Contraseñas de acceso: Datos sobre amenazas para la seguridad de empresas y usuarios, ¿cómo prevenirlas?

En el último tiempo, la ciberseguridad se ha transformado en uno de los grandes problemas para empresas, personas naturales e incluso usuarios. Sin embargo, existen alternativas más seguras y convenientes que las contraseñas, como el sistema de acceso “passwordless” que utiliza la biométrica, esto es, información única y personal, como huellas dactilares o reconocimiento facial.

Según los datos de la empresa consultora y de investigación de las tecnologías de la información (TI), Gartner, entre el 20% y el 50% de los casos de soporte que se abren en el área de TI son sobre solicitudes de recuperación de contraseña.

Desde Security Advisor -empresa que brinda servicios y soluciones en Seguridad de la Información-, aseguran que, ante el olvido de las contraseñas, se pierde un tercio de las ventas en línea, debido a que el 33% de las personas abandonan las compras porque los consumidores las olvidan y es engorroso el proceso para volver a recuperarlas.

Marcelo Díaz, Socio de Cyber Risk en Deloitte, explica que el sistema “passwordless”, como lo indica su nombre, consiste en no utilizar contraseñas, reemplazando la clave de acceso generada manualmente por el usuario por una llave criptográfica automática. Además, esta llave es almacenada simultáneamente de forma segura en el dispositivo del usuario (llave privada) y en el sistema (llave pública).

El especialista detalla que, cuando el usuario ya tiene su “passwordless” y debe ingresar a un sistema o plataforma, automáticamente se le solicitará aprobar el acceso, mediante el uso de la seguridad utilizada en el dispositivo personal, ya sea biometría (huella y/o rostro) o bien, un PIN o patrón de seguridad.

“En ese momento, cuando el usuario accede a su llave criptográfica privada, permite comparar su llave pública con el sistema al que está tratando de acceder. En esta comunicación el usuario no tiene cómo conocer ni entregar la llave privada o pública, por lo que un atacante no tiene cómo obtener una contraseña, ya que en este tipo de procesos esta no existe”, asevera.

Díaz destaca que este sistema permite evitar ataques de ingeniería social del tipo phishing, smishing (phishing por SMS), QRishing (phishing a través de códigos QR), o bien, llamadas telefónicas a clientes y usuarios, ya que no existen códigos o claves que puedan ser compartidas remotamente.

“Esta nueva tecnología ‘passwordless’ reduce los costos asociados con la pérdida de contraseñas y evita la pérdida de ventas y malas referencias comerciales. (…) Al adoptar métodos de autenticación ‘passwordless’, las empresas pueden fortalecer su seguridad, protegiendo tanto a sus empleados como a sus clientes de los riesgos asociados a los métodos comunes de inicio de sesión”, comenta Luis Pedro Guarneri, Gerente Comercial en Security Advisor.

Marcelo Díaz indica que el hackeo de claves de acceso depende de varios factores, como la complejidad de la misma, la disponibilidad de herramientas y técnicas de hackeo, y la experiencia del atacante.

En esa línea, el especialista afirma que las contraseñas simples son más fáciles de hackear que las más complejas, existiendo diccionarios de contraseñas que permiten automatizar los intentos de hackeo. También, señala que existe un rol que cumple quien desarrolla los sistemas, como para prevenir que los ataques de fuerza bruta o excesivos intentos de acceso a una aplicación sean bloqueados o bloqueen las cuentas.

“Hay que tener presente que una forma más común de ‘hackear’ una contraseña es hacer que el mismo usuario la ingrese, ya sea en un portal falso o a través de un malware diseñado para capturar estas contraseñas”, menciona Díaz.

Según el experto, los errores más comunes al momento de establecer una contraseña son:

• Usar contraseñas simples, o aquellas que son fáciles de adivinar (como fechas de cumpleaños o nombres de mascotas).

• Guardar las contraseñas o almacenarlas en lugares inseguros, como los “post-it pegados a un computador”.

El Socio de Cyber Risk en Deloitte enfatiza en que uno de los temas más recurrentes es el caer en phishing, que lleva a sitios fraudulentos que solicitan el ingreso de datos. Y asevera que las técnicas cada vez son más avanzadas, desde la forma de escribir un correo electrónico que puede convencer al usuario, así como la similitud de los sitios que actúan como parte de la red del atacante.

Entre otros métodos alternativos de seguridad, Javier Linares, Head of Security & Innovation de Zenta Group, hace alusión a los gestores de contraseñas, indicando que son herramientas muy útiles para mantener seguras las credenciales en línea. El experto explica que estos programas almacenan todas las contraseñas de un usuario en una base de datos cifrada, permitiendo generar contraseñas fuertes automáticamente. De esta manera, solo se necesita recordar una clave maestra para acceder a todas las demás.

“Un gestor de contraseñas recomendado es ‘LastPass’. Es fácil de usar y ofrece una variedad de funciones de seguridad, como la generación automática de contraseñas seguras, el llenado automático de formularios y la conexión entre dispositivos”, detalla.

Marcelo Díaz sostiene que una contraseña será más segura no sólo cuando esta es más compleja (esto es, agregando caracteres especiales, números y letras en mayúsculas), sino que se debe considerar la longitud de la misma.

Ante esto, señala que la mayoría de los sistemas incluye por defecto un largo de contraseña de 8 caracteres, argumentando que esto es insuficiente aun cuando contenga una combinación de caracteres especiales, debido a que tarda cinco minutos aproximadamente la capacidad actual (en tiempo) de un hacker para realizar un ataque de fuerza bruta.

Por lo tanto, el Socio de Cyber Risk en Deloitte recomienda:

• Utilizar un largo mínimo de 12 caracteres, con patrón de complejidad que incluya combinación de caracteres especiales, letras y números.

• Implementar y utilizar siempre un multi factor de autenticación (MFA), ya que por sí solas, las contraseñas serán siempre inseguras.

• Capacitar a los colaboradores, usuarios o clientes (en el caso de una empresa) en el correcto uso de contraseñas e información personal para no ser víctimas de ataques de ingeniería social como phishing, campañas de SMS, entre otros.