Mes de Concientización sobre Ciberseguridad: La Importancia de Contraseñas Seguras, MFA y una Buena Higiene de Contraseñas
Un enfoque del tema del Mes de Concientización sobre la Seguridad Cibernética de este año – "Véase a sí mismo en la cibernética", son las acciones simples que las personas y las organizaciones pueden tomar para protegerse mejor contra el delito cibernético. Dos de esos pasos son el uso de contraseñas seguras y la habilitación de la autenticación multifactor (MFA). Es fácil ver por qué.
Lamentablemente, incluso en 2022, las personas siguen utilizando contraseñas débiles y fáciles de adivinar como "12345", "qwerty" y, sí, "contraseña" para acceder a cuentas, sistemas e infraestructura críticos. Algunos podrían pensar que complicarse y combinar su cumpleaños con el nombre de su perro crea suficiente complejidad para evitar que un ciberdelincuente adivine su contraseña. Se sabe que determinados atacantes peinan las cuentas de redes sociales de sus víctimas en busca de pistas que puedan ayudarlos a adivinar las contraseñas. Y hay muchas herramientas para ayudar a los piratas informáticos a descifrar contraseñas que se basan en fórmulas o palabras.
Una alerta conjunta reciente de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y los organismos de vigilancia de la ciberseguridad de varios otros países señaló el papel que desempeñan los controles de seguridad débiles en las infracciones y la necesidad de que las organizaciones endurezcan las credenciales (entre otras recomendaciones). Muchos de los incidentes de ciberseguridad más destacados, como el ataque de ransomware Colonial Pipeline del año pasado, comienzan con atacantes que utilizan una contraseña robada.
Hoy en día, la buena higiene de las contraseñas comienza con tener contraseñas únicas, aleatorias y complejas para cada cuenta (al menos 16 caracteres aleatorios, no palabras de diccionario). Por supuesto, es más fácil decirlo que hacerlo. En general, las personas tienen dificultades para recordar contraseñas y, como resultado, a menudo recurren a contraseñas simples, reutilizando contraseñas en todas las cuentas o alterándolas ligeramente (por ejemplo, cambiando un carácter). Desafortunadamente, las contraseñas reutilizadas pueden crear múltiples vulnerabilidades en caso de una violación.
Una forma de minimizar este problema es fomentar el uso de administradores de contraseñas. Facilitan a los usuarios la creación y el seguimiento de contraseñas complejas. Si bien las bases de datos de contraseñas son un objetivo principal para el robo y están ampliamente disponibles en línea, si se roba una base de datos de contraseñas con hash, las contraseñas seguras pueden ser más difíciles de descifrar.
Pero una buena higiene de las contraseñas es solo el comienzo de un sistema de autenticación sólido. Esto se debe a que una vez que un atacante obtiene acceso a una contraseña, ya sea adivinándola, comprándola en la web oscura o mediante ingeniería social (como phishing), tiene las "llaves del reino" si no hay un paso adicional para la verificación de identidad.
Según el último DBIR de Verizon, más del 40% de todas las infracciones involucran el uso de credenciales robadas; para las infracciones de la infraestructura orientada a Internet, como los servidores web y de correo electrónico, es más del 80%. Y según una estimación, el número de contraseñas robadas y violadas en la dark web se ha disparado a 24 mil millones, aumentando año tras año sin un final a la vista. Ahí es donde entra en juego la autenticación multifactor (MFA). Puede detener muchos ataques antes de que comiencen, incluso si los atacantes obtienen acceso a las credenciales. Con MFA, los usuarios deben proporcionar una contraseña y al menos una verificación adicional de su identidad, como responder a un mensaje en un dispositivo móvil aprobado, con una clave de hardware o con un biométrico como una huella digital, antes de que se les otorgue acceso a redes o recursos. Este paso adicional aumenta significativamente el grado de dificultad para los atacantes y reduce en gran medida la probabilidad de que una credencial comprometida por sí sola sea suficiente para lanzar un ataque.
Cada vez está más claro que MFA no es solo una buena característica de seguridad, sino que es una parte vital de cualquier estructura de seguridad. El DBIR de Verizon recomienda MFA como lo primero que las PYMES deben implementar para protegerse de los ciberataques. De manera similar, la alerta reciente de CISA sugiere lo mismo. A pesar de que las soluciones sin contraseña comienzan a ganar tracción, las contraseñas no irán a ninguna parte pronto.
La buena noticia es que MFA es asequible, fácil de implementar y fácil de usar. Eso es, por supuesto, si está hablando de la solución AuthPoint ™ MFA de WatchGuard. Si desea ver cómo AuthPoint supera a la competencia, consulte este informe de Miercom.