Como primer paso para mejorar la política de la empresa con respecto al manejo de contraseñas, debemos evaluar la situación actual. Esto nos servirá para tener una visión global y analizar los puntos débiles con el objetivo de establecer una serie de mejoras que se traduzcan en un aumento de la seguridad y un control efectivo de cómo se maneja esta información tan sensible.

Aunque las nuevas tecnologías nos ofrecen nuevos métodos de autenticación diferentes a las contraseñas, la realidad nos demuestra que el uso de esta forma de acceso sigue siendo la prioritaria. Esto se debe a que cada vez más servicios se prestan a través de Internet, sumado al uso masivo de ordenadores, tablets y teléfonos móviles.

Acceder a los servicios a través de una contraseña es uno de los métodos más sencillo de implementar, y de ahí su éxito, pero, por contra, también es más vulnerable.

El problema se plantea cuando, debido a este aumento del uso de contraseñas, el usuario se deba enfrentar al hecho de que debe recordar un número cada vez mayor de claves de acceso. Ante esto, la solución más fácil es repetir la misma contraseña en distintos servicios o bien crear contraseñas sencillas y fáciles de usar, y, por tanto, más inseguras.

Esto puede suponer un problema grave para la empresa, puesto que esta forma de actuar es bien conocida por aquellas personas o grupos que intentan averiguar dichas contraseñas, dirigiendo sus estrategias en esa dirección y explotando este tipo de vulnerabilidades.

Métodos para averiguar las contraseñas

Existen una serie de técnicas de las que se sirven los atacantes para averiguar las contraseñas que les interesan.

Estos métodos pueden ser de tipo técnico o incluso utilizando la ingeniería social, engañando al usuario para que las revele, o revele pistas que conduzcan a averiguar la misma.

Una de las técnicas más habituales es tratar de adivinarla de forma automática, ya que un porcentaje de personas utilizan contraseñas con un formato predecible. Utilizar la misma contraseña en distintos sitios, nos hace vulnerables en distintos servicios.

La fuerza bruta es otro método de obtención de contraseñas habitual, consistente en probar de forma automática un gran volumen de contraseñas, con el objetivo de acabar dando con la correcta.

En ocasiones, los usuarios además almacenan sus contraseñas en lugar inseguros, por ejemplo, de forma física, apuntadas cerca de su puesto de trabajo, o, en sus equipos informáticos, en documentos electrónicos que contienen claves sin ninguna protección.

¿Cómo hacer las contraseñas de mi empresa más seguras?

Es importante diseñar e implementar una política de contraseñas para la empresa que garantice la mayor protección y seguridad posibles.

Esta política debe ser comunicada a todos los integrantes de la empresa, haciendo especial hincapié en la importancia y obligatoriedad de que se sigan todas las directrices marcadas.

Le ofrecemos una serie de consejos que le ayudarán a establecer una política de gestión de contraseñas más segura para su empresa:

En primer lugar, revise la situación actual: qué contraseñas se utilizan, cómo se almacenan y qué usuarios tienen acceso a ellas. Esto le facilitará la detección de los puntos débiles y establecer medidas de corrección.

1. Reduzca el uso de contraseñas

Siempre que sea posible, reduzca el uso de las contraseñas que se hace en la empresa, en algunos casos innecesarias. Existen soluciones más seguras como por ejemplo el acceso con control biométrico, entre otras. Aunque pueden suponer un coste inicial mayor, a la larga este se amortiza y la empresa habrá ganado en seguridad.

En ocasiones, será imposible evitar usar contraseñas. En estos casos, existen formas más seguras de autentificación, como la autentificación multifactorial que implica una autentificación por varias vías, por ejemplo, a través de una contraseña y a través de un código que se recibe en un móvil.

2. Simplifique el uso de contraseñas

El inicio de sesión único es muy interesante para todos los trabajadores que deben acceder a distintos servicios con contraseña. Con el inicio de sesión único solo tendrán que recordar una única contraseña, y esto les permitirá usar el resto de servicios.

Por supuesto este inicio de sesión único deberá ser lo suficientemente seguro, algo que se consigue con la autenticación multifactorial.

3. Tecnología al servicio de la seguridad

Cuando hay un factor humano, hay menor control sobre las acciones que este pueda realizar, aunque exista formación previa respecto a la seguridad. Por eso, implementar soluciones técnicas adicionales para reforzar la seguridad de contraseñas y datos sensibles es una muy buena opción. Algunos ejemplos:

• Limitar el número de intentos para introducir la contraseña. Esto limitará enormemente a quién intente usar técnicas para adivinar la misma ya que en cada nuevo intento, el tiempo que transcurra hasta el siguiente será mayor. Algo más drástico es utilizar el bloqueo de cuenta, tras varios intentos fallidos.
• A estas técnicas le podemos sumar a su vez un sistema de control y monitorización, que avise a los responsables cuando se produce algún intento de identificación erróneo o cualquier comportamiento que pudiera ser sospechoso.

4. Establecer un sistema de elección de contraseñas más seguro

Sabiendo que muchas personas tienen tendencia a utilizar contraseñas simples y predecibles, podemos establecer un sistema que no les permita elegir determinadas contraseñas, por ejemplo, estableciendo una lista negra de contraseñas de uso más común que no se les permita elegir.

También podemos elegir el formato de contraseña válido. Una contraseña compuesta por caracteres, símbolos y números por ejemplo será mucho más segura.

5. Proteger el acceso a las contraseñas

Una de las formas de averiguar una contraseña es cuando esta está en tránsito. Por eso, los técnicos especializados, bien internos o bien quiénes estén encargados de este tipo de servicios, deberán implementar una serie de medidas de protección, por ejemplo:

• Todas las aplicaciones Web que utilice la empresa deberán requerir de un sistema de autenticación con protocolo SSL (HTTPS), que ofrece mayor seguridad.
• Todos los sistemas de acceso de la empresa deberán estar debidamente protegidos. En aquellos casos en los que se dependa del acceso a servicios de terceras empresas, le recomendamos que se informe sobre si estos cuentan con la debida protección para la seguridad de la contraseña.
• El almacenamiento de las contraseñas debe ser seguro e impedir que cualquier persona que accediera a la base de datos donde se almacenan pudiera obtenerlas. Para ello se utilizan sistemas de encriptación de contraseñas, que impiden que estas sean accesibles.

6. Proteger las cuentas más críticas

Todas aquellas contraseñas que dan acceso a servicios o información crítica deben estar aún mas protegidas. Por ello, se deberán dotar de mayor protección adicional, mediante la implantación de un sistema de identificación multifactorial, acceso biométrico etc.