Tus contraseñas son menos seguras de lo que pensás

A lo largo de 2024 hubo, según diferentes fuentes, un aumento que va del 70% al 80% de los ciberdelitos. Todos coinciden en que la Inteligencia Artificial, está comenzando a brindar también nuevas herramientas a los delincuentes informáticos.

Además, por más robustos que sean los sistemas de seguridad de las empresas, el factor humano sigue siendo el hilo más fino por donde se corta la cadena.

El eslabón más débil de la ciberseguridad

A lo largo de los últimos 20 años las empresas han invertido de manera sistemática en la robustez de sus sistemas de seguridad. Dichas inversiones se han destinado principalmente a hardware y software y se ha logrado, de esa manera, tener -en los casos en que se trabajó para ello- sistemas más difíciles de vulnerar.

Sin embargo, en ese lapso, los teléfonos inteligentes han hecho que todos los empleados de las empresas lleven una parte de la seguridad de su trabajo encima. Antes, cuando se iban de la oficina se terminaba el riesgo; con el uso de los smartphones todo el día y en todo lugar, la parte de seguridad que corresponde a cada empleado se multiplicó hasta el infinito.

Estudios recientes citados por ZULA, compañía de seguridad modular para empresas, revelan que el 90% de las empresas hackeadas lo fueron porque los atacantes lograron vulnerar la contraseña de alguno de los empleados. Esa termina siendo, por lo general, la puerta de entrada para los ciberdelincuentes.

Contraseñas: cuáles son las más fáciles de vulnerar

Tan sencillo es robar contraseñas que, según un informe de IT Governance, existen al día de hoy registros de 10.000 millones de claves vulneradas. Frente a ello, existen errores habituales muy sencillos de corregir y recomendaciones para hacerle el trabajo más complejo a los atacantes.

Por empezar, las claves más vulnerables son las que no tienen complejidad, las que no ofrecen combinaciones. Por ejemplo, las que están compuestas sólo por números o las que tienen letras solo en minúscula o las que son muy cortas. Mucha gente usa nada más que números y, en algunos casos extremos, números correlativos, como 123456, que es la más obvia pero según los especialistas de ZULA, se observa con cierta asiduidad.

El otro error común es utilizar palabras de uso habitual, combinadas con números sencillos. Por ejemplo, "martes1". Muchos usuarios, cuando el sistema pide, por razones de seguridad, actualizar la contraseña, apelan a la continuidad de dicha lógica, y entonces la cambian a "martes2", y así en adelante.

Alerta: las contraseñas "tontas" son responsables de muchos hackeos

El otro error habitual, que permite que las contraseñas sean fácilmente robadas, es usar datos personales: nombre del gato, del perro, de familiares, de fechas representativas, etc. Los atacantes, muy preparados en la materia, buscan la información en Facebook y al conocer la persona tienen altas chances de poder intuir la contraseña que usa.

Sin ir más lejos, de acuerdo a los registros de la empresa, un porcentaje muy alto de los hombres (superior al 70%) usa a su equipo de fútbol como clave, mientras que, del lado de enfrente, gran parte de las mujeres eligen el nombre de su mascota a la hora de definir la contraseña.

Cómo reforzar los passwords

Frente a este panorama complejo, en el cual los atacantes tienen cada vez más herramientas y tácticas de engaño, y los usuarios cada vez más celulares y horas de uso de pantallas para ser vulnerados, existen algunas  ingeniero en sistemas y CEO de ZULA  que pueden, al menos, complejizar bastante la tarea de los ciberdelincuentes.

La recomendación principal es utilizar reglas mnemotécnicas y modificar algunas de las palabras. Por ejemplo, si mientras leemos esto tenemos frente a nosotros una taza de café con una cucharita y algunos papeles, podríamos usar las tres palabras, cambiando alguna letra a cada una y ponerle, por ejemplo, un punto en el medio.

El otro aspecto central, más allá de cómo creamos contraseñas, es cómo las guardamos o almacenamos. Lo cierto es que muchas de las contraseñas se roban porque son fáciles, como dijimos, pero otras porque los atacantes ingresan a la computadora y extraen el archivo donde las tenemos guardadas.

Allí entran en escena los llamados "infostealers", especialistas en robar contraseñas guardadas en archivos planos. Lo que hacen es brindarte algo que querés (un video, un archivo, cualquier cosa), pero lo que están haciendo, a través de eso que te bajás, es robarte cosas de la computadora (por ejemplo, las claves).

Cómo guardar las contraseñas

Retomando el punto anterior, y dado que hoy en día tenemos y seguimos generando cientos de contraseñas para cualquier acción que queramos hacer a través de un sitio o app, la primera recomendación es no guardar las mismas en un archivo plano, de esos que los infostealers pueden robar fácilmente.

Existen, tanto para el uso empresarial como del usuario común, productos que almacenan contraseñas de manera segura y encriptada, incluyendo backup y un estricto control de acceso.

"En el caso de las empresas, hoy el 80% de ellas no cuentan con un sistema para guardar esas claves", señaló Alan Burastero, ingeniero en sistemas y CEO de ZULA. Lo cierto es que las mismas suelen estar guardadas en la máquina de una persona, como un archivo plano, que es justamente lo que se debe evitar.

Lo que correspondería, en especial para las empresas, es que esas contraseñas no solo estén encriptadas sino que además estén guardadas en "sobres" o "cofres" a los que se pueda acceder solo bajo estricta aprobación previa. Se puede, en ese punto, tener un control del flujo de aprobaciones, para poder rastrear, en el caso del robo de una clave, quién la ha utilizado.

Lo ideal, o más recomendable, es utilizar sistemas que permitan lograr un almacenamiento seguro y encriptado, con un track record del flujo de aperturas, criterios de aprobación, trazabilidad y registros de auditoría. Y evitar, a su vez, la manipulación de la contraseña como tal, lo que permite que muchas veces se filtre (o sea, utilizar la contraseña sin tener que saberla).

En el caso de las personas, tal vez no sea necesario llegar a tanto. Pero sí, al menos, utilizar palabras que no sean sus seres queridos, su club y que, además, combinen letras y números, con algún tipo de combinación y de complejidad, destacan desde ZULA. Fuente: Infotechnology