El 80% de los ciberataques es por contraseñas débiles: 7 claves para tener una inviolable
2021 se perfila como un año vulnerable
- Entre las recomendaciones más comunes está utilizar un administrador de contraseñas, pero también existen otras estrategias para quienes no quieren manejar estas aplicaciones de seguridad, como recurrir a frases de libros, películas o canciones, como también usar un doble factor de autenticación.
- La pandemia nos ha llevado a trabajar desde nuestras casas y esto, a su vez, nos lleva a estar expuestos a más riesgos cibernéticos. Así, durante 2020, los ataques informáticos a través del phishing o ransomware aumentaron notablemente y con ello, la posibilidad de ser víctima.
De hecho, según el informe X-Force Threat lntelligence lndex 2021, el año pasado a nivel global hubo más ataques de ransomware en comparación con 2019, y casi el 60% de los casos a los que X-Force respondió utilizaron una estrategia de doble extorsión donde los delincuentes cibernéticos cifraban, robaban y luego amenazaban con filtrar datos, si no se pagaba un rescate.
Asimismo, revelan desde EY, de acuerdo al Data Breach lnvestigation Report 2020 de Verizon, más del 80% de los ata¬ques utilizan técnicas de fuerza bruta (método de prueba y error para dar con la combinación}, intentos de acceso por uso de diccionarios de contraseñas débiles, o aprovechan el uso de credenciales perdidas o robadas.
Adicionalmente, un 22% de las brechas (acceso no autorizado a datos} por medio de ataques de ingeniería social busca obtener acceso por medio del error humano. «Existen técnicas donde al tener información de una cuenta de usuario, los ciberdelincuentes buscan acceder por medio de un diccionario de contraseñas, donde van probando constantemente diferentes opciones que pueden estar disponibles por múltiples causas», explica Rodrigo Fernández, gerente de Ciberseguridad de EY.
En ese sentido, Juan Pablo González, senior manager Cyber Risk de Deloitte, señala que es esencial tener claves seguras durante este 2021, ya que ha quedado en evidencia una importante dependencia a los dispositivos electrónicos y, por ende, la necesidad de contar con la información disponible para realizar actividades cotidianas, como enviar un correo electrónico, pagar cuentas o simplemente comunicarse con otros miembros de una compañía.
Más aún, el ejecutivo explica que el escenario para este año no es auspicioso en relación a los tipos de ciberataques y su nivel de sofisticación, puesto que mediante diversas campañas de ingeniería social, los atacantes obtienen las credenciales de una persona y acceden a toda su información e inclusive a la de la institución a la cual pertenece.
«Hay ciertas claves que son poco seguras y aquí mediante una serie de preguntas básicas, un tercero puede llegar a la conclusión de la contraseña exacta que se utiliza. Además, hay varios sujetos que se apoyan en diversos tipos de software o programas computacionales que permiten descifrar estas claves de manera muchísimo más rápida, lo que aumenta los riesgos que todos tenemos de ser blancos de ciberataques», dice.
Extensa, que mezcle números o símbolos y sin información personal
Alejandro Hevia, director de la Alianza Chilena de Ciberseguridad, indica que la recomendación general es utilizar un administrador de contraseñas, que es una aplicación que permite guardar todas estas en un lugar seguro. «De hacerlo, debemos tomar la precaución de protegerlas con una contraseña maestra, más larga y difícil de adivinar», dice.
La utilidad de estas aplicaciones es que no solo permiten guardar las claves para los distintos portales, sino que en general tienen la opción de crearlas automáticamente, de forma aleatoria y extensas.
Explica que existen dos tipos de administradores: los que vienen en aplicaciones aparte (para computador o móvil} y los que vienen incluidos en los navegadores: «Usualmente los primeros son considerados más seguros. Para ambos es vital crear una sola clave, a fin de proteger todas las otras. Hay aplicaciones gratuitas o de pago para todos los sistemas operativos y también para dispositivos móviles».
¿Qué otras prácticas existen?
Que sea de unos 15 caracteres aproximadamente. Desde Arkavia Networks aseguran que optar por una clave corta y fácil de recordar no es la mejor opción. «Lo más adecuado es utilizar contraseñas largas, lo que no significa que deba ser compleja. Aquí es más importante la longitud, que la complejidad», aseguran.
Hevia agrega que en este caso se sugiere utilizar una frase tomada de un poema, libro o diálogo de una película, algo que se recuerde fácilmente, ojalá con una modificación propia como cambiarle una letra por otra cosa o un error de ortografía a propósito. «Si se está partiendo por primera vez con contraseñas de este tipo, quizás convenga escribirla en un papel y guardarla en un lugar físicamente seguro ante cualquier olvido». indica.
Mezclar mayúsculas, minúsculas y caracteres.
Incorporar mayúsculas, minúsculas y números o símbolos es una buena manera de dar seguridad a la combinación de acceso, sin embargo, esto puede dificultar su recordación. Por ello, expertos coinciden en ayudar a nuestra memoria cambiando vocales por números que se le parezcan. «Por ejemplo, agregar minúsculas y mayúsculas, símbolos (#&%$} y reemplazar letras por números (E = 3}», recomienda González.
No incluir información personal.
Al momento de pensar en una palabra, desde Arkavia Networks comentan que es importante que la clave no sea alguna que revele información personal como nombre, ciudad, dirección, etc. En el caso de los números ocurre lo mismo, ya que hay que evitar colocar números de teléfono o la dirección. Tampoco hay que usar las fechas importantes para el usuario, como los cumpleaños, aniversarios y menos los números de los documentos de identificación, como cédula de identidad, pasaporte y licencia de conducir.
Cada cierto tiempo, cambiarlas.
Hoy en día varias aplicaciones recomiendan a través de una notificación cambiar la clave periódicamente, en especial las bancarias. La idea es que después de cierto tiempo se modifique por alguna totalmente diferente.
Actualice sus contraseñas con regularidad y no las reutilice en otras aplicaciones; esto las protegerá para que no sean usadas para tener acceso a otros sitios en caso de una filtración. «Y aunque sabemos que nada es infalible, lo que se necesita es poner el mayor grado de dificultad a quien intente obtener información sin autorización», dice Diego Macar, gerente de Ciberseguridad IBM Sudamérica.
Uso de doble factor de autenticación.
Una alternativa muy útil es la habilitación de un doble factor de autenticación en la plataforma, aplicación o software. Se trata de una medida de seguridad extra que frecuentemente requiere de un código obtenido a partir de una aplicación o un mensaje SMS, además de una contraseña para acceder al servicio. De ese modo se protegen mejor aquellas claves utilizadas para la administración de información económica del usuario, como las bancarias o de inversiones, y las que tengan información personal como el e-mail y redes sociales.
Macar comenta que esta acción suma un elemento de protección adicional: «A eso se le llama Multi-Factor Authentication o MFA. Si un ciberdelincuente tiene acceso a la contraseña, al tener el MFA activo este requerirá este factor adicio¬nal para poder confirmar el acceso al sistema, lo que agrega un paso adicional de dificultad», comenta.
####Tener un buen antivirus.
Sin importar que clase de dispositivo uno tenga, un buen antivirus evita que las claves sean expuestas. En el caso del celular, siempre se deben usar las aplicaciones oficiales.
M0n4L 154!!: ejemplos de una buena combinación.
Si de claves inseguras se trata, ejemplos hay miles. Fernández, de EY, dice que a nivel global se observa el uso del teclado como referencia para crear credenciales: «Ejemplos como números o letras secuenciales (‘1234561; ‘123456791; ‘qwerty’: ‘1111111} son comunes», precisa.
Asimismo, señala que en Chile se suele utilizar nombres propios, de empresas, equipos de fútbol, direcciones para elaborar las contraseñas.
¿Ejemplos seguros?
Recomienda usar generadores de contraseñas en internet, como Strong Random Password Genera¬tor (passwordsgenerator.net}, que lanzará ejemplos como «w33m$Agz<}@ZStk».
También usar imágenes o elementos que uno pueda tener a mano: como una foto de la Monalisa (M0n4L154!!}; o bien usar una frase completa si el sistema lo permite. Ejemplo: «YoNuncaViTelevisionPorqueEsMuyFome».
Obteniendo caracteres de una frase «una(1} (i}magen (v}ale (m}as (q}ue (M}il (plalabras» que resultaría en «1iVmqMp&».
FUENTE: El Mercurio – Innovación
Fecha: 08-03-2021