El primer jueves de mayo es reconocido, en todo el mundo, como día mundial de la contraseña. Esto es un recordatorio de por qué usar “123456” en nuestras cuentas en línea nunca es una buena idea y repetirlo es aún peor.
Si tenemos en cuenta la enorme cantidad de filtraciones que se han producido en los últimos años en Argentina, el panorama es preocupante. Hace aproximadamente dos semanas, un cibercriminal subió una base de datos de 59 millones de registros extraídos del Renaper a un foro especializado en la compra y venta de datos personales. E incluso subió un conjunto de datos de usuarios de nosis, un sitio muy utilizado que ofrece “información ciudadana estratégica” e incluye direcciones, documentos, números de teléfono y otros datos como relaciones laborales y registros financieros. Y por supuesto, En este último se filtraron contraseñas.
En este contexto, en 2023 se detectaron 2.000 millones de intentos solo en Argentina, mientras que en América Latina esta cifra trepó a 200.000 millones, según datos obtenidos por FortiGuard Labs de Fortinet. La empresa forma parte de la larga lista de empresas que Aumentan la conciencia.
Este dato es aún más específico cuando se habla de contraseñas: “La telemetría de Kaspersky indica que en 2023 se realizaron más de 32 millones de intentos de ataques a usuarios con ladrones de contraseñas, seguidos de más de 40 millones de incursiones en 2022”, indicó la empresa rusa de ciberseguridad.
E incluso algunos apestan para un futuro. sin contraseñaes decir, sin contraseñas: “En el panorama actual, el papel de las contraseñas tradicionales frente al uso de la autenticación biométrica es un tema de debate entre los expertos en seguridad”, afirmó Check Point.
A continuación se presentan algunas ideas de las tres empresas en las que pensar en el Día Mundial de la Contraseña.
A qué nos exponemos con una contraseña débil
Para empezar, vale recordar que las contraseñas tradicionales llevan décadas entre nosotros, pero representan problemas. El usuario medio no utiliza contraseñas seguras, las repite en casi todas sus cuentas online y no las restablece con frecuencia, lo que resulta peligroso debido a la gran cantidad de ciberataques que existen en la actualidad. De hecho, cada año, “123456” es la contraseña más utilizada en el mundo.
“Fortinet busca alertar sobre las numerosas tácticas que existen para robar las contraseñas de un usuario, que van desde la ingeniería social o el phishing, en las que los ciberdelincuentes engañan a un usuario para que le entregue sus credenciales a través de correo electrónico o mensajes de texto. , hacer clic en enlaces maliciosos o visitar sitios web infectados, hasta la interceptación del tráfico, donde los atacantes utilizan software como rastreadores de paquetes para monitorear el tráfico de la red que contiene información de contraseñas y capturarlas», explicaron expertos del laboratorio de amenazas de la compañía.
“Los ciberdelincuentes buscan constantemente nuevas formas de comprometer las credenciales de los usuarios, lo que hace casi imposible crear una lista completa de cómo pueden robar una contraseña. Es por eso que necesitamos aprender cómo mantenernos seguros a nosotros mismos y a nuestros datos en línea. Un buen punto de partida es implementar contraseñas difíciles de robar en todas nuestras cuentas”, explicó Arturo Torres, estratega de ciberseguridad de FortiGuard Labs para América Latina y el Caribe.
Los datos son concluyentes: “En América Latina, una de cada cinco personas admite haber sufrido el hackeo de al menos una de sus cuentas online. Así lo admitió el 24% de los chilenos, el 23% de los peruanos, el 21% de los mexicanos, el 19% de los colombianos, más el 18% de argentinos y brasileños”, complementa Kaspersky.
Estos hacks suelen tener una contraseña débil como puerta de entrada.
¿Cómo es una contraseña segura?
Según Check Point, esto es lo que debe tener una clave segura:
- Complejidad y duración: Cree contraseñas con una combinación de números, letras y símbolos, con un máximo de 12 a 16 caracteres para mayor seguridad. Si se amplía a 18 caracteres, la contraseña puede volverse casi irrompible, dado el aumento exponencial de las combinaciones posibles. Además, asegúrese de que sea único y evite utilizar datos personales fácilmente adivinables, como cumpleaños o aniversarios.
- Contraseñas únicas para diferentes cuentas: Nunca tendrás que reutilizarlo. Para evitar esto, puedes elegir frases u oraciones memorables, como ‘meryhadalittlelamb’, o una variante más segura con caracteres especiales ‘#M3ryHad@L1ttleL4m8’. Check Point Harmony Browse mejora la seguridad al evitar la reutilización de contraseñas corporativas en sitios externos y proteger contra phishing y malware.
- Actualizaciones periódicas: Cambiar las contraseñas con regularidad para mitigar el riesgo de violaciones de seguridad es una práctica crucial. Herramientas como Have I Been Pwned pueden ayudar a verificar si las cuentas de un usuario de Internet se han visto comprometidas en un ciberataque.
- Autenticación multifactor (MFA): Habilite siempre la autenticación multifactor para agregar una capa adicional de seguridad. Esto garantiza que incluso si una contraseña se ve comprometida, el acceso no autorizado seguirá bloqueado.
- Indicadores de desempeño de seguridad (KPI)– Las empresas deben aplicar cambios periódicos de contraseña y utilizar soluciones de gestión de acceso privilegiado (PAM) para gestionar y supervisar de forma eficaz el acceso a cuentas y datos. Educar a los usuarios sobre prácticas de contraseñas seguras es fundamental para fortalecer las defensas contra las crecientes amenazas cibernéticas.
En este sentido, todas las empresas aseguran que es clave tener activado el segundo factor de autenticación para evitar lo que se conoce como apropiación de cuentao robo de cuentas.
Hacia un mundo sin contraseñas
Hay una oleada de expertos que apuntan hacia un futuro sin contraseñas. ¿Cómo sería esto?
Google ya aplica esta opción para quien quiera utilizarla, por ejemplo. “Es un tipo de ‘credencial digital’ que se utiliza como método de autenticación (es decir, para que un sistema pueda verificar que efectivamente un usuario es quien dice ser). Es más seguro que una contraseña. porque no necesitas recordar nada para acceder a lo que permite. Esa misma frase podría parecer una contradicción, porque ¿cómo puede ser más seguro algo que puedo perder o que me pueden robar versus algo que tengo en la memoria?”, explicó Federico Pacheco, gerente de I+D+i de BASE4 Security, empresa argentina de ciberseguridad. Clarín.
“La autenticación biométrica, aunque segura, tiene un gran inconveniente: una vez comprometidos, los datos biométricos no se pueden cambiar. Esta vulnerabilidad puede conducir a un robo de identidad irreversible. Por otro lado, las contraseñas tradicional se puede actualizar para evitar el acceso no autorizado tras una brecha de seguridad”, añaden desde Check Point.
“Por otro lado, muchas personas y empresas siguen dependiendo de contraseñas para acceder a servicios esenciales, como el correo electrónico. Sin embargo, hay un cambio notable hacia la autenticación sin contraseña, especialmente en industrias con necesidades de seguridad muy estrictas. como realizar operaciones bancarias utilizando tokens de hardwareautenticación multifactor utilizando dispositivos alternativos y códigos PIN de verificación de un solo uso, que ofrecen acceso seguro sin contraseñas tradicionales”, cierra Check Point.
Mientras tanto, hasta que llegue ese futuro será clave tener paciencia, revisar todas las contraseñas, aplicar diferentes técnicas para recordarlos o, mejor aún, utilizar un administrador de claves.