Coincidiendo con el Día Mundial de las Contraseñas, Computing ha entrevistado a Juan Manuel Pascual, experto en ciberseguridad y CEO de Innovery España, LATAM y EEUU, quien explica que para abordar los desafíos en seguridad de contraseñas, las empresas necesitan un enfoque integral. Primero, la concienciación del personal es fundamental. Además, es necesario proteger contra ataques comunes con medidas como la autenticación multifactor y tecnologías de prevención de ataques. Las políticas de seguridad deben cumplir con regulaciones y alinearse con las mejores prácticas. Además, considerar el uso de tecnologías avanzadas como la gestión de identidad privilegiada puede ayudar a administrar y auditar accesos a datos sensibles.
Índice de temas
¿Cuáles son los principales retos que enfrentan las empresas en materia de seguridad de las contraseñas?
Uno de los retos a los que las empresas deben hacer frente en materia de seguridad es la concienciación de los empleados en este sentido. No le dan la importancia que tiene porque, en la mayoría de los casos, no han sufrido las consecuencias de un mal uso en la gestión de las contraseñas. Al contrario, buscan claves que sean sencillas de recordar. Pero todo esto cambia cuando experimentan en primera persona las consecuencias, como la violación de la seguridad o les extraen información.
Además de la concienciación, las empresas se enfrentan a otros desafíos significativos como la reutilización de contraseñas en múltiples plataformas, lo que puede llevar a un efecto dominó si la clave se ve comprometida. También deben protegerse contra ataques de fuerza bruta y phishing, métodos muy comunes utilizados por los ciberdelincuentes para obtener credenciales. Además, implementar la autenticación multifactor, MFA, es fundamental, aunque puede ser un desafío tanto tecnológico como en términos de capacitación de los empleados.
Las organizaciones deben adoptar con urgencia medidas que les permitan fortalecer las credenciales de sus empleados y complementarlas con buenas prácticas
Por otro lado, las organizaciones deben adoptar con urgencia medidas que les permitan fortalecer las credenciales de sus empleados y complementarlas con buenas prácticas para mejorar su postura de ciberseguridad. Esto incluye asegurar el cumplimiento de normativas de privacidad y seguridad, y extender la protección a los dispositivos móviles, especialmente en un entorno de trabajo remoto.
En conjunto, estos esfuerzos requieren un enfoque holístico que abarque tecnología, políticas claras y una cultura organizacional que priorice la ciberseguridad para mitigar eficazmente los riesgos asociados con la seguridad de las contraseñas.
¿Qué deben hacer las empresas para ayudar a sus empleados a crear y gestionar contraseñas seguras?
Al margen de las prácticas habituales, como establecer contraseñas largas y complejas, habilitar la autenticación multifactor o emplear gestor de contraseñas, es recomendable que las compañías utilicen tecnología de gestión de identidad privilegiada (PIM). Estas soluciones les van a permitir administrar, monitorizar y auditar los permisos de acceso de los empleados, incluidos los que acceden a datos e información comprometida de la empresa, y así se consigue limitar su exposición a las amenazas. Además, una plataforma PIM ofrece una integración perfecta con los sistemas empresariales y las soluciones de ciberseguridad, y proporcionar tanto una administración como una visibilidad centralizada.
¿Qué consejos daría a los usuarios para proteger sus contraseñas?
Estamos viendo que la mayor parte de los ataques están dirigidos a las personas, lo que hace de vital importancia que la sociedad, en general, interiorice los riesgos que conlleva una mala praxis de contraseñas y se tome en serio la gestión de sus claves. Al adoptar prácticas de seguridad sólidas, los usuarios pueden reducir significativamente los riesgos y proteger su información, tanto en el ámbito profesional como personal.
En primer lugar, es esencial que los usuarios creen contraseñas robustas que básicamente son aquellas de un solo uso. Escuchamos constantemente que las contraseñas deben ser largas, únicas y complejas para que sean más difíciles de descifrar, pero lo cierto es que esto de nada servirá con la llegada de la computación cuántica.
Además de una contraseña robusta, es vital emplear la autenticación multifactor (MFA) siempre que sea posible. La MFA añade una capa adicional de seguridad al requerir dos o más pruebas de identidad antes de conceder acceso, lo que podría incluir algo que el usuario sabe, una contraseña, algo que el usuario tiene, un dispositivo móvil o token, y algo que el usuario es, biometría como huellas dactilares o reconocimiento facial.
Ante los cada vez más frecuentes ataques de phishing, es fundamental aprender a identificar correos electrónicos sospechosos y enlaces fraudulentos que pueden aparecer legítimos a primera vista.
Por último, hay que considerar que el uso de un gestor de contraseñas puede ser de gran ayuda. Estas herramientas no solo almacenan de forma segura todas las contraseñas en un solo lugar, sino que también pueden generar contraseñas fuertes y únicas para cada cuenta, eliminando la carga de tener que recordarlas todas.
Siguiendo estos consejos, los usuarios estarán mejor equipados para proteger sus contraseñas y, por extensión, su información personal y profesional. Es importante recordar que, aunque las contraseñas son un componente crucial de la seguridad, son solo una parte del enfoque holístico necesario para una ciberseguridad efectiva.
¿Qué responsabilidad tienen las empresas en caso de que se produzca una filtración de datos relacionada con contraseñas?
La empresa es responsable en caso de que se produzca una filtración, actuando con diligencia. Debe notificar de inmediato a las autoridades y a los afectados, investigar cómo ocurrió la brecha y tomar medidas para mitigar los daños.
La filtración de datos conlleva un daño enorme para la compañía, a nivel económico, legal y de imagen. Por ello, debe evitar a toda costa que se produzca, tomando las medidas necesarias para proteger los datos de su negocio.
¿Qué papel cree que jugarán las nuevas tecnologías biométricas y de autenticación en el futuro de la seguridad de las contraseñas?
El uso exclusivo de la contraseña no va a decir que somos quienes decimos ser, por lo que es necesario complementarlo con códigos a un dispositivo que esté asociado a este usuario, y aun así no son las plataformas más seguras, pero aporta un extra de seguridad sobre las contraseñas más tradicionales.
Para añadir más seguridad, existen tecnologías como la utilización de biométrica, como el lector de huella o reconocimiento fácil, y de autenticación. Cada una de ellas cuenta con sus fortalezas y debilidades, pero la empresa previamente debe evaluar cuál es la mejor opción para implementar en sus sistemas de acuerdo con sus necesidades concretas. Además, es importante implementarlas de manera adecuada y asegurarse de que su uso de hace de forma segura y responsable.
¿Cree que llegaremos a un punto en el que las contraseñas ya no sean necesarias?
Con el desarrollo de nuevas tecnologías es posible que las contraseñas, tal y como las conocemos hoy en día, no sean necesarias o al menos no sean la principal forma de autenticación de un usuario. Actualmente, existen diversas tecnologías de autenticación sin contraseña, como la biométrica o autenticación con código a través de correo electrónico o SMS, por ejemplo. Quizás veamos cómo las contraseñas dan paso a nuevos métodos de protección más avanzadas y seguras, pero no será a corto plazo.