Según el Informe de investigación sobre violaciones de datos llevado a cabo por Verizon en 2017, el 81% de las violaciones de datos se deben a contraseñas débiles o robadas. Considerando que se han filtrado más de 5 mil millones de contraseñas online, la protección básica de las contraseñas se considera inefectiva.
Si usted cree que su organización no tiene nada que pueda ser de interés para los ciberdelincuentes, piénselo nuevamente. Las PYME son el segmento ideal del mercado para los ciberdelincuentes, ya que tienen datos y activos más valiosos que los consumidores finales, pero a su vez son más vulnerables que las grandes corporaciones, cuyos presupuestos de seguridad son más sustanciosos.
Este problema se ve agravado por el creciente número de empresas que incorporan dispositivos "inteligentes" en su infraestructura de TI. Si bien la Internet de las cosas (IoT) ayuda a que las operaciones comerciales sean más rápidas y fluidas, estos dispositivos a menudo son vulnerables y se suelen ejecutar con su nombre de usuario y contraseña predeterminados, que están disponibles para cualquiera, lo que representa un riesgo que puede tener consecuencias perjudiciales.
Además, el nuevo Reglamento general de protección de datos de la Unión Europea (GDPR)establece que las organizaciones de todos los tamaños deben garantizar la seguridad de sus datos mediante la implementación de "medidas técnicas y de gestión apropiadas". Por lo tanto, si se produce una brecha de seguridad y se descubre que la empresa solo usa contraseñas simples y estáticas, podrá esperar una gran multa.
En todo el mundo, las leyes y las normativas de privacidad se están haciendo cada vez más estrictas. El régimen recientemente aprobado para la notificación obligatoria de las violaciones de datos National Data Breach (NDB) de la Ley de Privacidad de Australia, así como las leyes estrictas de privacidad de varios estados de los Estados Unidos que exigen la notificación de las violaciones de datos, están incrementando los estándares para todo el que posea datos sobre los residentes de dichas jurisdicciones.
1. Una de las técnicas más simples utilizadas es la de espiar al usuario mientras navega, donde el atacante observa a las posibles víctimas cuando escriben sus contraseñas.
2. Los atacantes también manipulan la "debilidad humana" de sus víctimas a través de técnicas de ingeniería social. Un formulario online o un correo electrónico creado por un profesional para hacerlo pasar por un remitente confiable (ataque de phishing o suplantación de identidad) puede persuadir hasta los usuarios bien entrenados para que revelen sus contraseñas.
3. Un ciberdelincuente con acceso a la red de la organización puede usar malware para buscar documentos que contengan contraseñas o registrar las pulsaciones en el teclado de las contraseñas y luego enviar la información recopilada a su servidor de comando y control. Los hackers de sombrero negro también pueden extraer archivos de contraseña cifrados y descifrarlos offline.
4. Las técnicas de ataque más exigentes incluyen interceptar el tráfico de red de los dispositivos que los empleados utilizan en forma remota o en un lugar público.
5. Una de las formas más populares de descifrar las contraseñas son los ataques de fuerza bruta. Los scripts automatizados prueban millones de combinaciones de contraseñas en un corto período de tiempo hasta que encuentran la correcta. Esta es la razón por la cual, con el paso de los años, se ha hecho necesario crear contraseñas cada vez más largas. Cuanto más compleja es la contraseña, más tiempo necesitan los cibercriminales para adivinarla.
Para asegurar que la política de contraseñas de su organización sea efectiva, le recomendamos seguir estos procedimientos específicos:
Para proteger mejor las contraseñas de los empleados en su organización, se recomienda el uso de la autenticación en dos fases (2FA, del inglés). De esta forma, se verifica la identidad del titular de la cuenta con un código de acceso único (algo que el usuario tiene) además del nombre de usuario y la contraseña (algo que el usuario sabe), protegiendo así el acceso a los sistemas de la empresa incluso en los casos en que las credenciales se filtren o sean robadas.
Como los SMS y los dispositivos móviles con frecuencia están sujetos a ataques de malware, las soluciones modernas de autenticación en dos fases dejaron de usar la verificación por SMS y, en su lugar, optan por las notificaciones impulsadas, ya que son más seguras y fáciles de usar. Para mejorar aún más la seguridad del proceso de autenticación, las organizaciones pueden agregar la biometría (algo que el usuario es) mediante la implementación de la autenticación de múltiples factores (MFA, del inglés).
La autenticación en un solo clic para dispositivos móviles le permite proteger sus datos y cumplir con las normativas de seguridad. Utiliza un sistema de notificaciones disponible tanto en Android como en iOS; además su administración es sencilla y se despliega en tan solo 10 minutos. Pruébela ahora y conozca cómo funciona.
