Las contraseñas han sido las llaves del reino durante más de 50 años, protegiendo los datos más confidenciales que tiene una organización. Sin embargo, a pesar de su valor intrínseco, son una de las formas de seguridad más pasadas por alto. Tal y como muestran los datos compartidos por DataProt, actualmente más de 23 millones de personas utilizando «123456» para proteger sus cuentas, con un poco sorprendente 90% de los usuarios de Internet preocupados de que su contraseña pueda ser vulnerada.
Estas estadísticas deberían mantener a los empresarios en vela, especialmente porque apuntan a que el 51% de los usuarios tienen las mismas contraseñas para el trabajo y las cuentas personales. La pregunta es, ¿Dónde reside la responsabilidad cuando una contraseña débil conduce a una brecha de seguridad? ¿Depende de un solo individuo asumir la responsabilidad personal, o necesitamos presionar a las empresas para que introduzcan métodos de autenticación más sólidos? En mi opinión la respuesta es: todo lo anterior.
Por qué las contraseñas son el eslabón más débil
Si tenemos en cuenta que el usuario promedio tiene 100 contraseñas para recordar, según los datos de este mismo estudio, no es de extrañar que muchos sufran de «sobrecarga de claves», sobre todo, debido a la gran cantidad de servicios y aplicaciones online que se utilizan, tanto relacionados con el trabajo, como personales. Algo que, sumado a la necesidad de que sean complejas con caracteres y símbolos, hace que el cerebro humano busque atajos más sencillos, lo que a menudo resulta en malas prácticas de cara a la creación y gestión de contraseñas.
Realmente lo único que se necesita es que un solo empleado sufra una brecha de seguridad en una de sus cuentas, y un ciberdelincuente podría acceder a todas las aplicaciones que utilizan, incluidas las herramientas de colaboración profesional como Teams, Slack y Outlook. Esto podría dar como resultado una fuga de datos masiva, costosas demandas de rescate o multas, o una pérdida completa de la confianza del cliente, que puede ser difícil de recuperar. Su impacto podría ser aún más dañino si le sucede a alguien con un nivel más alto de permisos que otros empleados. En ese caso, los ciberdelincuentes podrían hacerse camino hacia la red casi sin oposición, y crear daños generalizados.
Cuando se llega a acceder a los datos de un empleado de nivel ejecutivo es especialmente importante tomar medidas proactivas para combatir el robo de contraseñas y su exposición. Con tantos intentos de ataques planeando sobre nosotros, es imprescindible fortalecer los protocolos de seguridad y los pasos de acción que se pueden implementar todas las claves para un impacto inmediato.
Eliminar la dependencia de las contraseñas
Las empresas deben promulgar y hacer cumplir unas buenas prácticas de ciberseguridad. La mejor manera de hacerlo es reducir la dependencia actual de las contraseñas. Esto significa que las organizaciones deben adoptar otros métodos de autenticación para reducir las posibilidades de sufrir una brecha de seguridad. Por ejemplo, al combinar múltiples soluciones de protección de cuentas, como aplicaciones de autenticación de dos factores, con biometría, se reducirán las posibilidades de un ataque exitoso y, al mismo tiempo, ayudará a mejorar la postura de seguridad general.
Las compañías también podrían considerar el uso de inicio de sesión único (SSO), que permite a un usuario autenticarse en múltiples plataformas separadas a través de un solo ID. Esta solución elimina la necesidad de varias contraseñas diferentes. Aunque aquí existe un elemento de riesgo, al combinar el SSO con la autenticación multifactor, que en el caso de hacer se puede agregar una segunda capa de protección.
Otras formas de causar impacto
Mejorar estas prácticas no tiene por qué ser complicado, pero sí debe implementarse ahora para minimizar las posibilidades de un ataque futuro. Hay acciones que se pueden tomar para ayudar a las empresas a abordar el problema generalizado de las contraseñas inseguras.
La implementación de una solución de monitoreo de cuentas puede ayudar a cubrir una de las premisas más importantes. Y es que solo se puede proteger lo que puede ver, por lo que es importante que se tenga visibilidad de todas las cuentas que se han visto comprometidas por un ataque. De lo contrario, ¿cómo se van a hacer mejoras para evitar que un ataque vuelva a ocurrir? Es por eso que es imprescindible revisar la configuración predeterminada de la cuenta y activar funciones como bloquear una cuenta después de ciertos intentos. No es deseable que un atacante tenga tiempo o un número ilimitados de intentos de inicio de sesión, lo que podría permitirle forzar su entrada en su organización.
Cuando se les preguntó sobre el impacto de los ataques de phishing exitosos, el 52% de los líderes de seguridad dijeron que habían experimentado un compromiso de credenciales. A la luz de esto, lo que las organizaciones deberían preguntarse es “¿cómo permitió la seguridad de mi email este correo de phishing?” «¿Es eficaz para bloquear y prevenir estos correos electrónicos cuidadosamente elaborados?» De lo contrario, entonces es necesario invertir en tecnología que evite que los correos electrónicos maliciosos lleguen al buzón en primer lugar. El segundo paso es buscar una solución que evite que un usuario ingrese sus credenciales en una página web de phishing. Estas soluciones existen, es solo una cuestión de inversión y adopción.
Por otra parte, la mayor parte de las ocasiones tener una contraseña resulta un requisito obligatorio, por lo que no puede confiar solo en otros métodos de autenticación. Hay que realizar una evaluación para decidir si un administrador de contraseñas sería apropiado para una organización. Los administradores de contraseñas tienen varios beneficios. Permiten a sus empleados almacenar credenciales de forma segura, generar contraseñas únicas, y pueden completar automáticamente campos en sitios web. Esto elimina la dependencia de recordar cientos de contraseñas o escribirlas para que cualquiera las vea.
Para terminar, es imprescindible decir que, en el panorama digital actual, un ataque es inevitable. Sin embargo, prevenirlo es posible con la combinación correcta de tecnologías y protocolos de seguridad. En pocas palabras, se deben tomar medidas ahora para mantener sus cuentas seguras. Dado que las malas prácticas con las contraseñas y el impacto resultante pueden dañar la reputación de una empresa más allá de la reparación, las empresas deben tratar esta situación con el nivel de seriedad que exige.
Firmado: Mario García, director general de Check Point Software para España y Portugal