Cómo crear contraseñas verdaderamente seguras

Una de las principales debilidades en el ámbito de la ciberseguridad radica en la implementación de contraseñas simples o poco seguras. En muchas ocasiones, los usuarios que deben establecer una contraseña tienden a optar de forma instintiva por combinaciones de números y letras que sean sencillas de memorizar, a menudo basándose en información personal, como fechas de nacimiento, aniversarios, nombres de familiares o nombres de mascotas.

También es recurrente el uso de palabras como “contraseña” y secuencias de números sin mayor complejidad como “123456789″. Asimismo, otro error frecuente es reutilizar contraseñas para diferentes propósitos, lo cual facilita en gran medida el trabajo de los ciberdelincuentes.

En este aspecto, los ciberatacantes cuentan con una amplia variedad de tácticas y técnicas para robar contraseñas, como el uso de spyware, keyloggers y otros tipos de malware (software malicioso), así como ataques de phishing.

Hillstone Networks, empresa de ciberseguridad, indicó que también existen “diccionarios de contraseñas comunes”. Si alguna contraseña que se utiliza frecuentemente se encuentra dentro de estos diccionarios, el atacante solamente debe esperar a que coincidan en un proceso automatizado y tendrá acceso a la cuenta o sistema; esto es lo que se conoce como un “ataque de fuerza bruta”.

Si esta estrategia falla, se puede poner en práctica lo que se denomina “ataques de ingeniería social”, donde intentan manipular a la víctima haciéndose pasar por entidades de confianza.

El uso de un solo factor de autenticación aumenta la vulnerabilidad y hace que el éxito de un ataque dependa en gran medida de las habilidades del ciberdelincuente y de la eficacia de las medidas de seguridad implementadas en los dispositivos o la red. En el escenario en el que el ciberdelincuente tenga una experiencia considerable en este tipo de ataques y su objetivo sea un usuario común, se podría considerar que lograr el objetivo sería relativamente sencillo.

A nivel empresarial, el cumplimiento normativo insta a utilizar autenticación multifactor o MFA (Multi Factor Authentication) para aumentar la seguridad al acceder a datos o sistemas. El objetivo es reducir el riesgo de exposición y robo de datos sensibles, ya que si los atacantes lograran obtener la contraseña aún necesitarían del segundo o tercer factor para concretar el acceso.

En este tipo de ambientes corporativos, los ciberatacantes utilizan técnicas como el Whaling, que es un tipo de ataque de phishing dirigido a altos directivos, por lo tanto, los daños suelen ser de grandes dimensiones, tanto a nivel económico como reputacional.

La autenticación multifactor o MFA (por sus siglas en inglés) trabaja con base en tres factores:

-Algo que sabe el usuario (contraseñas, PIN, preguntas de seguridad).

-Algo que tiene o posee la persona (celular, tableta, token).

-Algo que lo conforma (huella, voz, reconocimiento facial, etc.).

La empresa de seguridad cibernética dice que se puede inferir que al aplicar los tres niveles de factores la seguridad será mayor, aunque es indispensable considerar la facilidad de uso y la comodidad del usuario. En este sentido, el balance se ha encontrado al utilizar solamente dos factores (2FA), sin embargo, el factor clave que brinda mayor seguridad es el relacionado a “Algo que lo conforma”, debido a que los biométricos rara vez cambian y son más difíciles de falsificar.

La autenticación de múltiples factores (MFA) representa un gran avance en la protección de datos, pero no se puede depender únicamente de esta práctica para garantizar la seguridad. En cierto sentido, se puede comparar con la seguridad de un edificio: usar múltiples llaves para abrir una puerta puede hacerla más segura, pero si no hay ningún otro mecanismo para prevenir o detectar intentos no autorizados, los delincuentes eventualmente encontrarán una manera de superarla.

Para proteger a las organizaciones contra posibles brechas de seguridad, es esencial implementar un enfoque de “defensa en profundidad”. Esto implica la creación de múltiples capas de seguridad con soluciones específicas que sean coherentes y proporcionen un valor real a la organización. Estas capas de seguridad pueden incluir, además de la MFA, firewalls, sistemas de detección y prevención de intrusiones (IDPS), antivirus, controles de acceso, cifrado de datos y auditorías de seguridad, entre otros.