Hay un proverbio árabe que dice: «La primera vez que me engañes, será culpa tuya. La segunda, será culpa mía». En cuanto a la seguridad de la información, y en el tema de las contraseñas, ya no podemos seguir echando balones fuera. Ya ha ocurrido antes, no dejaremos que siga pasando. Sabemos que las credenciales de acceso (usuario y contraseña) son uno de los tipos de datos, junto con las cuentas bancarias y tarjetas de crédito, más demandados en los mercados negros de compra-venta de información. Para los cibercriminales, adivinarlas o craquearlas es un juego, cuanto más cortas y más sencillas mejor. Sin duda esto no es nuevo, aun así, seguimos cayendo en los mismos errores. ¡La culpa es nuestra!
Además la sofisticación de los ataques a las pymes va in crescendo. Se dice, se oye, se comenta,… que no estamos bien protegidos, que somos fáciles de engañar. El ransomware, un ataque en el que cifran nuestros datos -los secuestran- y nos piden a cambio un rescate (ahora también en bitcoins), es cada vez más frecuente y elaborado. Utilizan técnicas de ingeniería social, tan viejas como el timo de la «estampita» o el «tocomocho»: nos dejamos engañar y les damos en bandeja nuestras credenciales. Con ellas pueden, además de secuestrarnos los datos, robar las cuentas de los usuarios de nuestras aplicaciones o de nuestra tienda online, entrar en nuestra red, espiarnos, utilizar nuestros sistemas para convertirlos en zombies de una botnet y lanzar todo tipo de ataques (spam, distribución de malware, denegación de servicio,…). En un reciente post, nos preguntábamos si la identidad es ahora el nuevo perímetro, añadiendo una serie de consejos para gestionarla en este entorno tan cambiante.
A pesar de esto, la autenticación, los mecanismos que utilizamos para determinar que quien accede a nuestros sistemas es realmente quien dice ser, se sigue realizando mayoritariamente mediante usuario y contraseña. Podemos -y se recomienda para servicios y sistemas críticos- utilizar autenticación multifactorial, añadiendo a la contraseña (algo que sé), un segundo factor, por ejemplo: un token criptográfico (algo que tengo) o la huella digital (algo que soy). Así nos lo contaba Betty, una de las chicas de oro de aquella serie de televisión, el pasado día mundial de la contraseña retándonos también, como usuarios, a conocer nuestro «coeficiente intelectual» de seguridad.
De cara a que nuestros empleados, colaboradores, partners y usuarios aumenten este «coeficiente intelectual» en cuanto a las buenas prácticas en el acceso a los servicios que proporcionamos (ya sean servicios internos, a nuestro portal o a nuestra tienda online), tendremos en cuenta que debemos:
- Obligarles a utilizar contraseñas fuertes, es decir, al crearla si no es fuerte no será admitida.
- Concienciarles para que utilicen contraseñas diferentes para distintos servicios.
- Configurar los sistemas de gestión de identidades y acceso para implementar políticas que les fuercen a utilizar contraseñas fuertes y a cambiarlas con frecuencia.
- Dotar a nuestros servicios críticos y a los usuarios con privilegios (administradores, por ejemplo) de un doble factor de autenticación.
Por todo esto y mientras sigamos utilizando contraseñas, vamos a procurar que no sean fáciles de adivinar. En la siguiente infografía, os contamos cómo crearlas para que sean fuertes, cuáles no debemos utilizar, cómo tratarlas para no perderlas, cómo nos las roban y los riesgos que de esto se derivan.
¡No se lo vamos a poner fácil! La próxima vez, si es que la hay, no va a ser por nuestra culpa.
