, es una forma útil de añadir otra capa de seguridad al acceso de una aplicación. Sin embargo, no debes confiar en que el 2FA ofrezca un control de acceso 100% libre de riesgos.

Los ciberdelincuentes ya están ideando formas de eludir la autenticación de segundo factor. Si puedes, implanta 2FA, pero respalda esta medida con nuestros dos consejos siguientes para desproteger las contraseñas:

Formar a los empleados sobre la higiene de las contraseñas

Las políticas de contraseñas deben reflejar las normas del sector de la ciberseguridad para la creación, uso y gestión de contraseñas. Sin embargo, para aplicar esta política es necesario que los empleados comprendan por qué son esenciales las contraseñas seguras.

Los programas de concienciación sobre c iberseguridad suelen incluir módulos sobre la creación de contraseñas seguras y el mantenimiento de contraseñas seguras.

Utilice simulaciones de phishing para reducir el robo de contraseñas

El phishing es uno de los principales métodos para robar contraseñas y otras credenciales. Si se forma a los empleados sobre cómo funciona el phishing y cuáles son los signos reveladores de un mensaje de phishing, una empresa puede ayudar a prevenir el robo de credenciales mediante phishing.

Las plataformas de simulación de phishing ofrecen una forma centralizada y configurable de enviar mensajes de phishing simulados al personal. Una plataforma avanzada de phishing simulado también le permitirá adaptar los mensajes de phishing simulado para reflejar los diferentes roles en su empresa.

Es probable que las organizaciones sigan utilizando contraseñas durante un tiempo, lo que aumenta el riesgo de un ciberataque. Sin embargo, aplicando los cinco consejos aquí expuestos, puede reducir el riesgo del uso de contraseñas por parte de sus empleados. Estos consejos ayudan a prevenir las violaciones de datos y la infección por ransomware y ayudan a su empresa a cumplir con la normativa de protección de datos.

Cyber Security Awareness para Dummies | Formación de concienciación sobre la seguridad para proveedores de terceros

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes