La violación de datos de Yahoo, que se reportó por primera vez en agosto de 2016, ha puesto de manifiesto la información personal de más de 500 millones de cuentas. El ataque se cree que es el mayor en materia de robo de información en toda la historia.

Estas inmensas pérdidas hacen que los empleados recapaciten para obtener una mejor formación de conciencia de seguridad, y que los departamentos de TI estén más abiertos a endurecer los propios procesos de seguridad. Asimismo, el incidente lleva a los jefes de las empresas a esforzarse por invertir en mejoras de seguridad, ya que las grandes brechas pueden causar caídas de ingresos, litigios costosos, grandes multas – y ejecutivos desempleados.

Lucha contra las contraseñas débiles

Según LastPass, el 59% de las personas utilizan la misma contraseña a través de múltiples dominios. Eso significa que la misma clave que utiliza un usuario para iniciar sesión en Yahoo Mail, Flickr o Tumblr, podría ser similar a la que están usando para acceder a la red corporativa.

Es inevitable: la gente elige las contraseñas más tontas y no les importa la capacitación y las advertencias que reciben de los equipos TI. De acuerdo al último relevamiento de SplashData’s sobre el Top 25 de las contraseñas, “123456” y “contraseña” siguen siendo las más comunes. Desde la Universidad de Illinois afirman que las firmas deben educar a sus empleados sobre cómo crear una buena clave: mezcla de letras mayúsculas y minúsculas, símbolos y números, con al menos ocho caracteres.

El problema con las contraseñas complejas es que la gente no puede recordarlas. Aquí van unas recomendaciones: dar vuelta el teclado para encontrar la nueva contraseña pegada en la parte inferior, o entrar en un cubículo y tenerla pegada en la pared, o bien considerar el despliegue de inicio de sesión único para que los empleados no tengan que memorizar las contraseñas de red. También puede implementarse la autenticación de factores múltiples, mediante el envío de códigos de una sola vez a través de mensajes de texto a los empleados, como una cobertura adicional contra “123456”.

Acceso basado en roles

Si las empresas no utilizan Active Directory u otra herramienta para limitar a lo que los empleados pueden acceder según sus funciones de trabajo, están permitiendo que sea fácil para un atacante ejecutar la ingeniería social contra un empleado de bajo nivel y tener acceso a toda la red.

Además de la implementación de acceso basado en roles, se puede utilizar la violación de los datos de Yahoo como una oportunidad para purgar las cuentas obsoletas. Por ejemplo, el tipo que abandonó en 2012 pero que todavía tiene una cuenta activa. Es hora de hacer que desaparezca.

Algunos consejos

Los empleados con cuentas de Yahoo probablemente vayan y pidan consejos sobre cómo proteger la información. Aquí algunas recomendaciones:

1. Cambiar las contraseñas de las cuentas violadas, así como para cualquier otra cuenta que utiliza la misma clave.
2. Cambiar las preguntas y respuestas de seguridad para cuentas que utilizan la misma información que la cuenta de Yahoo.
3. Proteger las cuentas de actividades sospechosas, especialmente en relación con los informes bancarios o de crédito. Considerar la adición de una alerta de fraude o congelamiento de seguridad de informes de crédito.
4. Cambiarse a Yahoo Account Key, lo que elimina la necesidad de una contraseña de Yahoo. Utilizar herramientas como autenticación de múltiples factores, cuando estén disponibles, para agregar otra capa de protección a otras cuentas.
5. Utilizar un administrador de contraseñas, como LastPass, Keeper o 1Password, para crear, almacenar y rellenar contraseñas complejas sin tener que recordarlas. Modificar las contraseñas al menos una vez al año y también las claves bancarias u otras sensibles, con mayor frecuencia.
6. Evitar hacer click en enlaces en correos electrónicos y mensajes de texto, sobre todo si se refieren a los cambios de información de la cuenta. En su lugar, ir a la página principal de dominio y conectarse para actualizar las cuentas.

-Alessandro Porro, vicepresidente de Ventas de Ipswitch Latinoamérica