No hay caso. Parece ser que, a pesar de las frecuentes recomendaciones para tener contraseñas seguras en nuestros dispositivos electrónicos, muchos prefieren tomar el camino fácil y configurar lo primero que se le viene a la cabeza, utilizando passwords tan sencillas como “qwert”, “colocolo”, o “123456”.
Y aunque parezca increíble, este es el Top 3 de las 30 contraseñas más utilizadas en Chile, de acuerdo con un estudio realizado por la consultora CronUp Ciberseguridad y basado en el análisis de los últimos data leaks (fuga de datos) que ocurrieron a nivel nacional. Curiosamente, varias de las combinaciones que aparecen en este listado igualmente tienen presencia en el set de las más recurrentes en Latinoamérica.
¿Qué lleva a las personas a utilizar códigos de acceso tan permeables a ojos del cibercrimen? De acuerdo con Andrés Serey, gerente de Servicios de Ciberseguridad de CronUp, actualmente, “por el nivel de digitalización y cantidad de servicios on line personales, corporativos, de entretenimiento, gratuitos y/o pagados, tenemos muchísimas identidades digitales. Esto lleva a que los usuarios no quieran complicarse en recordar claves y típicamente usan nombres de parientes, esposas (os), familiares, fechas de cumpleaños o secuencias cortas de números”.
Lo anterior es un caldo de cultivo muy nutritivo para el actuar de los ciberdelincuentes, quienes siguen innovando en la forma de hacerse con claves y, de paso, con toda la información personal y financiera del incauto que no pensó en una mejor contraseña. “Existen innumerables métodos que utilizan los ciberatacantes para obtener credenciales de usuarios, como phishing, ataques de fuerza bruta, data leaks, softwares maliciosos del tipo Info Stealer, explotación de vulnerabilidades de los sistemas para usarlas en futuros ataques, o revenderlas en el mercado negro, incluso robando cookies para secuestrar sesiones de usuarios, entre otros”, explica Serey.
¿Cómo generar una buena password?
Con tal de no caer en la trampa del cibercrimen, el especialista recomienda que, a nivel personal, las contraseñas deben contener a lo menos 10 caracteres y máximo 128. “Mejor si incluye signos diferentes y letras en mayúscula y minúscula. Jamás integrar datos personales. Además, es aconsejable cambiarlas periódicamente. También es recomendable utilizar gestores de contraseñas, pues son herramientas muy útiles. Finalmente, no hay que olvidar los controles y medidas básicas como el uso de antivirus y EDR, que son softwares de detección y bloqueo de amenazas más avanzadas y que los antivirus no detectan. Y claro, hay que mantenerlos actualizados”.
¿Y en el contexto de la empresa?
“A nivel corporativo, las organizaciones deben adoptar medidas en varios niveles, como desarrollar una estrategia integral de ciberseguridad centralizada, de punta a punta, siendo integrada también en la planificación de transformación digital y abordando los procesos de autenticación de colaboradores, socios de negocios, clientes y proveedores”, dice.
En un marco más específico, Serey aconseja a las organizaciones considerar los siguientes elementos en el ciclo de vida de los procesos de autenticación:
- Protección de los sistemas contra Bots y/o robots y herramientas automatizadas.
- Evitar la adivinación de credenciales por fuerza bruta, a través de elementos como Captcha, Tokens, etc.
- Proteger interfaces de programación de aplicaciones (API) críticas para la lógica de negocio de los sistemas.
- Proteger a los sistemas contra Amenazas Persistentes Avanzadas (APTs).
- Asegurar el registro de los usuarios en los sistemas corporativos (en la nube u On Premise), verificando la identidad con detección de prueba de vida. Incorporar soporte de capacidades biométricas de autenticación robusta, a través del reconocimiento facial y de la voz.
- Incorporar capacidades completas de autenticación multifactor, autorización y contabilización.
- Realizar análisis transaccional del comportamiento del usuario y los canales, para la prevención y la detección del fraude.
- Considerar proceso para dar de baja a usuarios de manera segura.
- Que los procesos de gestión de identidades y accesos se integren y reporten actividad a los sistemas de monitoreo.
Finalmente, añadir transversalmente estás iniciativas de ciberseguridad y riesgo con el negocio; es decir, con las áreas de experiencia de usuarios y marketing.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
