Día Mundial de la Contraseña: Consejos de un experto en ciberseguridad para la seguridad de las contraseñas

by Rackspace Technology Staff

A hand holding a cell phone with a screen asking for log in information

¿Preferiría que le hackeen su contraseña en tres segundos o en 3,000 años? Según un reciente estudio de Hive Systems, la diferencia depende de diversos factores. El factor de hackeabilidad de 3,000 años incluye una contraseña de 12 caracteres con una combinación de números, letras en mayúscula y minúscula y símbolos.  

Aunque las contraseñas pueden parecer obsoletas en una época en donde hay formas de autenticación más modernas, como la biometría, estas siguen siendo la manera principal de proteger el acceso a las aplicaciones, las redes y los dispositivos.  

"A pesar de que son una forma desopilantemente arcaica de autenticación, las contraseñas están aquí para quedarse dada su simplicidad y facilidad de implementación", dijo Nicolas Christin, colíder de un equipo de investigación de contraseñas de Carnegie Mellon. Por ejemplo, “cuando falla su aplicación de reconocimiento facial, ¿a qué vuelve a recurrir? A un PIN, que es una forma de contraseña". 

 

Honremos al #DíaMundialdelaContraseña 

El Día Mundial de la Contraseña, que se celebra el primer jueves de mayo, es un día para que las organizaciones y los individuos recuerden que todos deberíamos poner en práctica una mejor higiene de las contraseñas. Las empresas necesitan contraseñas más seguras para que sus redes, aplicaciones y archivos no caigan en manos de hackers maliciosos.

Asimismo, las personas necesitan contraseñas más seguras para garantizar que su información privada esté protegida cuando usan servicios bancarios en Internet, sitios de comercio electrónico y redes sociales.  

Además, los ataques a las contraseñas están en auge, según un estudio de Specops Software. Su Informe de contraseñas débiles de 2022 informó estos datos: 

  • El 54 % de las organizaciones no dispone de una herramienta para gestionar las contraseñas. 
  • El 48 % de las organizaciones no cuenta con un proceso de verificación de usuarios para las llamadas a un centro de servicio de TI. 
  • El 41 % de las contraseñas que se utiliza en ataques tienen 12 caracteres o más, pero no son lo suficientemente seguras. 

 

Nuestras limitaciones cognitivas 

Aunque la creación de contraseñas más seguras es el objetivo, ponerlo en práctica es complejo si tenemos en cuenta la cantidad de contraseñas que cada persona debe recordar: una cifra que se ha expandido de manera exponencial desde la llegada de Internet. Un estudio hecho por Microsoft en 2007 reveló que los usuarios típicos usaban 6.5 contraseñas en unas 25 cuentas. En 2022, cada usuario debe recordar un promedio de 70 a 80 contraseñas.  

Nuestra incapacidad para recordar tantas contraseñas se suma al desafío que plantea la gestión de contraseñas. Otro estudio mostró que no estamos bien preparados a nivel cognitivo para hacer frente a 25 contraseñas distintas, y mucho menos, a más de 70. En el estudio, se descubrió que un usuario típico de Internet puede hacer frente a, como mucho, cuatro o cinco contraseñas de manera eficaz. Esta limitación en la capacidad cognitiva es la razón principal por la que la mayoría de las personas reutilizan las contraseñas en diferentes sitios, con pocas modificaciones o sin hacerle ningún cambio. 

"La reutilización de contraseñas en más de un sitio es una de las principales causas de la piratería informática", dice John Moran, arquitecto de Soluciones de Seguridad de Rackspace Technology®. Así que, en honor al Día Mundial de la Contraseña, Moran compartió las prácticas recomendadas en lo que respecta a las contraseñas para mantenernos más seguros en el trabajo y en el hogar.  

Aspire a la complejidad. El estudio de Hive Systems descubrió que cuanto más compleja es la contraseña, más difícil es para los hackers descifrarla. Sin embargo, la mayoría de las contraseñas no son lo suficientemente complejas.  

"Para combatir las tácticas de los hackers, como los ataques de fuerza bruta, las contraseñas deben ser complejas", dijo Moran. "Es decir, deben ser largas, con nueve a doce caracteres o más. Y deben contener una combinación de letras en mayúscula y minúscula, números y símbolos.  

Piense en una "frase de contraseña" en lugar de en una contraseña. Moran recomienda crear frases de contraseña en lugar de contraseñas para reforzar el factor de complejidad, pero, a su vez, generar contraseñas que sean fáciles de recordar. Por ejemplo, elija una frase como "I love to cook at home on Fridays" (Me gusta cocinar en casa los viernes) y conviértela en una frase de contraseña. En este caso, IL2c@h0F, por ejemplo.  

No duplique las contraseñas. Muy a menudo, los usuarios crean una contraseña y la utilizan en varios lugares, principalmente porque es más fácil recordar una que muchas. Pero esto representa una pésima higiene de contraseñas. En cambio, es importante usar una contraseña única para cada sitio.  

"Este hábito proporcionará un control de los daños, ya que contendrá todo perjuicio que un hacker pueda hacer si llega a acceder a un sitio", explicó Moran. "No podrá simplemente usar la misma contraseña para entrar en otros sitios. Por lo tanto, el daño que puede hacer es mucho más limitado".  

Actualice las contraseñas de forma programada. Algunas empresas requieren que sus empleados actualicen las contraseñas de manera regular, cada 90 o 120 días.  

Sin embargo, Moran dijo: "El riesgo aquí es que las personas creen contraseñas fáciles porque deben recordar una nueva contraseña cada pocos meses. Así que ponga más énfasis en generar contraseñas seguras y complejas".

Implemente la autenticación multifactor. Esto es como un sistema de soporte de respaldo para la protección por contraseña. Cuando los usuarios deben pasar a un segundo paso, como proporcionar un código, para obtener acceso a una red, aplicación o archivo, el hackeo será mucho más difícil.  

"Cuando suma las dos capas de protección, se hace más difícil que un adversario las traspase", señaló Moran.  

Fortalezca su almacenamiento de contraseñas. El almacenamiento de contraseñas es un factor fundamental para su seguridad. Lo ideal es tener una base de datos de contraseñas con su propia contraseña supersegura: "una clave para poder acceder a todas". 

Desactive las cuentas obsoletas. Es muy frecuente que las empresas no eliminen las cuentas de los empleados que han dejado su trabajo. Pero esto, muy a menudo, ofrece una forma relativamente sencilla para que los hackers abusen de un sistema.  

"Algunas empresas dejan activas durante años las cuentas dadas de baja", señaló Moran. "Sin embargo, desactivar las cuentas de los empleados que dejan sus trabajos debería ser una tarea permanente de la gestión adecuada de las contraseñas". 

Emplee reglas del privilegio mínimo. Se trata de darles a los empleados el mínimo nivel de acceso necesario para hacer su trabajo. "Esta práctica ayuda a limitar el daño si hay una violación, incluso una violación interna", señaló Moran.  

 

Solving Together™

Las contraseñas son más importantes que nunca, lo que incluye el hecho de que muchas organizaciones ahora trabajan en operaciones remotas e híbridas. Reforzar la protección por contraseña ayudará a bloquear las redes y las aplicaciones, y garantizará que solo las personas que deben tener acceso lo tengan.

Todos necesitamos un recordatorio, como el #DíaMundialdelaContraseña, que nos sirva como inspiración para mejorar nuestros hábitos en cuanto a las contraseñas y mantener una barrera más sólida entre nuestra información crítica y los hackers cada vez más expertos de hoy en día. 

La solución Elastic Engineering for Security de Rackspace Technology ayuda a las empresas de todo el mundo a defenderse mejor contra un mundo con amenazas en aumento. Descubra cómo podemos ayudar a su organización a subsanar sus deficiencias de seguridad implementando la defensa perfecta contra el escenario complejo que plantea la ciberseguridad.

Escuche nuestro podcast CloudTalk Live acerca de Combatir las amenazas a la seguridad con una defensa multicapa.

Realice nuestra autoevaluación de riesgos de ciberseguridad para que podamos ayudar a evaluar, implementar, diseñar y gestionar sus desafíos de seguridad y compliance.

¿Está listo para hablar con un experto en soluciones de seguridad?