Esta semana saltamos un poco y nos sumergimos en el paso 5 de las directrices de la Administración de Pequeñas Empresas para defender su negocio contra las amenazas cibernéticas: utilice contraseñas seguras y cámbielas con frecuencia para protegerse de las amenazas externas e internas.
Las contraseñas son como algunos políticos. Pueden parecer complejas y trabajadoras, pero en realidad no son más que las mismas ideas cansadas estampadas con un nuevo año y un número cualquiera de «!» al final.
#P@ssw0rd2019!!!
Desgraciadamente, la contraseña, con sus defectos y responsabilidades inherentes, es a menudo la única línea delgada de protección entre sus usuarios, sus datos y un Internet lleno de ciberdelincuentes. No es justo, no es correcto, y la mirada vidriosa que recibirás de tus usuarios cuando les cuentes los últimos «requisitos de contraseñas complejas» que estás implementando proporcionará a los administradores desprevenidos una dura verdad:
No importa cuántos dígitos les obligues a utilizar, ni cuántos caracteres especiales se requieran, ni cuántas veces les hagas cambiarla, la contraseña segura -la mayoría de las veces- no lo es.
Esa locura de contraseña que hace llorar a su CISO
Tal vez el problema más común con la seguridad de las contraseñas es que, a medida que nuestro lugar de trabajo y nuestras vidas se han vuelto cada vez más digitales, nos encontramos con que necesitamos recordar cada vez más contraseñas sólo para mantener el acceso a nuestra propia información personal.
¿Necesita hacer un pago con tarjeta de crédito o consultar su saldo? Necesita una contraseña.
¿Tiene más de una tarjeta de crédito? Necesita varias contraseñas.
¿Cuenta bancaria? Contraseña.
¿Necesita nuevas ideas de Pinterest? CONTRASEÑA.
De hecho, la tendencia a la «sobrecarga en línea» está empeorando, ya que el consumidor medio estadounidense tiene más de 100 cuentas únicas asociadas a una sola dirección de correo electrónico. Por supuesto, cada cuenta debe estar protegida, lo que significa que cada cuenta necesita una contraseña, y más vale que esa contraseña sea compleja. Y más vale que no la olvides, o te echaremos encima a nuestro amigo. Le haremos preguntas sobre el nombre de soltera de su madre y sobre quién era su profesor de primaria favorito, creando así más cosas que recordar y (perversamente) más cosas que podemos comprometer inadvertidamente a los ciberdelincuentes.
Esta sobrecarga lleva a la gente a hacer cosas tontas, y cada una de esas cosas tontas crea vulnerabilidades de seguridad que ponen en riesgo a los usuarios y a los datos de la empresa. He aquí algunas cosas que los usuarios hacen todos los días… y por «usuarios» estoy diciendo realmente «todos nosotros».
- Cada vez reutilizamos más la misma contraseña.
- Cuando no estamos reutilizando esa misma contraseña, estamos utilizando incrementos simples para «engañar» a algoritmos complejos (contraseña1, contraseña2, contraseña3…).
- No somos especialmente inteligentes a la hora de pensar en nuevas contraseñas y, cuando lo hacemos, las olvidamos.
- Escribimos las contraseñas en papel -incluso las pegamos en nuestros monitores.
- Las guardamos en un archivo de texto -en texto plano- en Dropbox o Google Drive.
La reutilización de contraseñas es tal vez una de las tendencias más preocupantes que vienen con la sobrecarga de cuentas en línea. Después de todo, si un ciberdelincuente compromete una cuenta y hace coincidir la contraseña descifrada con una dirección de correo electrónico, es un ejercicio increíblemente sencillo para ellos probar la combinación en docenas, o incluso cientos, de cuentas en línea hasta que encuentren lo que están buscando. Y lo que es peor, pueden coger estas credenciales y venderlas a otros delincuentes que se dedican a peinar los metadatos sobre quiénes somos y cómo vivimos, lo que conduce a pérdidas de identidad más complejas que comprometen vidas y medios de vida.
Entonces, ¿qué tiene que ver Dumbledore con esto?
En primer lugar, en un mundo con requisitos de seguridad cada vez más complejos, la tradicional combinación de nombre de usuario y contraseña basada en texto no es suficiente. Las nuevas tecnologías, como la autenticación multifactorial mediante tarjetas inteligentes o la biometría, empezarán a convertirse rápidamente en la norma, creando formas nuevas y cada vez más divertidas de hacer todo el proceso aún más tedioso y difícil. Simplemente hay demasiadas partes de nuestras vidas a las que queremos acceder en línea, y los datos son demasiado sensibles para confiarlos a la falible memoria humana y a las malas metodologías de protección de contraseñas de los políticos.
Mientras tanto -mientras estamos atascados con la falible memoria humana como nuestro principal sistema de seguridad- el conocimiento es poder. Trabaje con sus empleados y gerentes para enseñarles por qué las contraseñas fuertes son importantes, y por qué -incluso hoy- la necesidad de cambiar las contraseñas regularmente sigue siendo un requisito necesario (aunque molesto). Es importante demostrar a los usuarios lo peligrosas que pueden ser las malas prácticas con las contraseñas. Muéstreles cómo una credencial comprometida puede afectar a sus vidas, arruinando sus saldos bancarios, destruyendo sus calificaciones crediticias y exponiéndolos a problemas legales y a la responsabilidad civil.
Mientras los asusta con esta realidad, aproveche la oportunidad para enseñarles algo sobre buenas prácticas de seguridad para su comportamiento en línea. Muéstrales cómo los mercachifles y delincuentes de Internet pueden utilizar los sitios de redes sociales para cultivar subrepticiamente sus datos personales mediante esos famosos «concursos» de Facebook.
Te preguntarán: «¿Quieres saber a qué personaje de Harry Potter te pareces más?». Sólo tienes que decirles tu edad, tu color favorito, el nombre de tu primera mascota y tu comida favorita.
Ahora, ¿notas algo de la información que quieren? ¿Te has preguntado alguna vez cómo tu color favorito o el nombre de tu primera mascota podrían ayudar al Sombrero Seleccionador a averiguar a qué casa de Hogwarts perteneces?
La respuesta: No lo hace, pero esta información es extremadamente útil para un ciberdelincuente que intente acceder a tus cuentas personales pirateando tus preguntas de seguridad.
Las contraseñas seguras no salvarán el día, pero ayudan a prevenir las amenazas internas
Como siempre, la solución tiene varias capas. Las contraseñas seguras ayudan, el comportamiento inteligente en línea ayuda, los buenos procesos y procedimientos de seguridad reforzados por un software de seguridad de clase mundial para pequeñas empresas como LanScope Cat *ayuda*. Ninguna solución lo arreglará todo, pero las personas inteligentes con buenas herramientas y formación pueden hacer que su organización sea un objetivo mucho más difícil.