En estos días, una persona promedio tiene hasta 100 contraseñas
para recordar, el número creció a un ritmo acelerado en los últimos años (aunque, de hecho, algunas
personas usaron alrededor de 50 contraseñas). De hecho, estudios han encontrado que las personas
generalmente recuerdan hasta cinco contraseñas y toman atajos para crear contraseñas fáciles de
adivinar y luego reciclarlas en varias cuentas en línea. Algunos en realidad sustituyen números y
caracteres especiales por letras (por ejemplo, “password” se convierte en “P4??WØrd”), pero esto sigue
siendo una contraseña que es fácil de descifrar.
Por su parte, compañías tecnológicos como Microsoft y Google están alentando a todos a deshacerse de
las contraseñas y dejar de usarlas por completo. Sin embargo, si una pequeña o mediana empresa aún
no está lista para deshacerse de las contraseñas, ESET, compañía líder en detección proactiva de
amenazas,
comparte una guía que puede ser de ayuda:
- Dejar de imponer reglas innecesarias para crear contraseñas complejas: Las reglas para crear
contraseñas que son extremadamente complejas (como exigir a los usuarios que incluyan caracteres
en mayúsculas y minúsculas, al menos un número y un carácter especial) ya no son obligatorias. Las
mismas no alientan a los usuarios a establecer contraseñas más seguras, sino que impulsan a actuar
de manera predecible y generar contraseñas débiles y difíciles de recordar. - Cambiar a frases de contraseña: En lugar de contraseñas cortas pero difíciles, buscar frases de
contraseña. Son más largas y más complejas, pero aun así son fáciles de recordar. Por ejemplo,
puede ser una oración completa, salpicada de mayúsculas, caracteres especiales y emojis. Si bien no
es súper compleja, las herramientas automatizadas tardarán años en descifrarla. Como mínimo
deberían tener 12 caracteres y como máximo 64 caracteres después de combinar varios espacios.
“Hace unos años, la longitud mínima para una buena contraseña era de ocho caracteres, que
consistían en mayúsculas y minúsculas, signos y números. Hoy en día, las herramientas
automatizadas para descifrar contraseñas pueden adivinar dicha contraseña en minutos,
especialmente si está protegida con la función de hash MD5. Esto es según las pruebas realizadas por
Hive Systems y publicadas en abril de 2023. Por el contrario, una contraseña simple que contiene solo
caracteres en mayúsculas y minúsculas, pero que tiene 18 caracteres, requiere de mucho, mucho más
tiempo para ser descifrada”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación
de ESET Latinoamérica. - Utilizar una variedad de caracteres: A la hora de establecer una contraseña los y las usuarias deben
tener la libertad de elegir entre todos los caracteres, incluidos los emojis. También deberían tener la
ESET -Nota de Prensa
opción de usar espacios, que son una parte natural de las frases utilizadas como contraseña, una
alternativa muy recomendada para evitar las contraseñas tradicionales. Una recomendación:
implementar un generador de contraseñas.
- Evitar la reutilización de contraseñas: Una filtración de las claves de acceso de una cuenta puede llevar
fácilmente al compromiso de otras cuentas. Sin embargo, alrededor de la mitad de los encuestados en
un estudio realizado por el Instituto Ponemon de 2019 admitió haber reutilizado un promedio de cinco
contraseñas para acceder a sus cuentas comerciales y/o personales. - No utilizar fecha de expiración para contraseñas: El NIST recomienda no solicitar cambios regulares de
contraseña a menos que haya evidencia de un compromiso. La razón es que las personas usuarias tienen
una paciencia limitada para tener que pensar constantemente en nuevas contraseñas razonablemente
seguras. Como resultado, solicitar cambios de contraseña de forma regular puede hacer más daño que
bien.
“Tener en cuenta que esto es solo un consejo general. Si la contraseña protege una aplicación que es
crucial para el negocio y atractiva para los atacantes, aún puede se puede configurar para que los
colaboradores tengan que cambiar las contraseñas de forma periódica”, agrega Gutiérrez Amaya de
ESET. - Lista negra de contraseñas comunes: Crear una “lista negra” con las contraseñas más comunes o que
anteriormente fueron comprometidas y comparar las nuevas contraseñas con esta lista para rechazar
aquellas que tengan coincidencia. En 2019, Microsoft escaneó las cuentas de sus usuarios comparando
los nombres de usuario y las contraseñas con una base de datos de más de tres mil millones de
conjuntos de credenciales filtradas. Encontró 44 millones de usuarios que utilizaban contraseñas que
habían sido comprometidas y forzó el restablecimiento de contraseña. - Soporte para administradores de contraseñas y herramientas: Asegurarse de que la funcionalidad de
“copiar y pegar”, el administrador de contraseñas del navegador y también los administradores de
contraseñas externos estén al alcance para gestionar la molestia de crear y proteger las contraseñas de
los usuarios. Los usuarios también deben optar por ver temporalmente la contraseña enmascarada
completa o ver temporalmente el último carácter escrito de la contraseña. De acuerdo con las pautas de
OWASP, la idea es mejorar la usabilidad de las credenciales, particularmente en torno al uso de
contraseñas más largas, frases de contraseña y administradores de contraseñas. - Notificar a los usuarios los cambios de contraseñas: Cuando los usuarios cambian sus contraseñas, se
les debe pedir que primero ingresen su contraseña anterior e, idealmente, habiliten la autenticación en
dos pasos, también conocida como autenticación de dos factores o 2FA (por sus siglas en inglés). Una
vez hecho esto, deberían recibir una notificación. - Utilizar CAPTCHA y otros controles no automatizados: Utilizar controles no automatizados para mitigar
ataques de fuerza bruta en los que se prueban credenciales filtradas y el bloqueo de cuentas. Dichos
controles incluyen el bloqueo de las contraseñas más comunes, límite de intentos, uso de CAPTCHA,
restricciones de direcciones IP o restricciones basadas en riesgos, como ubicación, primer inicio de
sesión en un dispositivo, intentos recientes de desbloqueo de una cuenta o similar. De acuerdo con los
ESET -Nota de Prensa
estándares actuales de OWASP, debe haber como máximo 100 intentos fallidos por hora en una sola
cuenta.
- No apoyarse solamente en contraseñas: Independientemente de cuán fuerte y única sea una
contraseña, sigue siendo una única barrera que separa a un atacante de sus datos valiosos. Al apuntar a
cuentas seguras, se debe considerar una capa de autenticación adicional como una necesidad absoluta.
Es por eso que debe usar la autenticación de dos factores (2FA) o la autenticación multi factor (MFA)
siempre que sea posible.
“Sin embargo, no todas las opciones de 2FA son iguales. Utilizar mensajes SMS como para la verificación
en dos pasos es mejor que no tener activada esta capa de seguridad adicional, pero también es un
mecanismo susceptible a numerosas amenazas. Las alternativas más seguras implican el uso de
dispositivos de hardware dedicados y generadores de contraseñas de un solo uso (OTP) basados en
software, como aplicaciones seguras instaladas en dispositivos móviles”, dijo el especialista de ESET.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET:
https://www.welivesecurity.com/la-es/
Por otro lado, ESET invita a conocer Conexión Segura , su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:
https://open.spotify.com/episode/7369TdwSZRTmZRC7PikhXd
Visítanos en: @ESETLA /company/eset-latinoamerica