Uno de los temas del Mes de la Concienciación en Ciberseguridad de este año – «Verse a uno en el ciberespacio»- son las sencillas medidas que individuos y organizaciones pueden adoptar para protegerse mejor contra la ciberdelincuencia. Dos de esas medidas son el uso de contraseñas seguras y la activación de la autenticación multifactorial (MFA). Es fácil ver por qué. Lamentablemente, incluso en 2022 la gente sigue utilizando contraseñas débiles y fáciles de adivinar como «12345», «qwerty» y, sí, «password» para acceder a cuentas, sistemas e infraestructuras críticas. Algunos pueden pensar que, si combinan su fecha de nacimiento con el nombre de su perro, la complejidad es suficiente para evitar que un ciberdelincuente adivine su contraseña.
Pero no es así. Se sabe que los atacantes decididos rastrean las cuentas de las redes sociales de sus víctimas en busca de pistas que les ayuden a adivinar las contraseñas. Y hay muchas herramientas que ayudan a los hackers a descifrar las contraseñas que se basan en fórmulas o palabras. Una reciente alerta conjunta de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. y de los organismos de vigilancia de la ciberseguridad de varios otros países señalaba el papel que desempeñan los controles de seguridad débiles en las infracciones y la necesidad de que las organizaciones endurezcan las credenciales (entre otras recomendaciones). Muchos de los incidentes de ciberseguridad más destacados -como el ataque de ransomware de Colonial Pipeline del año pasado- comienzan con atacantes que utilizan una contraseña robada.
Dos de las medidas más importantes de ciberseguridad son el uso de contraseñas seguras y la activación de la autenticación multifactorial (MFA)
Hoy en día, una buena higiene de las contraseñas empieza por tener contraseñas únicas, aleatorias y complejas para cada cuenta (al menos 16 caracteres aleatorios, no palabras del diccionario). Por supuesto, es más fácil decirlo que hacerlo. Por lo general, a la gente le cuesta recordar las contraseñas y, en consecuencia, suele recurrir a contraseñas sencillas, reutilizando contraseñas en distintas cuentas o alterándolas ligeramente (cambiando, por ejemplo, un carácter). Desgraciadamente, las contraseñas reutilizadas pueden crear múltiples vulnerabilidades en caso de que se produzca una brecha.
Una forma de minimizar este problema es fomentar el uso de gestores de contraseñas. Estos facilitan a los usuarios la creación y el seguimiento de contraseñas complejas. Aunque las bases de datos de contraseñas son un objetivo principal para el robo y están ampliamente disponibles online, si se roba una base de datos de contraseñas con hash, las contraseñas fuertes pueden ser más difíciles de descifrar.
Pero una buena higiene de las contraseñas es solo el comienzo de un sistema de autenticación fuerte. La razón es que una vez que un atacante obtiene acceso a una contraseña -ya sea adivinándola, comprándola en la dark web o mediante ingeniería social (como el phishing)- tiene las «llaves del reino» si no hay un paso adicional para la verificación de la identidad. Según el último DBIR de Verizon, más del 40% de todas las infracciones implican el uso de credenciales robadas; en el caso de las infracciones de la infraestructura orientada a Internet, como los servidores web y de correo electrónico, supera el 80%. Y según una estimación, el número de contraseñas robadas y violadas en la dark web se ha disparado hasta los 24.000 millones, aumentando año tras año sin que se vea el final. Ahí es donde entra en juego la autenticación multifactor (MFA). Puede detener muchos ataques antes de que empiecen, incluso si los atacantes consiguen acceder a las credenciales. Con la MFA, se exige a los usuarios que proporcionen tanto una contraseña como al menos una verificación adicional de su identidad -por ejemplo, respondiendo a un mensaje en un dispositivo móvil aprobado, con una llave de hardware o con un elemento biométrico como una huella dactilar- antes de que se les conceda acceso a redes o recursos. Este paso adicional aumenta significativamente el grado de dificultad para los atacantes y reduce en gran medida la probabilidad de que una credencial comprometida sea suficiente para lanzar un ataque.
Cada vez está más claro que la MFA no es solo una bonita función de seguridad, sino que es una parte vital de cualquier estructura de seguridad. El DBIR de Verizon recomienda la MFA como lo primero que las PYMES deberían implementar para protegerse de los ciberataques. Del mismo modo, la reciente alerta de CISA sugiere lo mismo. Aunque las soluciones sin contraseña empiecen a ganar adeptos, las contraseñas no van a desaparecer de repente. La buena noticia es que MFA es asequible, fácil de implementar y fácil de usar.
Por Guillermo Fernandez, Sales Engineer Manager WatchGuard Iberia