Con motivo del Día Mundial de las Contraseñas, los expertos de Fortinet ofrecen una serie de consejos para reforzar la seguridad de las contraseñas, una cuestión más importante ahora si cabe debido a que con el teletrabajo, los usuarios no disponen del mismo nivel de soporte de seguridad y TI que si estuvieran en la oficina.
Decálogo para evitar que las contraseñas se vean comprometidas
Los usuarios pueden adoptar una serie de tácticas para asegurar que los cibercriminales no puedan comprometer su información personal:
1.- Crear contraseñas imposibles de olvidar y difíciles de adivinar, incluso para una persona que pueda conocer detalles íntimos de nuestra vida. Añadir números es mucho menos seguro de lo que pudiera parecer
2.- Evitar el uso de este tipo de contraseñas:
- Cumpleaños
- Números de teléfono
- Información de la empresa
- Nombres, incluyendo películas y equipos deportivos
- Simple ofuscación de una palabra común («Cl@v$$e»)
3.-Aprovechar las combinaciones improbables o aparentemente aleatorias de letras mayúsculas y minúsculas, números y símbolos, y asegurarse de que las contraseñas tienen al menos diez caracteres.
4.- No utilizar la misma contraseña para varias cuentas, ya que esto aumenta la cantidad de información a la que puede acceder un ciberdelincuente si consigue comprometer la contraseña.
5.- Cambiar la contraseña cada tres meses para disminuir la probabilidad de que la cuenta se vea comprometida.
6.- Utilizar un gestor de contraseñas para generar contraseñas únicas, largas, complejas y fáciles de cambiar para todas las cuentas y el almacenamiento seguro y cifrado de esas contraseñas.
¿Cómo consiguen los ciberdelincuentes nuestras contraseñas?
Una de las claves para evitar ver nuestra información comprometida es entender cómo los ciberdelincuentes intentan acceder a los datos críticos:
- Ataques de ingeniería social: suplantación de identidad a través de correos electrónicos y mensajes de texto, en los que se engaña a los usuarios para que proporcionen sus credenciales, hagan clic en enlaces o archivos adjuntos maliciosos, o vayan a sitios web maliciosos.
- Ataques a través del diccionario: el atacante utiliza una lista de palabras comunes, propias de un diccionario, para intentar acceder a las contraseñas en previsión de que los usuarios hayan utilizado palabras comunes o contraseñas cortas. Su técnica también incluye la adición de números antes y/o después de las palabras comunes ya que mucha gente piensa que el simple hecho de añadir números antes y/o después hace que la contraseña sea más compleja de adivinar.
- Ataques de fuerza bruta: los ciberdelincuentes generan aleatoriamente contraseñas y conjuntos de caracteres para adivinar, por insistencia y repetición, las contraseñas y cotejarlas con el hash criptográfico disponible de la contraseña.
- Pulverización de contraseñas: una forma de ataque de fuerza bruta que tiene como objetivo múltiples cuentas. En un ataque de fuerza bruta tradicional, los adversarios intentan adivinar, por repetición, la contraseña de una sola cuenta, lo que suele llevar al bloqueo de la misma. Con la pulverización de contraseñas, el adversario sólo prueba algunas de las contraseñas más comunes en múltiples cuentas, tratando de identificar a esa persona que está usando una contraseña por defecto o fácil de adivinar y así evitar el escenario de bloqueo de la cuenta.
- Keyloggers: mediante la instalación de un software keylogger en el portátil o dispositivo de la víctima a través, normalmente, de algún tipo de ataque de phishing por email, el cibercriminal puede capturar las pulsaciones de las teclas de la víctima para hacerse con su nombre de usuario y las contraseñas de sus distintas cuentas.
- Interceptación de tráfico: los delincuentes utilizan software como los rastreadores de paquetes para supervisar y capturar el tráfico de red que contiene información sobre las contraseñas. Si el tráfico no está cifrado o utiliza algoritmos de cifrado débiles, consiguen las contraseñas con cierta facilidad.
- Man-in-the-middle: el cibercriminal se sitúa entre el usuario y el sitio web o la aplicación que éste utiliza, normalmente suplantando la identidad de dicha web o app. Así, captura el nombre de usuario y la contraseña que el usuario introduce en el site falso. A menudo, los ataques de phishing por correo electrónico llevan a las víctimas desprevenidas a este tipo de sites.
Medidas adicionales de autenticación y protección que deben adoptar los usuarios
Una sola línea de defensa ya no es eficaz para mantener a raya los ciberataques avanzados. Para garantizar realmente una seguridad sólida, se necesitan múltiples tácticas. Los expertos en ciberseguridad de Fortinet aconsejan:
- Autenticación multi-factor (MFA): confirma la identidad de los usuarios añadiendo un paso adicional al proceso de autenticación, ya sea mediante tokens físicos o basados en aplicaciones móviles. Esto garantiza que, incluso si una contraseña se ve comprometida, los ciberdelincuentes no pueden acceder a la información.
- Single Sign-On (SSO): permite a los usuarios utilizar un único nombre de usuario y contraseña seguros en varias aplicaciones de una organización.
- Formación y educación en ciberseguridad: A medida que las ciberamenazas evolucionan y los criminales desarrollan nuevas técnicas para sus ataques, los usuarios deben tomar conciencia de la ciberseguridad e informarse sobre el estado del panorama de las amenazas.
Me interesa
- 9 de cada 10 usuarios no saben crear una contraseña segura, ¿cómo afecta a las empresas?
- Cómo evitar el robo de contraseñas creando una clave única y robusta
- 5 trucos del FBI que puedes utilizar para proteger tus contraseñas
- Administradores de contraseñas: ¿son seguros de usar?
- Si tus contraseñas están en esta lista, cámbialas inmediatamente