Las contraseñas siguen siendo el método predilecto de autenticación, es decir, de demostrar que somos quiénes decimos ser, y por eso, tenemos derecho a acceder a esos servicios a los que queremos acceder, ya sea nuestro perfil de redes sociales, el backend de nuestra página web, nuestra cuenta en un servicio cloud para compartir ficheros, nuestro perfil en la sede electrónica de un ministerio, la cuenta de correo, el ordenador o la cuenta corriente de nuestro negocio.
Las empresas tienen que gestionar las identidades de otros usuarios de los servicios internos y externos que proporcionan.
Nuestros administradores de sistemas nos dan a los usuarios las credenciales de acceso, a las que están ligados los permisos que tendremos. Son la pareja inseparable: «usuario y contraseña». Si son para acceder a servicios críticos como la VPN o la cuenta del banco, o si somos administradores, usaremos en muchos casos el doble factor de autenticación.
Algunos servicios y dispositivos incorporan ahora sistemas de reconocimiento biométrico en lugar de las contraseñas.
¿Cómo pueden verse comprometidas?
Con lo importantes que son las contraseñas para acceder a nuestros servicios, algunos de ellos críticos para la empresa, protegerlas tiene que ser algo incuestionable.
No obstante, seguro que no es la primera vez que las olvidamos, las apuntamos donde no debemos, las compartimos, las reutilizamos, dejamos la contraseña por defecto, no las cambiamos o utilizamos las más fáciles de craquear, ¿no?
Una forma de perderlas es que sean parte de una fuga de datos de un servicio que utilizamos, como una red social, un correo gratuito, un proveedor tecnológico o un servicio cloud.
Un fallo de seguridad de sus sistemas o un error puede resultar en una «filtración» de las bases de datos de usuario-contraseña, a veces sin cifrar o con cifrados débiles.
Algún avispado ciberdelincuente lo habrá intentado o lo vaya intentar en cuanto tenga la mínima ocasión.
También podemos resultar víctimas de un ataque de phishing e introducir nuestras credenciales en algún servicio o página que creemos legítimo, entregándoselas en bandeja a los ciberdelincuentes.
Por último, el software y hardware que usamos no es infalible, y sí, tiene vulnerabilidades o fallos de seguridad que, si no son corregidos a tiempo, pueden poner en riesgo nuestras contraseñas, permitiendo que alguien sin permisos tenga acceso a ellas, incluso a cambiarlas, dejándonos a nosotros, sus legítimos propietarios, sin acceso.
Por eso, insistimos en que hay auditar y actualizar.
¿Cómo ponérselo difícil a los ciberdelincuentes?
¡No nos queda más remedio que espabilar!
- Si no lo has hecho ya, implanta una política de contraseñas.
- Forma a tu equipo con el kit de concienciación para no caer en engaños de phishing y smishing, pues los ciberdelincuentes utilizan técnicas similares por SMS y en redes sociales.
- Audita tus contraseñas e implanta medidas específicas que puedes encontrar en el «Catálogo de empresas y soluciones de ciberseguridad».
Fuente: Incibe.es