La formación sobre la seguridad de las contraseñas a principios de la década del 2000 solía comenzar con una pregunta a la audiencia: ¿cuántos tienen hasta 10 contraseñas que recordar? ¿Qué tal 25? ¿Alguien tiene más de 50? Hoy suelo empezar con «¿cuántas credenciales cree que tiene aún activas? ¿Menos de cien?»
Es interesante cómo se acumula. Muchas personas ni siquiera se dan cuenta de la cantidad de credenciales que han decidido almacenar en su navegador, cuando se les pide. Podría ser una credencial utilizada muchas veces al mes, o tal vez aquella que tuvo que crear en una tienda en la que compró solo una vez pero que necesitaba para hacer el seguimiento de su pedido. El hecho es que es casi imposible saberlo. Si suele guardar sus credenciales en el navegador, es posible que obtenga información al respecto. Y si le infecta un malware que pueda robar sus credenciales del navegador, como el reciente malware BlackGuard, o alguien consigue acceder a su correo electrónico -el método más utilizado para restablecer las contraseñas-, ¡su vida digital está acabada!
Los gestores de contraseñas pueden ayudarle a controlar mejor sus credenciales, especialmente si piensa en términos de uso corporativo. ¿No está seguro de ello? Veamos algunas áreas en las que puede ayudar a mitigar los problemas relacionados con las contraseñas:
- Compartir la contraseña: puede compartir fácilmente por teléfono una contraseña como “Fútbol123″. Ahora intente compartir «tNNi^M$E*@Ep7LD&». No es tan fácil, ¿verdad? Esto podría ayudar a evitar que se comparta intencionadamente o mediante ingeniería social.
- Reutilización de la contraseña corporativa para aplicaciones personales: la empresa me obligó a crear una nueva contraseña, con mayúsculas, letras, números y caracteres especiales. Hago uso de mi creatividad y utilizo «Fútbol@123». Pero ya que tengo esta bonita y segura contraseña, ¿por qué no usarla en otros sitios? Quizá en mi servicio de streaming de televisión, que comparto con mi hija, que a su vez comparte con su novio… Recuerde que no tiene control sobre las contraseñas fuera de la empresa. En este ejemplo, el novio de su hija tiene las credenciales de su empresa. Una contraseña compleja está bien, pero pruebe a introducir «tNi^M$E*@Ep7LD&» en su smart TV.
- La misma contraseña para todo: los usuarios pueden memorizar unas pocas contraseñas, quizá 3 o 4. El resto son solo variaciones. No es diferente. Los usuarios intentarán utilizar la misma contraseña en todas partes, quizá con algunas pequeñas modificaciones. Una contraseña corporativa puede estar flotando en docenas de cuentas no controladas. Los gestores de contraseñas enseñarán al usuario a crear una contraseña diferente en todas partes. Al fin y al cabo, la creará por ti y la rellenará durante la autenticación.
- Fuga de credenciales en la dark web: soy usuario de LinkedIn desde hace bastante tiempo, y han sufrido filtraciones al menos un par de veces, por lo que mis credenciales acabaron en la dark web. Si esto le ocurre, no hay nada que pueda hacer, salvo restablecer su contraseña. El problema es que puede tardar en avisarle de que ha ocurrido. No es su culpa, la empresa con la que tiene una cuenta fue desgraciadamente atacada. Su contraseña -que probablemente utiliza para decenas de otras cuentas- está ahora expuesta. Pero espere, la mayoría de los sitios web no almacenan su contraseña completamente abierta, sino que utilizan un hash de su contraseña. Así que los atacantes siguen necesitando descifrar las contraseñas. Si tiene una fácil, incluso una combinación de palabras, hay una alta probabilidad de que sea descifrada. Una contraseña larga y compleja no puede ser hackeada con la potencia informática actual. Así que, aunque se produzca una filtración, lo más probable es que una contraseña generada por un gestor de contraseñas esté protegida.
- Contraseñas fáciles de descifrar: hay ataques como el de pulverización de contraseñas que utilizarán contraseñas sencillas. Otros ataques, que utilizan diccionarios para contraseñas más largas, pueden ser bastante eficaces para descifrar contraseñas fáciles. Las contraseñas con hash agregando salt -una variable adicional- pueden ser descifradas con combinaciones de letras y números de hasta 8 caracteres solamente. Las contraseñas con hasta 12 caracteres y un hash normal pueden ser normalmente descifradas sin problemas. Las contraseñas con 16 caracteres, como las generadas por el gestor de contraseñas, no se pueden descifrar con combinaciones múltiples.
- Contraseñas de administración compartidas: a veces, las empresas tienen credenciales compartidas, como una contraseña de administrador que se comparte entre todo el personal de administración de TI. Incluso cuando se utilizan contraseñas complejas, ¿cómo asegurarse de que no queden expuestas? En un ataque reciente, los hackers encontraron una hoja de cálculo de la empresa que contenía múltiples credenciales de administrador. ¡El premio gordo! Lo más probable es que los gestores de contraseñas corporativos tengan la capacidad de compartir las contraseñas de forma segura entre las personas, y que las almacenen siempre en una cámara acorazada.
- Exposición de contraseñas para las cuentas gestionadas de MSPs: los MSPs siempre tendrán credenciales de administrador utilizadas para acceder a sus cuentas gestionadas, una o varias por cuenta, compartidas entre grupos de técnicos del MSP. La filtración de esas credenciales podría ser un desastre para un MSP, exponiendo sus cuentas gestionadas al riesgo de conexiones remotas y a la propagación de ransomware. Los almacenes de contraseñas pueden ser muy eficaces en esas situaciones.
- Aplicaciones corporativas sin soporte MFA: la mayoría de las aplicaciones empresariales serias soportarán MFA, normalmente a través del protocolo SAML, que crea una relación de confianza con un proveedor de identidad. Algunas pueden tener su propia solución MFA. Pero todavía hay un gran número de aplicaciones que no entienden mucho sobre la necesidad de MFA. Empresas como Salesforce no solo las admiten, algo que están aplicando desde febrero de 2022. Pero para las aplicaciones que no soportan MFA, lo mínimo que hay que hacer es asegurarse de que las credenciales son únicas y no se reutilizan. Los gestores de contraseñas no ayudarán en todas las situaciones, como un sitio web de phishing. Pero pueden reducir drásticamente la exposición.
- Descuido de la contraseña por parte de los usuarios: la formación de los usuarios es siempre importante, para protegerse de los ataques de phishing o incluso de decir una contraseña por teléfono, porque la persona al otro lado de la línea dice que es de su banco y necesita desbloquear su tarjeta de crédito. Los gestores de contraseñas pueden ser realmente eficaces para ayudar a formar a los usuarios, hacerles comprender la importancia de mantener una contraseña segura y reducir la posibilidad de utilizarla en situaciones peligrosas.
Ahora se preguntará: ¿qué pasa con la autenticación sin contraseña? Se trata de una tendencia creciente, pero hay muy pocas situaciones en las que se puede utilizar. Lo más probable es que el inicio de sesión en su ordenador con su cara no le sirva para iniciar sesión en otros sitios web. Cambiar el inicio de sesión de la aplicación de su teléfono móvil por su huella dactilar crea una gran experiencia de usuario, pero no puede utilizarse si necesita iniciar sesión a través de su ordenador.
El hecho es que las contraseñas no van a desaparecer, y hasta que haya una solución que cubra todos los casos en la empresa, los gestores de contraseñas pueden ser eficaces para mitigar esos riesgos. Piense seriamente en este uso. Estamos reflexionando, ¡y pronto tendremos novedades que anunciar en este asunto!
Alex Cagnoni
Director de Autenticación de WatchGuard Technologies