Una política de contraseñas sólida suele ser la primera línea de defensa contra los ciberataques, pero muchas organizaciones siguen aplicando directrices obsoletas que las exponen a un riesgo considerable.
Según el informe de Verizon sobre investigaciones de fugas de datos en 2020, la pérdida o el robo de credenciales sigue siendo la táctica de pirateo número uno utilizada por los actores maliciosos para perpetrar fugas de datos, siendo las contraseñas comprometidas o débiles las responsables del 35% de todas las fugas.
La seguridad de las contraseñas nunca ha sido tan importante, sobre todo porque un gran número de trabajadores sigue trabajando desde casa. La superficie de las amenazas se ha ampliado, por lo que es crucial que las organizaciones actualicen su política de contraseñas para educar al personal sobre cómo crear contraseñas seguras y proporcionar una defensa sólida contra las ciberamenazas.
Las orientaciones anteriores sobre seguridad de contraseñas solían centrarse en la unicidad, la complejidad, la longitud mínima de la contraseña y los cambios periódicos de contraseña; sin embargo, los últimos consejos se han alejado de esto, ya que muchas de estas prácticas de contraseñas podrían, de hecho, hacer que los usuarios crearan contraseñas más débiles en lugar de más fuertes.
El Instituto Nacional de Estándares y Tecnología (NIST) ha abordado la importancia de las políticas de contraseñas publicando la Publicación Especial 800-63B del NIST (Directrices sobre la identidad digital - Autenticación y gestión del ciclo de vida). La publicación ofrece consejos actualizados a las organizaciones sobre cómo pueden mejorar el proceso de autenticación y reducir el riesgo de una violación de la seguridad.
Microsoft y el Centro Nacional de Ciberseguridad (NCSC) también han actualizado sus orientaciones sobre contraseñas para ayudar a las organizaciones a implantar políticas de contraseñas que puedan defenderse de la evolución de las amenazas y apoyar la forma en que las personas trabajan de forma natural.
Para garantizar que su política de contraseñas sea eficaz y cumpla las normas recomendadas por el NIST, Microsoft y el NCSC, hemos recopilado todas las directrices más recientes en consejos prácticos que su organización puede utilizar para mejorar la seguridad de las contraseñas.
Mejores prácticas de la política de contraseñas
Aumentar la longitud de las contraseñas y reducir la atención a la complejidad de las mismas
En el pasado, los consejos sobre la seguridad de las contraseñas se han centrado sobre todo en la creación de contraseñas complejas, pero esto a menudo conduce a la reutilización de contraseñas existentes con pequeñas modificaciones. Según el Consejo Nacional de Ciberseguridad"Los requisitos de complejidad suponen una carga adicional para los usuarios, muchos de los cuales utilizarán patrones predecibles (como sustituir la letra "o" por un cero o utilizar caracteres especiales) para cumplir los criterios de "complejidad" exigidos.
Los atacantes están familiarizados con estas estrategias y utilizan este conocimiento para optimizar sus ataques". La longitud de la contraseña suele ser un factor mucho más importante, ya que una contraseña más larga es estadísticamente más difícil de descifrar. El NIST y Microsoft recomiendan una longitud mínima de 8 caracteres para las contraseñas generadas por el usuario y, para reforzar la seguridad de las cuentas más sensibles, el NIST recomienda a las organizaciones fijar la longitud máxima de las contraseñas en 64 caracteres. Esto permite el uso de frases de contraseña. Una frase de contraseña es una contraseña compuesta por una frase o una combinación de palabras. Ayuda a los usuarios a memorizar contraseñas más largas y dificulta que los piratas informáticos las adivinen por fuerza bruta.
Comprobar las contraseñas contra las listas negras
La reutilización de contraseñas es un problema común y, según una encuesta de Google/Harris, el 52% de las personas reutilizan la misma contraseña en varias cuentas. Este comportamiento arriesgado ha provocado un enorme aumento de los ataques de relleno de credenciales, ya que los hackers intentan sacar provecho de los miles de millones de credenciales comprometidas que se pueden comprar en la web oscura. Utilizando estas credenciales robadas, los hackers pueden intentar acceder a otras cuentas de usuario utilizando la misma contraseña comprometida.
Para luchar contra esta amenaza, el NIST recomienda que las organizaciones utilicen un software que compruebe las contraseñas con una lista negra que incluya palabras del diccionario, cadenas repetitivas o secuenciales, contraseñas robadas en violaciones anteriores, frases de contraseña de uso común u otras palabras y patrones que los hackers podrían adivinar. Este proceso de selección ayuda a los usuarios a evitar la selección de contraseñas que supongan un riesgo para la seguridad y les indicará si una contraseña previamente segura queda expuesta en el futuro.
Elimine los reajustes periódicos de las contraseñas
Muchas organizaciones exigen a sus empleados que cambien sus contraseñas a intervalos regulares, a menudo cada 30, 60 o 90 días. Sin embargo, estudios recientes han demostrado que este enfoque de la seguridad de las contraseñas suele ser contraproducente y, de hecho, puede empeorar la seguridad. Normalmente, los usuarios tienen varias contraseñas que deben recordar, por lo que cuando se ven obligados a hacer un restablecimiento periódico, recurren a patrones de comportamiento predecibles, como elegir una nueva contraseña que es sólo una variación menor de la anterior.
Pueden actualizarla cambiando un solo carácter o añadiendo un símbolo que parezca una letra (como ! en lugar de I). Si un atacante ya conoce la contraseña existente del usuario, no será demasiado difícil descifrar la versión actualizada. El NIST recomienda eliminar este requisito para que la seguridad de las contraseñas sea más fácil de usar, y Microsoft lo aconseja: "Si nunca se roba una contraseña, no hay necesidad de caducarla. Y si tiene pruebas de que le han robado una contraseña, es de suponer que actuará de inmediato en lugar de esperar a que caduque para solucionar el problema".
Permitir copiar y pegar la contraseña
El NIST ha revisado sus directrices anteriores y ahora recomienda el uso de "copiar y pegar" al escribir una contraseña. Esto ayuda a promover el uso de gestores de contraseñas, lo que sin duda aumenta la seguridad al permitir a los usuarios generar contraseñas más largas y difíciles de descifrar.
Limitar los intentos de contraseña
Mediante un ataque de fuerza bruta, los piratas informáticos pueden intentar violar una cuenta entrando sistemáticamente en ella y probando todas las combinaciones posibles de letras, números y símbolos hasta dar con la combinación correcta de la contraseña. Una de las mejores formas de defenderse de este tipo de ataque es limitar el número de intentos de contraseña que una misma dirección IP puede realizar en un determinado periodo de tiempo.
No utilices pistas para las contraseñas
Las organizaciones utilizan con frecuencia las sugerencias de contraseña para ayudar a sus usuarios a recordar contraseñas complejas. Puede tratarse de un simple aviso o de que el usuario tenga que responder a una pregunta personal como "¿en qué ciudad nació?" o "¿cómo se llama su primer colegio?". Las respuestas a muchas de estas preguntas pueden ser fácilmente encontradas en las redes sociales por un atacante decidido. Esto socava la seguridad, por lo que el NIST ha aconsejado a las organizaciones que abandonen esta práctica, ya que podría aumentar la posibilidad de una brecha.
Utilice la autenticación multifactorial
La autenticación multifactor (M FA) es una de las formas más eficaces de proporcionar protección adicional a una cuenta protegida por contraseña. Según Microsoft, las cuentas tienen más de un 99,9% menos de probabilidades de verse comprometidas si se activa el MFA. Sin embargo, según una encuesta reciente de GetApp , sólo el 55% de los encuestados utiliza la autenticación de dos factores por defecto en sus cuentas empresariales y personales cuando está disponible.
Hay tres tipos de autenticación que se pueden utilizar:
- Algo que sabes: Una contraseña, un PIN, un código postal o la respuesta a una pregunta (por ejemplo, el nombre de soltera de la madre).
- Algo que tienes: Una ficha, un teléfono, una tarjeta de crédito, una SIM o una llave de seguridad física.
- Algo que es: Datos biométricos como la huella dactilar, la voz o el reconocimiento facial.
Algunos de estos métodos de verificación son, sin duda, más seguros que otros, pero esencialmente significa que aunque alguien robe o adivine una contraseña, no podrá acceder a la cuenta sin otro factor de autenticación.
Formar al personal sobre las mejores prácticas en materia de contraseñas
Hay muchos consejos contradictorios sobre lo que constituye una contraseña segura, por lo que es crucial que su personal entienda las mejores prácticas y esté completamente versado en lo que su política de contraseñas requiere de ellos. La formación en materia de seguridad debe instruir al personal sobre:
- Los riesgos de reutilizar las mismas contraseñas en las cuentas de casa y del trabajo
- Cómo crear contraseñas fuertes y seguras
- Cómo activar el MFA
- Cómo utilizar un gestor de contraseñas automatizado para almacenar contraseñas de forma segura
