No es de extrañar que a los ciberdelicuentes les encante encontrar vulnerabilidades fáciles de explotar, y las contraseñas débiles ocupan la primera posición de esa lista. Según el informe Verizon 2022 Data Breach Investigations Report, el robo de credenciales provocó casi el 50% de los ciberataques del año pasado.
Cuando los atacantes utilizan contraseñas robadas para acceder a la cuenta de un individuo, a menudo se llevan un tesoro de datos personales, como detalles bancarios u otra información personal crítica. Con estos datos, pueden llevar a cabo diversas actividades maliciosas, como robar la identidad del individuo, acceder a sus cuentas de redes sociales y gastar dinero de sus tarjetas de crédito. Por ello, es fundamental utilizar contraseñas seguras y cambiarlas con frecuencia para evitar que accedan a ellas.
¿Cómo consiguen los hackers las contraseñas?
Existen numerosas tácticas que los astutos atacantes utilizan para robar contraseñas. Un ejemplo es la ingeniería social -o phishing-, en la que los ciberdelincuentes engañan a los usuarios para que proporcionen sus credenciales por correo electrónico o mensajes de texto, hagan clic en enlaces maliciosos o visiten sitios web maliciosos. Otro es la interceptación del tráfico, en la que los atacantes utilizan software como los rastreadores de paquetes para supervisar el tráfico de red que contiene información sobre contraseñas y capturar las credenciales.
Además, la filtración del ransomware Conti reveló cómo el grupo de ransomware más exitoso de 2021 utilizaba técnicas de robo de información y obtención de credenciales, en las que el actor de la amenaza compra las credenciales filtradas de las bases de datos de varios mercados de la Deep web. Por desgracia, muchas personas utilizan la misma combinación de contraseña y correo electrónico para varios sitios web. Si solo una de estas combinaciones termina en una base de datos, es fácil que se reutilice esta información sensible para obtener acceso al entorno de la víctima.
Los atacantes encuentran constantemente nuevas formas de comprometer las credenciales de los usuarios, lo que hace casi imposible crear una lista exhaustiva de cómo podrían robar una contraseña. Por eso debemos aprender a mantenernos a nosotros mismos y a nuestros datos seguros en Internet. Un buen punto de partida es implementar contraseñas en todas las cuentas que sean más difíciles de robar para los atacantes.
Mejores prácticas para crear mejores contraseñas
¿En qué consiste una contraseña segura? He aquí cuatro sencillos consejos para crear buenas contraseñas y protegerse mejor contra un ciberataque.
- Cree contraseñas que sean imposibles de olvidar pero difíciles de adivinar para los demás. Aunque puede parecer una buena idea añadir números o caracteres especiales a palabras y frases comunes para reforzar la contraseña, los atacantes utilizan múltiples técnicas para descifrar este enfoque. En un ataque tipo, por ejemplo, los atacantes utilizan una lista de palabras comunes para obtener acceso a aplicaciones o sitios web con la esperanza de que la gente utilice esas palabras en sus contraseñas. También añaden números antes o después de esas palabras comunes para que los usuarios piensen que simplemente añadiendo números antes o después su contraseña será más difícil de adivinar. Para facilitar la creación de contraseñas seguras, utilice un dispositivo mnemotécnico, como la segunda letra de cada palabra de una frase que conozca o de la letra de una canción poco conocida, y mezcle mayúsculas y caracteres especiales.
- Evite utilizar nombres, números o frases particulares en sus contraseñas. No incluya en sus contraseñas su información personal identificable, ni su destino de vacaciones, universidad o equipo deportivo favorito. Evite utilizar lo siguiente en cualquier contraseña:
- Cumpleaños
- Números de teléfono
- Información de su compañía
- Nombres, incluyendo títulos de películas o equipos deportivos
- Una sencilla ocultación de una palabra común (“P@$$w0rd”)
En su lugar, utilice una combinación de letras mayúsculas y minúsculas, números y símbolos, y cree una contraseña de al menos 10 caracteres.
- Utilice contraseñas diferentes para cada cuenta individual. Cuando utilizas la misma contraseña para varias cuentas, estás aumentando la cantidad de información a la que un atacante puede acceder sobre ti si consigue robar tus credenciales. Supongamos que una de tus cuentas se ve comprometida y tu nombre de usuario y contraseña se publican en la Deep web. En ese caso, los ciberdelincuentes que conocen la frecuencia con la que se reutilizan las contraseñas empezarán a introducir esa información en otras cuentas hasta desbloquear las que utilizan las mismas credenciales.
- Utiliza un gestor de contraseñas para generar contraseñas únicas, largas, complejas y fáciles de cambiar para todas tus cuentas online. Aunque seguir las pautas de creación de contraseñas es un buen comienzo para mejorar las defensas contra los ciberataques, no intentes llevar la cuenta de todas estas contraseñas utilizando un documento u hoja de cálculo en tu dispositivo (o una nota adhesiva bajo el teclado). En su lugar, considera la posibilidad de utilizar un gestor de contraseñas como una opción más segura. Un gestor de contraseñas puede generar contraseñas únicas para cada una de tus cuentas online (o puedes utilizar las tuyas propias), cifra esas contraseñas y las almacena en una caja fuerte local o en la nube. Los gestores de contraseñas facilitan el uso de las contraseñas más seguras posibles, ya que sólo tienes que memorizar una única contraseña para acceder al almacén.
Algo más que contraseñas seguras
Aunque los individuos pueden seguir las mejores prácticas para crear contraseñas seguras, los equipos de TI y de seguridad deben tomar medidas adicionales para proteger a su organización y a sus empleados de las contraseñas comprometidas.
Si es un profesional de la seguridad, considere la posibilidad de aplicar:
- Autenticación multifactor (MFA por sus siglas en inglés): La MFA confirma la identidad de los usuarios añadiendo un paso adicional al proceso de autenticación, ya sea mediante tokens físicos o basados en el móvil. La adición de un segundo paso para verificar la identidad de un usuario garantiza que un ciberdelincuente no pueda acceder a la cuenta de ese individuo aunque la contraseña esté comprometida.
- Single sign-on (SSO): El SSO permite a los usuarios utilizar un único nombre de usuario y contraseña en varias aplicaciones de su organización. El uso de un solo conjunto de credenciales mejora la seguridad, ya que los ciberdelincuentes tienen menos oportunidades de comprometer la cuenta de un individuo.
- Formación y educación en ciberseguridad: A medida que el malware evoluciona y los atacantes introducen nuevas técnicas para robar datos, todos los empleados deben conocer las ciberamenazas y cómo pueden protegerse mejor. Los cursos de formación gratuitos, como los ofrecidos por la Network Security Expert de Fortinet, ayudan a educar a los usuarios a nivel individual sobre cómo mantenerse a salvo.
- Servicio de Protección de Riesgos Digitales (DRP): Los servicios de DRP que incluyen la gestión de la superficie de ataque externa (EASM), la protección de la marca y la inteligencia centrada en el adversario (ACI) son esenciales para detener a los estos en las primeras etapas de su campaña. Por ejemplo, FortiRecon de Fortinet supervisa y alerta continuamente de las credenciales filtradas de sus empleados a través de la Deep web, de los foros clandestinos y bajo invitación, de las fuentes de inteligencia de código abierto (OSINT), etc.
Ser consciente de los riesgos de ciberseguridad y de las tácticas de los atacantes es más importante que nunca en el lugar de trabajo y en casa. Utilizar contraseñas seguras, y cambiarlas con frecuencia, es una parte fundamental de la protección de la información personal y los activos digitales.
Fortinet ofrece una amplia gama de recursos a los usuarios individuales y a las organizaciones para ayudar a resolver los problemas de seguridad, como las contraseñas débiles que pueden abrir la puerta a los ciberdelincuentes. A través del Instituto de Formación de Fortinet, Fortinet ofrece cursos de formación gratuitos para ayudar a establecer una comprensión básica de las mejores prácticas de higiene de ciberseguridad. El servicio de concienciación y formación en seguridad de Fortinet también está disponible para las organizaciones que quieran asegurarse de que todos sus empleados, independientemente de su función, puedan identificar los métodos de amenaza y prevenir las vulnerabilidades y las violaciones.
Por Jonas Walker, Security Strategist en FortiGuard Labs de Fortinet
