A medida que pasa el tiempo y reflexionamos sobre cómo hemos realizado la autenticación a lo largo de las décadas, la contraseña ha sido nuestro principal guardián, protegiendo nuestros perfiles en línea, información personal y detalles financieros críticos. No me malinterpretes, estamos excepcionalmente agradecidos por todo lo que las contraseñas han hecho por nosotros; pero, a medida que avanzan las cosas, descubrimos un problema evidente: las contraseñas, tal como las conocemos, se están convirtiendo rápidamente en un método de autenticación obsoleto y poco confiable. Estas son algunas de las deficiencias más comunes…
Opciones predecibles: a pesar de las constantes advertencias, muchos usuarios optan por dolorosamente contraseñas predecibles como “123456” o “contraseña”. Estas opciones hacen que el acceso no autorizado sea un juego de niños para los piratas informáticos experimentados.
Más del 50% de los usuarios admiten usar la misma contraseña para varias cuentas, y el 13%, de manera alarmante, usa una para todas sus cuentas. Este tipo de comportamiento significa que si una cuenta se ve comprometida, todas las demás también están en riesgo. Vaya.
Sitios web como “Have I Been Pwned?” documentan los cientos de millones de detalles de cuentas expuestos en ataques de datos, muchos de los cuales incluyen contraseñas de texto sin formato o con hash débil. Inicie sesión en LinkedIn cualquier día de la semana para leer sobre la infracción más reciente. Todas las industrias están en riesgo y son susceptibles a ataques.
Según el Informe de Investigaciones de ataques de Datos de 2023, el 32 % de las ataques involucraron phishing. Los usuarios desprevenidos a menudo son engañados para que revelen voluntariamente sus contraseñas. Incluso las pequeñas empresas están en riesgo hoy en día… excepto aquellos que leen nuestro blog sobre cómo prevenir el phishing como pequeña empresa.
Las capacidades computacionales modernas significan que se pueden probar miles de millones de combinaciones de contraseñas en segundos mediante pura fuerza bruta, lo que disminuye aún más la capacidad protectora de la humilde contraseña.
No es raro detectar contraseñas anotadas en notas adhesivas, documentos de Excel compartidos o almacenadas en notas digitales desprotegidas, lo que anula incluso la efectividad de las contraseñas más complejas. Estoy seguro de que ha visto a algunos de sus colegas en la oficina con notas adhesivas pegadas en su monitor que dicen “PW: XXXX para iniciar sesión” en prácticamente todos sus sistemas. No es exactamente el método de almacenamiento más seguro disponible para el empleado moderno de hoy, y es algo que sin duda debemos tener en cuenta a medida que intentamos aumentar nuestra postura de ciberseguridad.
A pesar de que la autenticación de dos factores es una mayor capa de seguridad, una gran mayoría de usuarios no la ha activado. Un simple 28% de los usuarios de Microsoft, por ejemplo, lo había configurado para 2022. Esta desgana puede atribuirse a una serie de factores: algunos usuarios lo encuentran engorroso, otros pueden desconocer sus beneficios, mientras que un número significativo puede simplemente no saber cómo configurarlo. Independientemente de las razones, esta baja aceptación subraya la necesidad apremiante de una mayor educación de los usuarios y procesos 2FA simplificados.
Las preguntas para restablecer la contraseña siguen siendo un talón de Aquiles. Respuestas como “apellido de soltera de la madre” se pueden descubrir con un simple vistazo a las redes sociales, lo que hace que las opciones de recuperación de contraseñas sean un posible punto de entrada para actores malintencionados.
Por mucho que lo intentemos, algunos hábitos parecen resistirse al cambio. Por ejemplo, muchas personas utilizan la misma contraseña durante un período prolongado, a menudo hasta diez años. A pesar de esto, varias pautas de seguridad convencionales continúan sugiriendo cambiar las contraseñas cada 90 días. Pero vale la pena señalar que las amenazas cibernéticas modernas son tan avanzadas que los delincuentes pueden explotar y utilizar contraseñas en tan solo 15 minutos.
Los gigantes tecnológicos como Microsoft están reevaluando estas posturas tradicionales. En lugar de abogar por cambios rutinarios de contraseñas, ahora están dirigiendo la conversación hacia un futuro sin contraseñas. Esta transición refleja un sentimiento creciente en la comunidad tecnológica: nuestras antiguas estrategias para proteger las identidades digitales deben renovarse para satisfacer las demandas de los desafíos de seguridad actuales.
Dadas estas vulnerabilidades y la creciente sofisticación de los ciberataques, está claro: el sistema de contraseñas tradicional ya no es suficiente para protegernos. Las empresas deben priorizar la salvaguardia de los datos de sus usuarios, y aferrarse a un antiguo método de autenticación simplemente no será suficiente. Para no sólo sobrevivir, sino también prosperar en nuestro ecosistema digital moderno, es prácticamente inevitable que necesite adoptar algún tipo de autenticación sin contraseña en toda su organización. A continuación presentamos un vistazo a algunas de las formas más comunes de autenticación sin contraseña disponibles para TODOS a costos sorprendentemente bajos.
Mejore la seguridad ofreciendo una sólida resistencia a los ataques de phishing, ya que requieren la clave física para autenticarse. A diferencia de las credenciales tradicionales, son inmunes a los ataques de intermediarios debido a desafíos criptográficos vinculados a dominios de sitios específicos. Además, eliminan el riesgo de que los secretos compartidos sean interceptados o robados, ya que las claves privadas nunca salen del dispositivo. Empresas como Yubico están liderando la carga en el frente del hardware y se complementan perfectamente con tecnología de incorporación como la nuestra propia EZCMS!
Las tarjetas inteligentes PIV ofrecen mayor seguridad al incorporar las credenciales del usuario directamente en una tarjeta física, lo que dificulta a los atacantes duplicado o phishing. Permiten una autenticación multifactor sólida, combinando algo que el usuario tiene (la tarjeta) con algo que el usuario sabe (un PIN). Además, las operaciones criptográficas realizadas en la tarjeta garantizan que los datos confidenciales, como las claves privadas, nunca queden expuestos. La autenticación con tarjeta inteligente ha tenido mala fama debido a su dificultad de implementar, pero ¿sabía usted que Azure lanzó Azure CBA una forma sencilla de habilitar la autenticación con tarjeta inteligente en esta forma moderna? El método combinado con la solución de tarjeta inteligente llave en mano de Keytos, desde la impresión hasta el envío y la incorporación, hacen de la tarjeta inteligente una de las formas más fáciles de no tener contraseña.
La autenticación telefónica promueve la seguridad al aprovechar el dispositivo móvil del usuario como herramienta de verificación. Las aplicaciones de autenticación y los métodos basados en el teléfono añaden una capa adicional de protección. Se basa en el principio de algo que el usuario tiene: su teléfono. Esto hace que el acceso no autorizado sea más desafiante, ya que un atacante necesitaría posesión física del teléfono o una forma de interceptar sus comunicaciones.
Es poco probable que haya llegado hasta aquí sin estar un tanto convencido de que no usar contraseña es el camino a seguir; sin embargo, si todavía no está seguro al respecto, mire este video de nuestros socios de Yubico que muestra lo fácil que es “diseñar socialmente” un ataque a nuestra organización. Algo tan discreto como una llamada telefónica a un ingeniero modesto puede comprometer a toda su organización.
…y si todavía no estás convencido de la idea, permíteme indicarte la dirección de nuestra calculadora de retorno de la inversión. Vea exactamente cuánto tiempo y dinero se desperdician cada año manteniendo un método de autenticación inseguro.