beebright - stock.adobe.com
Consejos para proteger las contraseñas… y los datos empresariales
Con motivo del Día Internacional de la contraseña, SWIFT, Avast y Check Point ofrecen algunas recomendaciones para la protección de información, tanto de los dispositivos individuales como de los equipos corporativos.
Cada año, el primer jueves de mayo, se celebra el Día Mundial de la Contraseña. Este año, ese día se celebra hoy, jueves 6 de mayo.
Aunque muchos usuarios tienen la falsa creencia de que un ciberdelincuente no tiene ninguna razón para interesarse en su persona o en sus dispositivos, pues no tienen información de valor (como aplicaciones bancarias, por ejemplo), tal vez utilizan sus dispositivos o su equipo de cómputo para revisar correos e información de su empresa, o para acceder remotamente a la red corporativa. Al hacerlo, abren el paso a posibles atacantes que hayan conseguido acceso libre a sus dispositivos, y por medio de éstos llegan a la red empresarial.
De acuerdo con un estudio realizado por Fortinet, en 2020 América Latina sufrió más de 41 mil millones de intentos de ciberataques, con 14 mil millones pertenecientes a México. Esto, considerando que los ciberataques no fueron dirigidos únicamente a personas físicas, sino también a instituciones públicas y privadas, poniendo en riesgo información sensible, data personal e incluso información bancaria.
Las contraseñas siguen siendo el sistema más utilizado para mantener seguros los datos personales o para permitir el acceso a un servicio, tanto personal como profesionalmente, y por tanto un objetivo claro para los ciberdelincuentes.
Con el objetivo de concientizar sobre la importancia de mantener las contraseñas actualizadas y robustas, Avast, Check Point Software y Swift compartieron información sobre algunas tácticas utilizadas para robar contraseñas y ofrecieron consejos para evitar que cualquier persona o empresa se convierta en víctima.
Técnicas de engaño y robo de contraseñas
- Ataque de phishing: De acuerdo con Check Point, esta metodología se ha convertido en una de las herramientas más utilizadas para robar contraseñas y nombres de usuario. Funciona de una manera sencilla: enviando un correo electrónico que parece provenir de fuentes confiables (como bancos, empresas energéticas, etc.) pero que, en realidad, tiene como objetivo manipular al destinatario para robar información confidencial con intenciones maliciosas, como cometer algún fraude.
En este caso, una de las mejores recomendaciones es optar por habilitar la autenticación en dos pasos. Esta capa adicional de seguridad solicita al usuario que ingrese una segunda contraseña, que generalmente se recibe a través de SMS. De esta forma, se evita el acceso a una cuenta incluso si tienen información previa sobre sus credenciales.
Desde Swift también aconsejan verificar la autenticidad de los enlaces a sitios web antes de dar clic. “En caso de ser redirigido a una nueva página, cerciórense de que el dominio sigue siendo el mismo de la página a la que ingresó originalmente. También es común recibir correos electrónicos con enlaces incrustados pretendiendo ser de una plataforma de trabajo remoto, aplicaciones populares o streaming. Si no está seguro del origen del correo o no reconoce al contacto, elimínelo.”
Asimismo, Swift recomienda no brindar datos por ningún medio que no cuente con certificados de seguridad. “Consideren que la suplantación de identidad o fraude financiero pueden ser realizados también por chat por personas que fingen ser una parte de confianza, como el servicio de un asesor bancario”, advierten.
- Piratería de diccionario o de fuerza bruta: Check Point explica que este tipo de ataque cibernético intenta descifrar una contraseña mediante la repetición. Los ciberdelincuentes prueban diferentes combinaciones al azar, combinando nombres, letras y números, hasta que dan con el patrón correcto. “Para evitar que logren su objetivo, es fundamental implementar una contraseña complicada para ponérselo difícil. Para ello, es necesario omitir nombres, fechas o palabras muy habituales. En su lugar, es mejor crear una contraseña única de al menos ocho caracteres que combine letras (mayúsculas y minúsculas), números y símbolos”, aconsejan los expertos de la firma de seguridad.
- Registradores de teclas: estos programas son capaces de registrar cada pulsación de tecla realizada en una computadora e incluso lo que ves en la pantalla, y luego enviar toda la información grabada (incluidas las contraseñas) a un servidor externo. Estos ciberataques suelen formar parte de algún tipo de malware que ya está presente en la computadora. “Tanto el phishing como los keyloggers son dos tipos de ataques que se utilizan en cientos de dispositivos. Lo peor de estos ataques es que muchas personas tienden a usar la misma contraseña y usuario para diferentes cuentas, y una vez que se viola una, el ciberdelincuente obtiene acceso a todos aquellos que tienen la misma contraseña. Para detenerlos, es fundamental utilizar una única opción para cada uno de los diferentes perfiles. Para ello, se puede utilizar un administrador de contraseñas, que permite tanto gestionar como generar distintas combinaciones de acceso robustas para cada servicio en base a las pautas decididas”, advierte Check Point.
¿Cómo proteger la información personal y empresarial?
Christopher Budd, gerente global senior de Comunicaciones de Amenazas de Avast, explica que “las mejores prácticas incluyen usar contraseñas únicas y largas, incluir letras mayúsculas y minúsculas, números y (cuando sea posible) caracteres especiales como #, $, &”.
Budd enumeró tres cosas que los usuarios pueden hacer para ayudar a mejorar la seguridad general de las contraseñas:
- Usar un administrador de contraseñas
Con la gran variedad de sitios y plataformas que usamos en estos días, resulta imposible recordar una contraseña única, larga, compleja y realmente buena para cada uno de ellos. Aquí es donde un administrador de contraseñas puede ayudar.
Un administrador de contraseñas puede generar contraseñas largas y complejas y almacenarlas sitio por sitio, sin que el usuario tenga que recurrir a su memoria, solamente precisa elegir una contraseña maestra realmente buena. Esa contraseña maestra es la clave que desbloquea todas sus otras contraseñas, por lo que tiene que ser muy segura.
Además, es bueno asegurarse de que cualquier cuenta de correo electrónico asociada con el administrador de contraseñas esté protegida con autenticación de dos factores o de múltiples factores. Esta es la dirección de correo que permitirá restablecer la contraseña maestra, de ser necesario. Si esa cuenta no está fuertemente protegida, teóricamente alguien podría apoderarse de la cuenta de correo electrónico, secuestrar el administrador de contraseñas y obtener acceso a todas las contraseñas.
- Comprobar si alguna contraseña se ha filtrado
Desafortunadamente, advierte Avast, hay muchas probabilidades de que te hayan robado o se hayan filtrado contraseñas a raíz de al menos una de las violaciones de datos, robos de contraseñas y filtraciones que se han producido en los últimos años. Se ha convertido en un problema tal que, por suerte, ahora existen bases de datos en línea –como Avast HackCheck– con gran capacidad de búsqueda que pueden confirmar si una contraseña ha sido filtrada o no.
Para usarla, todo lo que hay que hacer es ir al sitio web, ingresar una dirección de correo electrónico y el sitio informará sobre cualquier filtración o filtración de datos que haya comprometido esa cuenta. Estos sitios son lo más parecido que existe a bases de datos completas de búsqueda de contraseñas perdidas y robadas.
- Cambiar las contraseñas o cerrar las cuentas en cualquier sitio cuyas contraseñas se hayan filtrado
Si la contraseña utilizada en alguna cuenta o sitio se ha perdido o ha sido robada, podría estar en manos de hackers y a la venta en internet, por lo que es necesario cambiar esas contraseñas robadas lo antes posible. Y, si se utilizó la misma contraseña en otros sitios, es importante cambiar también la contraseña en esos sitios.
A medida que ingresas a cada sitio o plataforma cuya contraseña se haya filtrado, Avast recomienda emplear la ayuda de un administrador de contraseñas para crear una contraseña nueva y más segura para ese sitio.
Si descubren que la contraseña perdida o robada pertenece a un sitio que ya no se utiliza, lo recomendable es cerrar esa cuenta por completo. “Es una buena idea cerrar las cuentas que no se usan de todos modos. Y si un sitio ya perdió tu contraseña, vale la pena preguntarse si confías en ese sitio lo suficiente como para seguir usándolo. Muchas personas, encontrarán contraseñas robadas o filtradas incluso para cuentas que olvidaron que tenían. Por lo tanto, este ejercicio también puede ser un buen puntapié para descartar las cuentas antiguas que ya no necesitas o deseas”, advierten desde Avast.
Las soluciones Avast Premium Security o BreachGuard cuentan con un verificador integrado que informa si las contraseñas se han perdido o han sido robadas.
Seguridad financiera
En lo que respecta a proteger los servicios y aplicaciones bancarias o financieras, los cuales albergan información sensible tanto para los usuarios como para las organizaciones, Swift recomienda:
- Usar al menos 12 caracteres de longitud
- Combinar dígitos, caracteres especiales, letras mayúsculas y minúsculas
- Evitar el uso de números consecutivos como 123456, fechas de cumpleaños, etc.
- Cambiar la contraseña con regularidad
- Al ingresar a un sitio web nuevo, verifiquen el URL de la página web antes de ingresar cualquier dato personal, como dirección de correo electrónico y contraseña. Verifiquen también el certificado en sitios web HTTPS. En la mayoría de los navegadores, esto se hace dando clic en el símbolo de candado en la parte superior.
En caso de ser una entidad financiera, Swift recomienda generar un código de contraseña única basada en el tiempo (TOTP) directamente desde una aplicación de autenticación instalada en un dispositivo con lo que, para acceder al servicio, se deberá usar la tarjeta de código de seguridad personal para generar las contraseñas requeridas.
“Si bien la industria financiera ha tomado distintas acciones para evitar cualquier vulnerabilidad dentro de sus sistemas para asegurar la protección de sus usuarios, los ataques evolucionan con el tiempo, con amenazas nuevas y emergentes, es por eso que Swift desarrolla junto con los principales actores del sector financiero controles de protección como el “Programa de seguridad del cliente” (CSP) para mantener los niveles más altos de protección y ayudar a las entidades financieras a afrontar retos de seguridad”, explicó Pedro Galdamez, experto de Swift en Soluciones para combatir el Crimen Financiero.
Desafortunadamente, las filtraciones de datos en las que se pierden o roban contraseñas se han convertido en una forma de vida para los atacantes, y es poco probable que este problema desaparezca, comentan desde Avast. “Si bien tomarse el tiempo para revisar y cambiar las contraseñas perdidas requiere algo de tiempo, es un paso muy importante y bueno para protegerse mejor en línea. Si se convierte en una práctica habitual y se hace al menos una vez al año en el Día Mundial de la Contraseña, los usuarios estarán mucho más seguros y mejor protegidos en línea”, concluyen el experto de Avast.