Si eres el director, gerente de TI o CTO, es crucial que entiendas la relevancia de asegurar la información de tu compañía. Un fallo menor en materia de ciberseguridad podría tener un coste millonario y arruinar la imagen de tu entidad. En el epicentro de numerosas vulnerabilidades de seguridad yace un elemento sencillo pero a menudo menospreciado: la contraseña.
Las contraseñas son como las llaves de tu casa digital, y no querrías entregar esas llaves a cualquiera. Aunque pueda parecer básico, gestionar contraseñas de forma segura es uno de los desafíos más grandes que enfrentan las empresas. Aquí te presentamos cuatro errores comunes de contraseñas que los hackers explotan con deleite y cómo evitarlos.
Los usuarios suelen empezar con una palabra inicial al formar una contraseña. El inconveniente es que esta palabra inicial es raramente aleatoria y a menudo está relacionada de algún modo con el usuario o la empresa donde trabaja. Esta palabra se ajustará de forma progresiva durante sucesivos cambios o expiraciones para esquivar las políticas de historia y complejidad de contraseñas en Active Directory. Es habitual que capitalicen la primera letra y añadan un símbolo al final.
Los hackers están conscientes de que no necesitan romper las contraseñas más robustas para acceder a una organización; basta con las más frágiles. Pueden explotar estas palabras raíz sencillas mediante ataques de diccionario, en los cuales se utiliza una lista ya elaborada de palabras sencillas y sus variantes habituales para adivinar contraseñas o claves de encriptación. Estos ataques tienen éxito al capitalizar la tendencia humana hacia la simplicidad y el reconocimiento al establecer contraseñas.
El estudio de Specops sobre contraseñas débiles de 2023 examinó 4,6 millones de contraseñas acumuladas durante un periodo de varias semanas, así como las usadas en ataques reales contra puertos RDP. ¿La palabra raíz más recurrente? 'contraseña'.
Aunque podríamos esperar más en 2023, las otras palabras raíz más habituales fueron "administrador" y "bienvenido". Las redes sociales también son un filón para los atacantes que se dirigen a individuos específicos, ya que pueden obtener fácilmente información como cumpleaños, apellidos, nombres de mascotas y lugares significativos para la persona.
Tiempo necesario para descifrar contraseñas
A pesar de usar palabras clave simples, un pirata informático aún tendría que sortear múltiples variantes. Emplean métodos de ataque por fuerza bruta para recorrer y probar rápidamente todas las combinaciones posibles de contraseñas a través de incesantes intentos de acceso hasta dar con la correcta.
Te podría interesar leer: Contraseñas Seguras vs Ataques de Fuerza Bruta
Los ataques por fuerza bruta son particularmente efectivos contra contraseñas de poca longitud, especialmente si se originan de palabras clave simples que aparecen en listas de diccionarios, en una técnica conocida como ataque híbrido.
El estudio de Specops reveló que el 88% de las contraseñas empleadas en ataques en tiempo real contra puertos RDP tienen 12 caracteres o menos. Muchas empresas establecen incluso una longitud de contraseña más corta, de tan solo ocho caracteres.. Si a los usuarios se les permite optar por una contraseña más corta, generalmente lo harán.
Una excelente estrategia para neutralizar la amenaza de ataques por fuerza bruta es incentivar a los usuarios a generar contraseñas más largas pero aún recordables. Por ejemplo, una combinación de tres palabras aleatorias pero fáciles de recordar puede formar una frase de contraseña, como: "Lápiz$Sol7Café".
Reemplazar algunos caracteres por símbolos especiales podría hacer que esta contraseña sea muy resistente tanto a ataques de diccionario como por fuerza bruta. Otra táctica para motivar a los usuarios a adoptar contraseñas más largas es implementar una política de caducidad basada en longitud, donde contraseñas más seguras y extensas pueden mantenerse durante un período más largo antes de requerir un cambio.
Generalmente asociamos contraseñas débiles con palabras clave frecuentes, brevedad y falta de variabilidad. Sin embargo, las contraseñas que se generan basadas en la disposición del teclado son igualmente previsibles.
Por ejemplo, P)o 9I*u7Y^ podría verse como una contraseña robusta y cumpliría con los criterios de Active Directory en muchas empresas. Pero al observar detenidamente, estos caracteres se encuentran adyacentes en el teclado, lo que constituye un 'recorrido de teclas' fácilmente memorizable para el usuario.
Recientemente, el equipo de Specops examinó más de 800 millones de contraseñas para identificar los principales patrones de secuencias de teclas en contraseñas vulneradas. El patrón 'qwerty' se identificó más de un millón de veces, subrayando la frecuencia con la que estos recorridos de teclado se utilizan.
Aunque estas secuencias no sean palabras propiamente dichas, aún pueden ser empleadas en ataques de diccionario.
Como de costumbre, los atacantes están dispuestos a explotar la previsibilidad de los usuarios. Son conscientes de los "dedos perezosos" que optan por trayectorias cortas y simples en el teclado al crear contraseñas. Por lo tanto, incluirán estas secuencias comunes en listas de contraseñas de alta probabilidad en ataques de diccionario.
Te podría interesar leer: Azure AD: Implementación de Políticas de Contraseñas
Incluso las contraseñas robustas están en riesgo de compromiso, y este riesgo se eleva notablemente si las mismas contraseñas se emplean en múltiples aplicaciones y dispositivos. Imaginemos que una organización tiene un gestor de contraseñas que solo exige al usuario recordar una contraseña muy segura.
Sin embargo, ¿qué sucede si esa contraseña también se usa para Netflix, Facebook y quién sabe qué más? Dichas contraseñas pueden ser vulneradas con facilidad mediante ataques de phishing o por otras vías de filtración de información.
De acuerdo con Google, el 65% de las personas recicla contraseñas. Esto es en parte por qué los ciberdelincuentes se esfuerzan tanto en sustraer datos de credenciales para luego venderlos en la Dark Web; una contraseña sustraída de un sitio tiene altas probabilidades de ser útil en otros contextos.
Simplemente cumplir con políticas de complejidad y longitud de contraseña muchas veces no basta. A menudo, no hay forma de saber si alguien ha reciclado su contraseña laboral segura en sitios personales o aplicaciones de seguridad hasta que es demasiado tarde. Por ello, es crucial contar con una herramienta que pueda explorar Active Directory en busca de contraseñas ya comprometidas.
Te podría interesar leer: ¿Cómo Manejar las Contraseñas Expiradas en tu Empresa?
Además de corregir estos errores comunes de contraseñas, hay otros aspectos que no se deben descuidar:
Capacitación de Trabajadores: Asegúrate de que tu personal comprenda los riesgos de ciberseguridad y sepa cómo evitarlos.
Monitoreo Continuo: Utiliza herramientas de monitoreo de seguridad para detectar actividad sospechosa.
Auditorías de Seguridad: Realiza auditorías de seguridad regulares para identificar posibles vulnerabilidades en su sistema.
La ciberseguridad es un asunto que requiere atención continua y adaptación a las nuevas amenazas. Evitar estos cuatro errores comunes de contraseñas es un paso fundamental para proteger su empresa. Recuerda que la seguridad de tu empresa es tan fuerte como el eslabón más débil, y en muchos casos, ese eslabón son las contraseñas.