El 67% de los ciberataques se produce mediante robo de credenciales, como se recoge en el Informe de investigaciones de Brechas de Datos de Verizon del 2020.

Y esto no es de extrañar, ya que según un estudio de NordPass, las 10 contraseñas más utilizadas en el mismo año han sido las siguientes:

  • 123456
  • 123456789
  • picture1
  • password
  • 12345678
  • 111111
  • 123123
  • 12345
  • 1234567890
  • senha

Con el riesgo evidente que esto conlleva, dada la facilidad con que un cibercriminal puede obtener estas claves y comprometer las cuentas de esos usuarios.

Algunos de los procedimientos más utilizados por los cibercriminales para obtener las contraseñas de los usuarios son:

  1. Intuición y combinación de claves genéricas, por un humano. En este método el atacante trata de adivinar la contraseña del usuario probando combinaciones de letras y números genéricos, con partes del nombre o algún dato personal del usuario.
  2. Fuerza Bruta, que consiste en generar contraseñas de manera automática mediante una aplicación o script, y probarlas todas contra la cuenta de un usuario. O también Fuerza Bruta invertida, que consiste en probar cualquiera de las passwords más utilizadas, como las que hemos listado arriba, contra todos los usuarios de una organización.
  3.  Captura, mediante ataques de phishing en email o Redes Sociales, que llevan al usurario a una web falsa, en la que debe acreditarse con sus credenciales. O también mediante malware infiltrado en nuestro dispositivo que lee los caracteres que pulsamos en el teclado.

Cualquiera de los dos primeros métodos bastaría para robar en pocos segundos las contraseñas más utilizadas del tipo de las listadas arriba. Ante esto conviene plantearse la reflexión: ¿Por qué los usuarios utilizan tan a menudo este tipo de contraseñas débiles?

Según datos recogidos por la empresa Logmein, los empleados de empresas medianas y pequeñas, que no tienen implementados portales de Single Sign On, utilizan en su actividad profesional una media de 85 contraseñas, los que trabajan en la Administración Pública, una media de 54, y los de empresas grandes con portales de Single Sign On, 25.

Estos datos apuntan a la fatiga de los usuarios, como la causa principal en el uso de contraseñas débiles y otras prácticas poco higiénicas en la gestión de las mismas.

Algunas recomendaciones útiles y buenas prácticas utilizadas en las organizaciones para evitar el robo de contraseñas son:

  1. Utilizar gestores de contraseñas
  2. Implementar la Autenticación Multifactor
  3. No permitir el uso como contraseñas de palabras que existen en un diccionario
  4. Obligar a utilizar contraseñas largas y con combinaciones de letras, números y símbolos especiales
  5. No incluir ningún dato personal en las contraseñas
  6. Formar a nuestros usuarios en el uso de contraseñas
  7. Realizar auditorias periódicas del uso de contraseñas

Más allá de la implementación necesaria de estas prácticas mediante el uso de soluciones tecnológicas, parece clave cuidar el factor humano, y preguntarnos si estamos dotando a nuestros empleados de la formación adecuada para compensar la fatiga en el uso de contraseñas. Y si les hemos aportado herramientas que faciliten y hagan más llevadera y más segura la gestión de contraseñas.

Una realidad, con la que nos toca vivir como ciudadanos y trabajadores del siglo XXI.

 

Juan José Martínez Pagán, SP Regional Sales Manager SonicWall y presidente del Grupo IT Digital Autelsi.