La importancia de asegurar sus contraseñas

¿Qué mantenemos bajo llave y por qué? La respuesta es sencilla, todo aquel activo que a nuestro entender es de valor significativo para nosotros, ya sea monetario o con un valor sentimental lo aseguramos para evitar su robo, pérdida o daños al mismo, nadie deja las llaves de su casa pegadas en la puerta, únicamente para evitar buscarlas al regresar a casa por obvias razones.

Asimismo debemos pensar en la seguridad de nuestros activos de IT, toda la información y accesos que poseemos de nuestra organización es sumamente valiosa y delicada, por esto debemos tomar en cuenta que estamos asegurando, de que manera y como guardamos estas llaves de acceso.

Además debemos considerar la seguridad de IoT, la llegada de dispositivos tecnológicos a nuestro hogar ha tenido un incremento exponencial en los últimos años, Kaspersky realiza constantes estudios sobre el comportamiento de los usuarios y sus contraseñas, validando que tan fácil es acceder a ellas y nos dice que “La mitad de los dispositivos pueden verse comprometidos debido a la falta de vigilancia del proveedor en la configuración de contraseñas”

En 2020 con el ingreso del Home Office debido a la pandemia mundial, se detectó un aumento del 60% en el robo de contraseñas, ¡Esto es alarmante! 

Ahora que entendemos la gravedad y la recurrencia de incidentes de seguridad debidos a malas prácticas de control de acceso a nuestros activos de IT procedemos a asegurarlos, te explicamos como a continuación.

Gestionar el acceso a los recursos

Para esto hay diferentes tipos de contraseñas, viendo el ejemplo de nuestro hogar, hay llaves que debemos tenerlas todos los habitantes, las llaves de las puertas principales y accesos a espacios comunes, pero el acceso a habitaciones o cajas fuertes varían según pertenencia, igualmente pasa en las organizaciones, todos podemos ingresar a ciertas plataformas de uso común como ser el correo electrónico, pero no todos tenemos los mismos accesos, ni los mismos privilegios en estas plataformas.

Debemos ser capaces de mapear bien los roles y perfiles de cada usuario que tendrán acceso a nuestros recursos, garantizando el uso correcto según las políticas de seguridad de la organización y llevando un registro del uso que le da cada usuario, pensemos un momento cuántos accesos tienen nuestra organización, esto va a variar, pero seguramente son muchos accesos los que les corresponde a cada usuario, humanamente es imposible no confundir u olvidar un acceso, para este tipo de asignación podemos hacer uso de un gestor de contraseñas compartidas.

Estos gestores de contraseñas no solo sirven para almacenar contraseñas, también tienen beneficios como:

  • Control de acceso a los recursos

  • Conexión directa a las aplicaciones, sitios web y recursos de IT remotos

  • Restablecimiento automático de contraseñas 

  • Grabación de accesos privilegiados, para las auditorías internas

  • Reportes de auditoría 

 

Ya vimos como podemos brindar el acceso a recursos compartidos de una forma segura, sencilla y evitando que los usuarios se vean en la necesidad de escribir sus contraseñas en papel con el riesgo que estén al alcance de todos.

Generación de contraseñas seguras

Lo primero es establecer una política de contraseñas seguras, para tener un estándar de seguridad, les brindamos unos aspectos básicos a definir en una política de seguridad de contraseñas:

  • El valor mínimo y máximo de longitud de la contraseña

  • La cantidad de números

  • El uso de mayúsculas y minúsculas

  • Uso de caracteres especiales

  • Restricciones de repetición de contraseña

  • Restringir el uso de patrones

  • Restricciones del uso de palabras del diccionario de contraseñas

  • Intervalo de cambio de contraseña 

Estos deben incluir a todo el personal de la organización, no podemos dejar que la creación de contraseñas quede al libre albedrío del colaborador, debemos usar la tecnología adecuada que nos permita asegurarnos que la política de contraseñas se está cumpliendo.

Existen herramientas donde podemos obligar al usuario en el momento de creación de su contraseña cumpla con cada requerimiento solicitado, también nos permiten cargar diccionarios de Password Hacking utilizados contra los ataques de fuerza bruta, muyseguridad nos comparte una lista de estos diccionarios, estos nos permiten modificarlos agregando nuestras propias palabras comunes o no seguras para evitar el uso de las mismas, lo que nos ayudará a reforzar la creación de contraseñas.

El uso de APIs se ha vuelto muy común en todas las organizaciones porque nos permiten la comunicación entre servicios y productos, pero generan un riesgo de seguridad, por lo que debemos restringir el acceso de APIs de terceros, para esto en Agrega le brindamos una solución implementando un control de acceso a las aplicaciones

Autenticación de doble o múltiple factor

Imaginemos que un usuario descuida sus accesos y estos son obtenidos por un agente malicioso, debemos aplicar una capa más de seguridad para protegernos en estos casos, esta sería autenticar al usuario para validar que es quien dice ser.

El avance de la tecnología nos ha facilitado esta tarea creando el factor de doble autenticación, donde el usuario deberá realizar dos pasos para ingresar a los recursos:

  1. Algo que sabes (cómo tu contraseña)

  2. Algo que posees (como tu teléfono, Token, Tarjeta) o Algo que eres (como tu huella, voz, reconocimiento facial)

Existe una variedad de opciones donde podemos escoger la más conveniente para nuestra organización y los aplicativos donde implementaremos el factor de doble autenticación, teniendo en cuenta los tipos de autenticación disponibles:

  • Autenticación biométrica

  • Autenticación por SMS

  • Autenticación por Email

  • Autenticación TOTP

  • Autenticación por Clave

Al aplicar esta capa de seguridad podemos dar por completo el proceso de asegurar nuestras contraseñas, siempre haciendo énfasis a la concientización del usuario, ya que él es el responsable de los accesos a la red organizacional y su correcto uso, evitar así ataques como: 

Ataques de Fuerza Bruta El agente se apoya de software, hardware, algoritmos o diccionarios para lograr descifrar la contraseña de un usuario.

Credential stuffing Este consiste en utilizar una contraseña en los múltiples servicios disponibles para un usuario, debido a la reutilización de contraseñas.

Password spraying El atacante obtiene las cuentas de usuario de la organización y va intentando hasta hacer match con su lista de contraseñas disponibles, aquí no hay un usuario objetivo.

Recuerde quela cadena es tan fuerte como su eslabón más débil (William James). Por lo que el nivel de su seguridad de contraseñas se medirá con la contraseña más débil de su organización.

 Si desea conocer más sobre nuestros servicios contáctenos:

ventas@agrega.com

info@agrega.com

+504 2269-0133.

¿Qué tan útil ha sido este blog?

¡Haz clic en una estrella para calificarla!

Table of Contents

Facebook
Twitter
LinkedIn