Antes pyme con contraseñas fuertes que sencillas

Publicado el 30/05/2016, por INCIBE
Antes pyme con contraseñas fuertes que sencillas

Hay un proverbio árabe que dice: «La primera vez que me engañes, será culpa tuya. La segunda, será culpa mía». En cuanto a la seguridad de la información, y en el tema de las contraseñas, ya no podemos seguir echando balones fuera. Ya ha ocurrido antes, no dejaremos que siga pasando.

Sabemos que las credenciales de acceso (usuario y contraseña) son uno de los tipos de datos, junto con las cuentas bancarias y tarjetas de crédito, más demandados en los mercados negros de compra-venta de información. Para los cibercriminales, adivinarlas o craquearlas es un juego, cuanto más cortas y más sencillas mejor. Sin duda esto no es nuevo, aun así, seguimos cayendo en los mismos errores. ¡La culpa es nuestra!

Además la sofisticación de los ataques a las pymes va in crescendo. Se dice, se oye, se comenta,… que no estamos bien protegidos, que somos fáciles de engañar. El ransomware, un ataque en el que cifran nuestros datos -los secuestran- y nos piden a cambio un rescate (ahora también en bitcoins), es cada vez más frecuente y elaborado. Utilizan técnicas de ingeniería social, tan viejas como el timo de la «estampita» o el «tocomocho»: nos dejamos engañar y les damos en bandeja nuestras credenciales. Con ellas pueden, además de secuestrarnos los datos, robar las cuentas de los usuarios de nuestras aplicaciones o de nuestra tienda online, entrar en nuestra red, espiarnos, utilizar nuestros sistemas para convertirlos en zombies de una botnet y lanzar todo tipo de ataques (spam, distribución de malware, denegación de servicio,…). En un reciente post, nos preguntábamos si la identidad es ahora el nuevo perímetro, añadiendo una serie de consejos para gestionarla en este entorno tan cambiante.

A pesar de esto, la autenticación, los mecanismos que utilizamos para determinar que quien accede a nuestros sistemas es realmente quien dice ser, se sigue realizando mayoritariamente mediante usuario y contraseña. Podemos -y se recomienda para servicios y sistemas críticos- utilizar autenticación multifactorial, añadiendo a la contraseña (algo que sé), un segundo factor, por ejemplo: un token criptográfico (algo que tengo) o la huella digital (algo que soy). Así nos lo contaba Betty, una de las chicas de oro de aquella serie de televisión, el pasado día mundial de la contraseña retándonos también, como usuarios, a conocer nuestro «coeficiente intelectual» de seguridad.

De cara a que nuestros empleados, colaboradores, partners y usuarios aumenten este «coeficiente intelectual» en cuanto a las buenas prácticas en el acceso a los servicios que proporcionamos (ya sean servicios internos, a nuestro portal o a nuestra tienda online), tendremos en cuenta que debemos:

  1. Obligarles a utilizar contraseñas fuertes, es decir, al crearla si no es fuerte no será admitida.
  2. Concienciarles para que utilicen cntraseñas diferentes para distintos servicios.
  3. Configurar los sistemas de gestión de identidades y acceso para implementar políticas que les fuercen a utilizar contraseñas fuertes y a cambiarlas con frecuencia.
  4. Dotar a nuestros servicios críticos y a los usuarios con privilegios (administradores, por ejemplo) de un doble factor de autenticación.

Por todo esto y mientras sigamos utilizando contraseñas, vamos a procurar que no sean fáciles de adivinar. En la siguiente infografía, os contamos cómo crearlas para que sean fuertes, cuáles no debemos utilizar, cómo tratarlas para no perderlas, cómo nos las roban y los riesgos que de esto se derivan.

¡No se lo vamos a poner fácil! La próxima vez, si es que la hay, no va a ser por nuestra culpa.

Todo lo que debes conocer sobre las contraseñas. Si alguien «obtiene» nuestra contraseña, nuestro negocio está en peligro. Sigue estos consejos: ¿cómo hacer una contraseña robusta?: al menos con 8 caracteres. Combinando caracteres de distinto tipo (mayúsculas, minúsculas, letras y símbolos). Utiliza generadores de contraseñas para crear contraseñas robustas. No serán palabras de diccionario ni letras adjuntas del teclado (qwerty). No tendrán información personal fácil de adivinar (nombres de usuario, mascotas, fechas, No será igual al nombre de usuario. ¿Qué tipo de contraseñas debemos evitar? contraseñas demasiado cortas. Contraseñas fáciles que contengan sólo letras número o con caracteres cercanos en el teclado (qwerty , 1234,. palabras del diccionario. contraseñas repetidas ya utilizadas en otro servicio (aunque tengan pequeñas modificaciones). datos con información persona fácil de adivinar (nombre, apellidos, direcciones, mascotas, etc. o fecha señalada (cumpleaños, etc.). nombre de usuario de un servicio (admin/admin, pepe/pepe). ¿Cómo tenemos que tratarlas? no las compartiré. no las apuntaré en papeles ni en post-it. las cambiaré cada poco tiempo y programaré su cambio. tendré contraseñas diferentes para diferentes servicios. utilizaré gestores de contraseñas para no olvidarlas. no utilizaré las mismas contraseñas en la oficina y en casa. utilizaré programas que bloqueen el acceso si hay muchos intentos fallidos. cambiaré las contraseñas por defecto en todos los sistemas y equipos. sospecharé siempre que me la pidan. ¿Cómo nos roban las contraseñas? con inqeniería social o phishing, es decir, nos engañan para que se la demos. Por accidente o descuido: la ven cuando la tecleamos o la adivinan porque es fácil. Con ataques fuerza bruta con programas que prueben todas las combinaciones. Por infección con malwa con sniffer que espía las comunicaciones del ordenador por donde viajan las contraseñas (si no van cifradas), por infección con mal keylogger que captura las pulsaciones del teclado. ¿Qué pasa si nos roban o averiguan nuestras contraseñas? podrán acceder a los sistemas corporativos. Podrán sustraer todo tipo de información confidencial. Podrán modificar o eliminar nuestra información. Podrán obtener nuestra base de datos de usuarios y proveedores. Podrán publicar en nuestra web contenidos desagradables o que hagan daño a terceros. Podrán cambiar el aspecto de nuestra web y convertirla en una web maliciosa. Podrán infectar toda nuestra red y utilizar nuestros recursos para actividades maliciosas (envío de spam, distribución de malware,...). Podrán suplantarnos para comprar o pagar en nuestro nombre.