(GLOBAL).-Tal como indica WatchGuard, las contraseñas se han vuelto una parte importante de la vida cotidiana, al punto que se tiene una para casi todas las actividades. Por ello, es fundamental concientizar sobre la importancia de cuidar la privacidad, los datos personales y toda la información que se gestiona en las diversas plataformas digitales, y aplicar buenas prácticas en materia de seguridad informática para evitar robos de información.
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido reveló que 23 millones de personas en todo el mundo usaban la contraseña “123456”; demostrando que muchos aún desconocen los crecientes riesgos.
Según el Informe de investigaciones de violación de datos de 2021 de Verizon, el 61 % de las violaciones aprovechan credenciales robadas o filtradas. Los atacantes continúan agregando millones de nuevas credenciales filtradas a los miles de millones que ya están disponibles en sitios clandestinos y la web oscura. Esta tendencia ha continuado durante años.
Por ello, en 2022, no se puede pasar por alto la importancia de tener una contraseña segura con la cantidad de aplicaciones y servicios que un individuo utiliza día a día. Sin mencionar el hecho de que muchas empresas ahora están permitiendo a sus empleados conectarse a la red corporativa en dispositivos personales para ofrecer una mayor flexibilidad.
Como resultado, estos dispositivos actúan como una puerta de entrada, lo que significa que los hackers oportunistas pueden aprovechar un endpoint vulnerable para robar datos confidenciales tanto personales como profesionales almacenados en la infraestructura de la empresa.
En ese sentido, para evitar ciberdelincuentes, es fundamental utilizar una contraseña diferente por cada cuenta, que sea robusta (sin fechas o datos conocidos, mínimo 8 caracteres con letras, números y símbolos), cambiarla regularmente y activar doble autenticación siempre que sea posible
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor mundial de ciberseguridad, provee consejos prácticos sobre cómo mantener protegidos los datos privado, a saber:
Usar una combinación de caracteres: Tener una contraseña que esté compuesta por frases simples o por fechas importantes para la vida personal del usuario es una práctica muy común. Sin embargo, este hábito debilita seriamente a una contraseña, ya que los ciberdelincuentes pueden encontrar fácilmente información como los cumpleaños. Para evitar esto, utilice siempre una secuencia aleatoria formada por una combinación de diferentes números, letras y símbolos para cada plataforma.
Una contraseña diferente para todo: con tantas aplicaciones y servicios que ahora requieren detalles de inicio de sesión, es tentador repetir la misma contraseña única para todos, pero es una mala idea. Al igual que no tenemos la misma llave para abrir nuestra casa, oficina o automóvil, no debemos usar la misma contraseña para todo. Esto solo hace que sea más fácil para los hackers “abrir” toda nuestra vida digital. Si le parece difícil recordarlas todas, siempre puede emplear la ayuda de un administrador de contraseñas.
Cuantos más caracteres, más fuerte: Es cierto que cuanto más larga sea una combinación, más difícil es recordarla. Pero es una de las mejores maneras de mantener segura la información, así que asegúrese de usar al menos 8 dígitos para ajustarla a los niveles de seguridad.
Realizar cambios regulares: Cambiar su contraseña regularmente puede parecer un desafío casi imposible. Sin embargo, esto se puede hacer de forma más sencilla usando el mismo patrón básico y agregando diferentes combinaciones a partir de ahí. De esta manera, será más fácil de recordar y más fácil de cambiar con regularidad.
Activar la autenticación de dos factores: Al tomar todas las medidas anteriores, se mejora la calidad de una contraseña (algo que sabe) pero también es fundamental implementar un doble factor de autenticación (algo que posee, como un token por ejemplo). Puede ocurrir que surjan nuevas amenazas, como el robo de datos de un dispositivo infectado o que sea atacada alguna empresa con sus datos, por lo tanto, activando este segundo factor impedirá el acceso de un atacante o persona no autorizada si el usuario y contraseña se ven comprometidos.
LATAM: Ciberataques y digitalización, una dupla en expansión
La autenticación como opción a la contraseña
Las contraseñas forman parte de todo tipo de aplicaciones y plataformas actualmente, desde la banca en línea y el correo electrónico, hasta cuentas en comercios electrónicos. Sin embargo, esto podría convertirse en un problema, ya que son varias las claves que los usuarios deben recordar. De hecho, una encuesta realizada por ESET en 2021, determinó que el 49% de los usuarios anotan sus contraseñas para no olvidarlas y 38% lo hace en un papel, dejándolas expuestas a riesgos.
Asimismo, las contraseñas existen desde que se crearon los primeros computadores y dispositivos tecnológicos. Sin embargo, hoy el concepto “sin contraseña” puede hacer la vida mucho más sencilla tanto para usuarios como para departamentos de seguridad, reduciendo así los riesgos cibernéticos.
De acuerdo a lo mencionado por Corey Nachreiner, Director de Seguridad de WatchGuard, la autenticación sin contraseña se ha vuelto más precisa en los últimos años, con Microsoft oficialmente apoyando las opciones sin contraseña en Windows 10 y 11.
Sin embargo, las contraseñas no morirán tan fácilmente con innumerables casos de uso que aún las requieren y la mayoría de las organizaciones de Windows todavía las usan.
Sin embargo, la mejor práctica de autenticación más importante en la actualidad es utilizar la autenticación de múltiples factores (MFA), por lo que «creo que un Día mundial de MFA» sería una celebración más poderosa y efectiva para fortalecer las identidades digitales, agregó Nachreiner
Desafortunadamente, algunas opciones sin contraseña sufren los mismos problemas que las contraseñas. El quid es que ningún factor único de autenticación sea perfectamente resistente a un ataque.
Las contraseñas pueden perderse o ser robadas, al igual que los certificados y claves digitales. La biometría ha sido pirateada y eludida repetidamente; incluso los tokens de hardware han sido derrotados.
Es posible que algunos métodos sin contraseña no incluyan una contraseña, pero aún así solo se basan en un único factor de autenticación. La única forma de ralentizar a los atacantes de autenticación es combinar varios factores de autenticación, como algo que eres (huellas dactilares biométricas o escaneos faciales), algo que tienes (como una llave de hardware o un teléfono móvil) y algo que sabes (como una contraseña). MFA le permite asegurarse de que incluso si un atacante obtiene acceso a uno de estos tokens, como una contraseña de usuario, no podrá iniciar sesión sin el segundo (y, a veces, el tercero) token de autenticación.
Beneficios sin contraseña
Con el fin de beneficiar los negocios, la autenticación sin contraseña permite que biométricamente, a través de reconocimiento facial o un código único enviado por correo electrónico, las empresas mantengan la seguridad.
Mejorar la experiencia de usuario. Los inicios de sesión son más fluidos y eliminan la necesidad de que los usuarios recuerden sus contraseñas. Esta metodología puede incluso ayudar a las empresas de venta para que sus carritos online no queden sin finalizar por problemas de inicio de sesión.
Mejora la seguridad. Si no hay contraseñas para robar, las organizaciones pueden eliminar un vector clave que compromete la seguridad. Se afirma que, el año pasado, las contraseñas fueron las culpables del 84% de las brechas de datos. Al menos esto generará mayor dificultad a los atacantes para obtener lo que buscan. Y en el caso de los ataques de fuerza bruta, que actualmente se registran miles de millones cada año, se convertirán en cosa del pasado.
Reducir costos. Permite minimizar los daños financieros provocados por ransomware y brechas de datos. Además, reduce los costos de administración IT asociados al restablecimiento de contraseñas y la investigación de incidentes.
“La autenticación sin contraseña permite reducir costos administrativos, mejorar la productividad y reducir los riesgos de ataques. Su implementación en la actualidad no ha sido tan fuerte, pero está llegando lentamente para quedarse. Un ejemplo de ello es la compañía Microsoft, la cual introdujo la autenticación sin contraseña para todos sus usuarios en septiembre del 2021”, comenta Sol González, Investigadora de Seguridad Informática de ESET Latinoamérica.
“Si hablamos de ciberseguridad, las contraseñas pueden proporcionar a los atacantes un objetivo que es cada vez más fácil de obtener mediante robo, ataques de phishing o fuerza bruta. Cuando los atacantes tienen las claves en su poder, se pueden hacer pasar por usuarios legítimos y superar los mecanismos de seguridad dentro de las redes corporativas durante mucho tiempo. Peor aún, el tiempo necesario para identificar y contener una brecha de datos es de 287 días”, explica González.
¿Por qué aún no es tan popular?
Si bien el no usar contraseñas ofrece una serie de beneficios para las empresas, también existen barreras para su implementación, entre ellas, es que los ataques de SIM swapping pueden ayudar a los atacantes a eludir los códigos de acceso de un solo uso (OTP) enviados por mensaje de texto y acceder a dispositivos y máquinas.
Además, la biometría no es infalible. “Al autenticarse con un atributo físico que el usuario no puede cambiar o restablecer, el riesgo aumenta si los atacantes encuentran una manera de comprometer el sistema. Ya se están desarrollando técnicas de aprendizaje automático para socavar la tecnología de reconocimiento de voz y de imagen”, detalla González.
Por otro lado, esta implementación puede significar grandes costos para las pequeñas y medianas empresas, sin mencionar los potenciales costos involucrados en la emisión de dispositivos o tokens de reemplazo.
Pese a que todavía los usuarios y empresas están acostumbrados a escribir sus claves, el aumento de los servicios en línea para el consumidor y el trabajo híbrido podrán darle forma a un futuro libre de contraseñas de manera estratégica, ágil y segura.
