Las contraseñas han sido un pilar de la seguridad desde que el lenguaje humano evolucionó. Este secreto compartido puede utilizarse para abrir puertas tanto físicas como digitales. Pero como cualquier secreto, si se revela a la persona equivocada, puede utilizarse para actos nefastos.
Las contraseñas ofrecen a los ciberdelincuentes una forma de pasar por encima del guardián. Esa puerta se abre de par en par si una contraseña es insegura, compartida o suplantada. La gestión de las contraseñas ayuda a mitigar el riesgo en una organización.
A continuación, se exponen algunos de los riesgos del uso de contraseñas y consejos para su gestión.
El problema de las contraseñas
Las contraseñas persisten porque los usuarios las entienden, porque los desarrolladores de aplicaciones y sitios web las comprenden y porque ofrecen una seguridad básica. Las contraseñas persistirán por estas razones, incluso con iniciativas como el sistema sin contraseña, FIDO.
Una contraseña segura es la credencial de inicio de sesión más fundamental, pero las contraseñas distan mucho de ser una medida de seguridad sólida. Debido a las puertas que puede abrir una contraseña, esta credencial se ha convertido en el foco de los ciberataques. El informe 2022 Data Breach Investigations Report (DBIR) identificó el robo de credenciales como uno de los cuatro métodos más utilizados para violar datos.
El Informe Anual sobre Exposición de Identidades 2022 identificó algunas estadísticas asombrosas en relación con las contraseñas:
● 1.700 millones de credenciales (combinaciones de dirección de correo electrónico y contraseña o nombre de usuario y contraseña) fueron explotadas por hackers en 2021
● El 70% de los usuarios seguía utilizando contraseñas comprometidas un año después
● La contraseña número uno reutilizada en texto claro (es decir, sin encriptar) fue 'password'
● El 60% de los usuarios reutiliza las contraseñas. Una encuesta de Google reveló que el 52% reutiliza contraseñas en varias cuentas.
● Sólo el 20% de los usuarios tiene un gestor de contraseñas
Los costes de la exposición de contraseñas, robos y accesos no autorizados se acumulan. El informe de 2022 del Ponemon Institute Cost of Insider Threats descubrió que:
● El coste del robo de credenciales aumentó un 65%, pasando de 2,79 millones de dólares en 2020 a 4,6 millones en 2021/2022
● Contener una amenaza interna lleva unos 85 días
● Los incidentes que tardaron más de 90 días en contenerse costaron, de media, 17,19 millones de dólares
Cómo acaban las contraseñas en manos de los ciberdelincuentes
Algunas de las formas más típicas en las que se roban o ponen en peligro las contraseñas son:
Infección por malware
El malware diseñado para robar datos enviará cualquier combinación de contraseña/nombre de usuario/correo electrónico introducida por un usuario a los ciberdelincuentes que controlan el malware.
Un informe de SpyCloud descubrió que en 2021, el malware "RedLine Stealer" era ampliamente utilizado para robar credenciales y otros datos de usuarios de Windows. El malware estaba disponible para su compra en un sitio web oscuro por 800 dólares o una suscripción de malware como servicio por 200 dólares al mes.
Violación de datos
Las violaciones de datos ofrecen a un ciberdelincuente una forma de acceder a contraseñas robadas y pares de nombres de usuario o correos electrónicos, es decir, credenciales de inicio de sesión. Por ejemplo, la filtración de datos Collection 1-5 de 2019 expuso 2.200 millones de contraseñas y direcciones de correo electrónico.
Las filtraciones de datos suelen producirse a través de un acceso no autorizado a una base de datos, una mala configuración de la seguridad que deja la base de datos vulnerable, una exposición accidental por un error en el envío de correos electrónicos o un hackeo deliberado. En un ciclo de ciberdelincuencia, una base de datos comprometida libera más credenciales de acceso para llevar a cabo nuevos ataques.
Phishing
Una forma popular de robar contraseñas es el phishing. De hecho, el DBIR de 2022 señalaba el phishing como uno de los cuatro métodos principales de violación de datos para acceder a los datos de inicio de sesión. El spear-phishing es un problema particular para los administradores de sistemas y los usuarios privilegiados a los que se ataca por sus credenciales de acceso privilegiado.
Los proveedores externos son objetivos de los hackers en los ataques relacionados con contraseñas. Por ejemplo, en el caso del ataque del ransomware Colonial Pipeline de 2021, una única contraseña robada a un exempleado se vinculó al ataque que provocó el cierre temporal de la mitad del suministro de combustible de Estados Unidos.
Exposición accidental y amenazas internas
A los empleados les gusta compartir contraseñas con sus compañeros, así como reutilizarlas. Una encuesta reciente reveló que casi el 42% de los empleados comparten contraseñas con compañeros de trabajo. El mismo estudio reveló que 1 de cada 4 empleados seguía teniendo acceso a cuentas antiguas incluso después de dejar la empresa.
La exposición accidental de contraseñas o el acceso no autorizado contribuyen de forma significativa a los ciberataques y a las violaciones de datos, ya que el DBIR de 2022 constata que en el 82% de los ataques está implicado un ser humano.
Cinco consejos rápidos para gestionar las contraseñas
He aquí cinco consejos para gestionar las contraseñas y reducir los riesgos:
Configurar y hacer cumplir las políticas de contraseñas
Las políticas de contraseñas son el primer paso para desproteger el uso de contraseñas. Las políticas de contraseñas incluyen todo lo relacionado con la gestión de contraseñas y el mantenimiento de la seguridad de las mismas. Por ejemplo, una política debe incluir el almacenamiento seguro de las contraseñas y la frecuencia con la que hay que cambiarlas.
Las políticas de contraseñas también deben establecer claramente cómo deben crearlas y gestionarlas los empleados. Las políticas deben distribuirse a los empleados y su gestión debe automatizarse a lo largo del ciclo de vida de la política para garantizar su aceptación y comprensión en toda la empresa.
Utilice un gestor de contraseñas
Los gestores de contraseñas como Lastpass y los generadores de contraseñas reducen la fatiga de contraseñas y, por lo tanto, pueden ayudar a eliminar la reutilización y el uso compartido de contraseñas. Si utilizas un gestor de contraseñas, técnicamente solo necesitas recordar un conjunto de credenciales: la contraseña maestra para iniciar sesión en tu gestor de contraseñas.
Una vez que hayas iniciado sesión en el gestor de contraseñas con tu contraseña maestra, el gestor de contraseñas hará el resto: almacenará, generará, sincronizará y actualizará las contraseñas. La contraseña maestra se utiliza para cifrar las contraseñas almacenadas en el almacén de contraseñas.
Pero los gestores de contraseñas siguen estando infrautilizados en las empresas. Hay muchos gestores de contraseñas, pero los servicios basados en la nube pueden ser más fáciles de implementar y administrar. Busca un gestor de contraseñas que también funcione en todos los sistemas operativos y que proteja otros tipos de datos, incluidas las contraseñas.
Utilice un segundo factor (2FA/MFA)
El uso de un segundo factor, como un código de autenticación móvil, es una forma útil de añadir otra capa de seguridad al acceso de una aplicación. Sin embargo, no debes confiar en que el 2FA ofrezca un control de acceso 100% libre de riesgos.
Los ciberdelincuentes ya están ideando formas de eludir la autenticación de segundo factor. Si puedes, implanta 2FA, pero respalda esta medida con nuestros dos consejos siguientes para desproteger las contraseñas:
Formar a los empleados sobre la higiene de las contraseñas
Las políticas de contraseñas deben reflejar las normas del sector de la ciberseguridad para la creación, uso y gestión de contraseñas. Sin embargo, para aplicar esta política es necesario que los empleados comprendan por qué son esenciales las contraseñas seguras.
Los programas de concienciación sobre c iberseguridad suelen incluir módulos sobre la creación de contraseñas seguras y el mantenimiento de contraseñas seguras.
Utilice simulaciones de phishing para reducir el robo de contraseñas
El phishing es uno de los principales métodos para robar contraseñas y otras credenciales. Si se forma a los empleados sobre cómo funciona el phishing y cuáles son los signos reveladores de un mensaje de phishing, una empresa puede ayudar a prevenir el robo de credenciales mediante phishing.
Las plataformas de simulación de phishing ofrecen una forma centralizada y configurable de enviar mensajes de phishing simulados al personal. Una plataforma avanzada de phishing simulado también le permitirá adaptar los mensajes de phishing simulado para reflejar los diferentes roles en su empresa.
Es probable que las organizaciones sigan utilizando contraseñas durante un tiempo, lo que aumenta el riesgo de un ciberataque. Sin embargo, aplicando los cinco consejos aquí expuestos, puede reducir el riesgo del uso de contraseñas por parte de sus empleados. Estos consejos ayudan a prevenir las violaciones de datos y la infección por ransomware y ayudan a su empresa a cumplir con la normativa de protección de datos.