El 90% de las contraseñas son fáciles de robar: cómo evitarlo

Sin embargo, en ese lapso, los teléfonos inteligentes han hecho que todos los empleados de las empresas lleven una parte de la seguridad de su trabajo encima. Antes, cuando se iban de la oficina se terminaba el riesgo; con el uso de los smartphones todo el día y en todo lugar, la parte de seguridad que corresponde a cada empleado se multiplicó hasta el infinito.

Sin ir más lejos, los estudios más recientes, citados por ZULA, la empresa de seguridad modular para empresas, revelan que el 90% de las empresas hackeadas lo fueron porque los atacantes lograron vulnerar la contraseña de alguno de los empleados. Esa termina siendo, por lo general, la puerta de entrada para los ciberdelincuentes.

Claves regaladas

Tan sencillo es robar contraseñas que, según un informe de IT Governance, existen al día de hoy registros de 10 mil millones de claves vulneradas. Frente a ello, existen errores habituales muy sencillos de corregir y recomendaciones para hacerle el trabajo más complejo a los atacantes.

Por empezar, las claves más vulnerables son las que no tienen complejidad, las que no ofrecen combinaciones. Por ejemplo, las que están compuestas sólo por números o las que tienen letras solo en minúscula o las que son muy cortas. Mucha gente usa nada más que números y, en algunos casos extremos, números correlativos, como 123456, que es la más obvia pero según los especialistas de ZULA se observa con cierta asiduidad.

El otro error común es utilizar palabras de uso habitual, combinadas con números sencillos. Por ejemplo martes1. Muchos usuarios, cuando el sistema pide, por razones de seguridad, actualizar la contraseña, apelan a la continuidad de dicha lógica, y entonces la cambian a martes2 y así en adelante.

El otro error habitual, que permite que las contraseñas sean fácilmente robadas, es usar datos personales: nombre del gato, del perro, de familiares, de fechas representativas, etc. Los atacantes, muy preparados en la materia, buscan la información en Facebook y al conocer la persona tienen altas chances de poder intuir la contraseña que usa.

“Eso se llama ethical hacking: investigan la conducta de la persona para luego poder robarles la contraseña”, señaló Alan Burastero, ingeniero en sistemas y CEO de ZULA.

Sin ir más lejos, de acuerdo a los registros de la empresa, un porcentaje muy alto de los hombres (superior al 70%) usa a su equipo de fútbol como clave, mientras que, del lado de enfrente, gran parte de las mujeres eligen el nombre de su mascota a la hora de definir la contraseña.

Entonces, ¿qué hacer?

Frente a este panorama complejo, en el cual los atacantes tienen cada vez más herramientas y tácticas de engaño, y los usuarios cada vez más celulares y horas de uso de pantallas para ser vulnerados, existen algunas recomendaciones sencillas que pueden, al menos, complejizar bastante la tarea de los ciberdelincuentes.

La recomendación principal es utilizar reglas mnemotécnicas y modificar algunas de las palabras. Por ejemplo, si mientras leemos esto tenemos frente a nosotros una taza de café con una cucharita y algunos papeles, podríamos usar las tres palabras, cambiando alguna letra a cada una y ponerle, por ejemplo, un punto en el medio.

El otro aspecto central, más allá de cómo creamos contraseñas, es cómo las guardamos o almacenamos. Lo cierto es que muchas de las contraseñas se roban porque son fáciles, como dijimos, pero otras porque los atacantes ingresan a la computadora y extraen el archivo donde las tenemos guardadas.

Allí entran en escena los llamados “infostealers”, especialistas en robar contraseñas guardadas en archivos planos. Lo que hacen es brindarte algo que querés (un video, un archivo, cualquier cosa), pero lo que están haciendo, a través de eso que te bajás, es robarte cosas de la computadora (por ejemplo, las claves).

Cómo guardar las contraseñas

Retomando el punto anterior, y dado que hoy en día tenemos y seguimos generando cientos de contraseñas para cualquier acción que queramos hacer a través de un sitio o app, la primera recomendación es no guardar las mismas en un archivo plano, de esos que los info stealers pueden robar fácilmente.

Existen, tanto para el uso empresarial como del usuario común, productos que almacenan contraseñas de manera segura y encriptada, incluyendo backup y un estricto control de acceso.

“En el caso de las empresas, hoy el 80% de ellas no cuentan con un sistema para guardar esas claves”, señaló Alan Burastero. Lo cierto es que las mismas suelen estar guardadas en la máquina de una persona, como un archivo plano, que es justamente lo que se debe evitar.

Lo que correspondería, en especial para las empresas, es que esas contraseñas no solo estén encriptadas sino que además estén guardadas en “sobres” o “cofres” a los que se pueda acceder solo bajo estricta aprobación previa. Se puede, en ese punto, tener un control del flujo de aprobaciones, para poder rastrear, en el caso del robo de una clave, quién la ha utilizado.

Lo ideal, o más recomendable, es utilizar sistemas que permitan lograr un almacenamiento seguro y encriptado, con un track record del flujo de aperturas, criterios de aprobación, trazabilidad y registros de auditoría. Y evitar, a su vez, la manipulación de la contraseña como tal, lo que permite que muchas veces se filtre (o sea, utilizar la contraseña sin tener que saberla).

En el caso de las personas, tal vez no sea necesario llegar a tanto. Pero sí, al menos, utilizar palabras que no sean sus seres queridos, su club y que, además, combinen letras y números, con algún tipo de combinación y de complejidad.