¿Qué hace que una contraseña sea realmente fuerte? En una entrevista exclusiva con InnovaciónDigital360, Sergio Hrabinski, socio y gerente de Soluciones y Servicios de Ciberseguridad en Xelere, respondió que para que una clave sea segura no debe incluir datos personales, secuencias o caracteres repetidos, y tiene que ser única para cada acceso. Además, recomendó la combinación de letras mayúsculas y minúsculas, números y caracteres especiales.
Hrabinski, también, consideró clave el uso de gestores de contraseñas y la separación de las claves personales y laborales, y enfatizó en la importancia de llevar adelante en las empresas políticas de autenticación de múltiples factores (MFA), además de una formación continua auditorías periódicas.
Hrabinski también comentó sobre las últimas tendencias en seguridad de contraseñas y las tácticas avanzadas de los ciberdelincuentes.
En ese sentido, subrayó la necesidad de avanzar hacia métodos de protección más avanzados y seguros, como datos biométricos y autenticación sin contraseña, para reducir vulnerabilidades y mejorar la experiencia del usuario.
¿Cuáles son los componentes clave que hacen que una contraseña sea realmente fuerte y cómo deberían balancearse estos componentes para crear una contraseña segura?
Para que una contraseña sea realmente fuerte hay requisitos que debe cumplir a rajatabla, por ejemplo que no incluya datos personales de su propietario, no utilice secuencias (por ejemplo 1234 o abcd) o repita carácteres (véase 1111), y por supuesto, no utilizar la misma clave en todos los accesos.
Por otra parte, es importante recordar no compartirla con nadie, bajo ningún punto de vista y por ningún medio. Un buen balance para crear una contraseña segura podría provenir de una combinación de letras (incluyendo mayúsculas), números, alguno de los caracteres especiales que poseen los teclados.
Con tantas cuentas que requieren contraseñas, ¿cuál es su estrategia recomendada para gestionarlas todas de manera segura, pensando en empresas?
Para asegurar la gestión segura de contraseñas en entornos empresariales, es esencial utilizar un gestor de contraseñas, y separar las contraseñas usadas en entornos empresariales de los entornos personales.
Además, implementar políticas de contraseñas sólidas, incluyendo la autenticación de múltiples factores (MFA) siempre que sea posible. La educación continua sobre seguridad informática y la realización de auditorías periódicas son clave para mantener un entorno seguro.
¿Cómo funciona la autenticación multifactor y por qué se considera una capa adicional crucial de seguridad más allá de las contraseñas?
La autenticación multifactor es esencialmente una estrategia de seguridad que requiere la verificación de la identidad del usuario mediante múltiples métodos de autenticación, más allá de simplemente ingresar una contraseña.
Este enfoque utiliza una combinación de factores que incluyen algo que el usuario conoce como una contraseña, algo que tiene como un token físico o un código generado por una aplicación móvil o un dato biométrico como una huella dactilar o un escaneo facial.
La idea detrás de la autenticación multifactor es agregar capas adicionales de seguridad, haciendo que sea mucho más difícil para los atacantes comprometer las cuentas de usuario.
¿Cuáles son las últimas tendencias en seguridad de contraseñas y cómo están evolucionando las tácticas de los ciberdelincuentes?
Al igual que comentaba anteriormente, las estrategias de seguridad de contraseña empresarial van de la mano con las tendencias. La utilización de MFA, o de OTP (one time password), son algunas de las que se encuentran en el foco hoy en día y son cada vez más populares, al igual que la utilización de frases puede ser de una canción o un libro, combinando mayúsculas y minúsculas y caracteres especiales.
Los ciberdelincuentes están desarrollando estrategias más sofisticadas para sortear las medidas de seguridad como la autenticación de múltiples factores (MFA) y los códigos de un solo uso (OTP).
Esto incluye técnicas avanzadas de phishing para hacer que divulguen sus OTP o MFA, ataques de ingeniería social muy popular ahora con medios de comunicación como Whatsapp donde los ciberdelincuentes hacer una suplantación de identidad solicitando códigos de uso privado, reutilización de credenciales comprometidas y demás.
Para contrarrestar estas amenazas, es crucial que las organizaciones y los usuarios implementen medidas de seguridad adicionales, como la formación en concienciación sobre seguridad y el uso de autenticación de múltiples factores basada en aplicaciones y datos biométricos.
En síntesis, eliminar las passwords usando otros métodos de autenticación (como el uso de la huella dactilar en el celular), apuntando a lograr el “passwordless” que minimiza la “fricción” del usuario con los servicios que consume y aumentando el nivel de satisfacción.
Con el avance de la tecnología, ¿cree que las contraseñas seguirán siendo una forma viable de autenticación en el futuro o serán reemplazadas por métodos más avanzados?
Con el continuo avance de la tecnología y la creciente sofisticación de las amenazas cibernéticas, es probable que las contraseñas tradicionales enfrenten desafíos cada vez mayores en términos de seguridad.
A medida que avanzamos, es probable que se vea un aumento en el uso de métodos de autenticación más avanzados y seguros, como los datos biométricos (huellas dactilares, reconocimiento facial), autenticación multifactor (MFA) más robusta y tecnologías emergentes como la autenticación sin contraseña.
Estos métodos ofrecen un nivel más alto de seguridad y comodidad para los usuarios, reduciendo así las vulnerabilidades asociadas con las contraseñas tradicionales. Sin embargo, es probable que las contraseñas siguen siendo una forma de autenticación común en el corto y mediano plazo, especialmente en combinación con otros métodos de autenticación para una seguridad adicional.
¿Cómo podemos mejorar la educación y la concientización sobre la seguridad de las contraseñas entre los empleados de una organización?
Para mejorar la educación y la concienciación sobre la seguridad de las contraseñas entre los empleados de una organización, es fundamental implementar programas de formación regulares, simulacros de phishing periódicos, mensajes de concienciación constantes, herramientas interactivas de formación, pruebas de conocimiento y políticas claras y accesibles. Estas estrategias ayudarán a crear una cultura de seguridad sólida, asegurando que los empleados estén bien informados y capacitados para proteger sus contraseñas y los activos digitales de la empresa.