Parece un recordatorio cruel: días antes de la conmemoración del “Día mundial de la contraseña”, el cual desde 2013 se celebra el primer jueves del mes de mayo, la prensa nos informaba que más de tres millones de passwords de correos electrónicos asociados a entidades gubernamentales de todo el mundo (que suman 100 GB de información) están disponibles en internet –gratuitamente y listos para ser descargados. En este cúmulo de datos, se podrán encontrar 31,995 contraseñas vinculadas al dominio .gob.mx.
Por este tipo de situaciones, el “Día mundial de la contraseña” es una fecha que siempre debe destacarse en el calendario. En el mundo digital donde vivimos, un password representa la primera línea de defensa, el primer recurso para alejar el peligro. De ahí la importancia de reiterar –al menos durante 24 horas– el valor estratégico que posee una buena contraseña, es decir, una basada en las mejores prácticas de ciberseguridad.
Y en ese sentido, no está de más recordar buenos hábitos como: no usar el mismo password para nuestras diversas interacciones digitales (equipos, servicios, sitios de internet, aplicaciones); cambiar de contraseña con frecuencia (trimestralmente, por ejemplo); utilizar passwords de por lo menos 12 caracteres y que combinen números, signos y letras mayúsculas y minúsculas (pero evitando formulaciones obvias, del tipo “VaNeRebañoSagrado&1989”, que sólo restan fortaleza a la clave); aprovechar recursos como la autenticación multifactor; entre otras ideas siempre útiles y que debemos aplicar con mayor vigor. De acuerdo con investigaciones, el 70% de las contraseñas más usadas en el mundo puede descifrarse en menos de un segundo; un indicador que no debería sorprender a nadie, si se considera que el password “12345” es el más popular del planeta.
Sin embargo, esta jornada especial también debería aprovecharse para tener una reflexión de más amplio rango, la cual no debería descartar los temas incómodos. Por ejemplo, reconocer que un password –como cualquier otra herramienta de protección digital– puede fallar o ser comprometido por ciberdelincuentes, pero que ahí no radica el desastre principal; el problema de verdad es que la empresa pierda el control de una contraseña (ignorando el hecho durante días, semanas o meses) y no sepa cómo reaccionar.
Proteger las contraseñas con una visión integral
Con el dueto nombre de usuario-contraseña, confirmamos nuestra identidad a la hora de ingresar a sistemas y soluciones tecnológicas. Esta pareja, por lo general, también se utiliza para avalar el nivel de acceso que tenemos a los recursos de una organización, por ejemplo, qué equipos podemos usar, qué datos estamos autorizados a descargar de un servidor, qué aplicaciones y conexiones tenemos a nuestra disposición.
Por desgracia, como se sugirió líneas atrás, las personas tienden a ser descuidadas con los passwords, y en tal sentido, no se puede ignorar que más del 50% de las fugas de datos involucra a agentes internos, con la negligencia de los empleados ocupando un lugar destacado en el rubro.
Esto ha impulsado el desarrollo de innovaciones de seguridad que complementan la función tradicional de una contraseña (confirmar la identidad del usuario), tales como tecnologías especializadas en reconocimiento biométrico, confirmación multifactorial y autenticación SSO (Single Sign-On; Inicio de Sesión Unificado). De hecho, en su análisis de las principales tendencias y amenazas de ciberseguridad para 2021, la consultora global Gartner ha destacado la importancia de una estrategia de protección digital que incluya recursos enfocados en el aspecto de la identidad.
No obstante, aunque dichas soluciones reducen el peligro que genera un password típico y francamente torpe (como el mundialmente famoso “12345”), la realidad es que también pueden ser vencidas por los ciberdelincuentes (algo que la propia Gartner no deja de reconocer). Más importante aún: para conseguir una contraseña que les ayude a materializar un ataque de alto impacto, los adversarios no necesitan derrotar a todas las defensas que ha instalado una organización en su red. En realidad, les basta una pequeña fisura –como un endpoint de la red que logran controlar– que les permita llegar hasta un Directorio Activo (Active Directory; AD).
Al ser la instancia que enlista y gestiona todos los recursos de una red, un Directorio Activo incluye las llamadas credenciales: la información que identifica y relaciona a una persona con la infraestructura, por esa razón, dicho componente incluye, entre otros elementos, un username y su respectiva contraseña. De tal forma, si un ciberdelincuente obtiene una credencial podrá suplantar a un usuario legítimo; y para la empresa será muy difícil detectar el peligro, ya que, en todo momento, verá a un usuario que en su tránsito por la red siempre utiliza el username y la contraseña correctas -es decir, que usa una credencial aparentemente lícita.
Y al amparo de la identidad robada, el adversario cuenta con las mejores condiciones para realizar movimiento lateral y escalar privilegios, permitiéndole ubicar los activos empresariales más valiosos. Esto explica por qué el uso de credenciales robadas o perdidas, según investigaciones, fue un factor involucrado en el 80% de las fugas de información que se registraron el año pasado.
Ante dicha circunstancia, la mejor opción es recurrir a innovaciones de ciberseguridad con funciones realmente especializadas en la protección de credenciales y AD. En el primer tema, las soluciones más avanzadas de esta categoría, además de detectar el robo o el uso sospechoso de credenciales, permiten tomar acciones defensivas eficientes, como usar elementos de engaño (datos y activos de red falsos) que alejan a los adversarios de los componentes realmente críticos y los confinan a un espacio donde pueden ser frenados. En lo que respecta al AD, las mejores tecnologías, entre otras ventajas, ofrecen una protección con visión preventiva, ya que no se limitan a identificar incursiones contra este componente, sino que constantemente monitorean el Directorio Activo para ubicar vulnerabilidades y malas configuraciones que podrían aprovechar los adversarios –al mismo tiempo que brindan soluciones para dichas exposiciones.
El “Día mundial de la contraseña” es una fecha que nadie debe ignorar. Como usuarios, debemos entender que un password es un asunto muy serio, algo que no debemos tratar con ligereza o descuido. Sin embargo, una visión realmente útil sobre el tema tampoco debe ser ingenua. Las contraseñas pueden ser vencidas o pueden acabar en las manos de un ciberdelincuente (que sólo necesitó comprarlas en internet). Y ahí está el factor de fondo: perder un password es una mala noticia, sin embargo, perder la capacidad de reacción ante el hecho es una noticia aún peor.
-Juan Carlos Vázquez, Director para Latinoamérica de Attivo Network