El próximo día 5 de mayo se celebrará en todo el mundo el Día Mundial de las contraseñas. Se trata de una efeméride con el que se busca concienciar de la importancia de tomar las medidas adecuadas para crear password de calidad y de máxima seguridad. Un tema muy importante hoy en día donde, prácticamente todo, se realiza desde un dispositivo electrónico.
En palabras de Chris Hallenbeck, CISO de Tanium en América:
«Las contraseñas han sido la higiene cibernética básica 101 durante décadas, pero ya no son un método viable de seguridad en medio de los crecientes ataques actuales. Los hackers lanzan una media de 50 millones de ataques con contraseña cada día, unos 580 por segundo. Además, aproximadamente el 60 % de las violaciones de datos se atribuyen a credenciales comprometidas.
Las grandes empresas tecnológicas ya están abandonando las contraseñas (Microsoft, Google y Apple, entre otras) y adoptando soluciones de más alta tecnología como los inicios de sesión biométricos y el software de reconocimiento facial. Sin embargo, es probable que las contraseñas sigan existiendo durante un tiempo. Con el coste medio de una filtración de datos estimado en 4,2 millones de dólares, debemos seguir utilizándolas para evitar convertirnos en el objetivo de la próxima gran filtración.
El uso proactivo de la gestión de contraseñas seguras y la autenticación multifactorial (MFA) siguen siendo las mejores prácticas, convirtiéndose en algo habitual para los consumidores, los empleados y las organizaciones por igual. La MFA protege eficazmente contra el «relleno de credenciales», en el que los piratas informáticos reutilizan contraseñas robadas para lanzar ataques. Aunque esto es un buen primer paso, simplemente no es suficiente para garantizar la seguridad dado el actual panorama de amenazas. Dicho esto, este Día Mundial de la Contraseña, considera la posibilidad de cambiar tus contraseñas y revisa tus hábitos de ciber higiene para proteger tu información».
En palabras de Oliver Cronk, Chief Architect EMEA en Tanium:
«Cuando alguien busca establecer una contraseña fuerte, suele elegir alrededor de 8 caracteres que contienen múltiples números, caracteres especiales y varias letras que son aleatorias. Sin embargo, esto puede hacer que los usuarios olviden sus contraseñas o las escriban en un lugar que otros las puedan ver. Esto deja a los usuarios expuestos a ser hackeados y expone a las empresas a que personas no verificadas se unan a la red.
Aunque muchos organismos aconsejan utilizar la lógica de las tres palabras aleatorias a la hora de crear contraseñas, los nombres de mascotas predecibles y las fechas de nacimiento siguen siendo muy utilizados. Por tanto, se demuestra que aún queda trabajo por hacer en materia de higiene informática para ayudar a proteger tanto a las empresas como al público. Establecer unas ciberdefensas sólidas nunca ha sido tan esencial, sobre todo porque los hackers son cada vez más sofisticados.
En el caso de las empresas, esto significa examinar cómo inculcar un enfoque seguro de las contraseñas dentro de la organización. Una forma de abordar esta tarea es animar a los empleados, incluidos los altos cargos, a utilizar una única y buena contraseña y exigir al usuario que proporcione dos o más factores de verificación. De este modo, el usuario tiene menos motivos para cambiar su contraseña con regularidad y puede ser más eficaz que obligarlos a cambiar su contraseña cada 90 días. Además, la comprobación de los restablecimientos de contraseñas con respecto a las contraseñas más utilizadas, esperadas o comprometidas es otra medida que las organizaciones no incorporan tanto como deberían.
Desgraciadamente, no existe una protección al 100% en ciberseguridad. Incluso si se ha cerrado una vía mediante una autenticación eficaz del usuario, puede haber otras que los atacantes exploren a través del robo de las cookies del navegador que contienen credenciales. El objetivo es dificultar al máximo las cosas al adversario. Con la autenticación multifactor y las contraseñas seguras aplicadas en toda la organización son un buen punto de partida si se aplican como parte de una estrategia de confianza cero, un enfoque para asegurar una organización mediante la eliminación de la confianza implícita y la validación de cada decisión de seguridad».