Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¿Cuánto hace que no cambias tus contraseñas?

Fecha de publicación 11/05/2021
Autor
INCIBE (INCIBE)
Día mundial de las contraseñas 2021

El pasado día 6, como cada primer jueves de mayo desde 2013, se celebró el Día Mundial de las Contraseñas. De hecho, su uso sigue siendo muy extendido, a pesar de que ahora son también habituales los mecanismos de autenticación biométricos, ya sea con huella dactilar, reconocimiento facial o del iris; incluso no hace mucho contábamos la iniciativa de un mundo sin contraseñas o passwordless.

En un entorno en creciente digitalización, con el incremento del uso de dispositivos móviles o redes sociales, la irrupción paulatina y silenciosa del Internet de las cosas o los servicios en la nube, y el uso de herramientas de teletrabajo y acceso remoto motivados por la pandemia, surgen otros modelos que abogan por el acceso seguro combinando VPN y servicios de seguridad cloud (SASE de Secure Access Service Edge) o redes de confianza cero, pero, ¡que levante la mano el que no use contraseñas! De momento, parece que tenemos que seguir usándolas.

¿Para qué sirven las contraseñas? ¿Hay alternativa?

Las contraseñas siguen siendo el método predilecto de autenticación, es decir, de demostrar que somos quiénes decimos ser, y por eso, tenemos derecho a acceder a esos servicios a los que queremos acceder, ya sea nuestro perfil de redes sociales, el backend de nuestra página web, nuestra cuenta en un servicio cloud para compartir ficheros, nuestro perfil en la sede electrónica de un ministerio, la cuenta de correo, el ordenador o la cuenta corriente de nuestro negocio.

Las empresas tienen que gestionar las identidades de los usuarios de los servicios internos y externos que proporcionan. Nuestros administradores de sistemas nos dan a los usuarios las credenciales de acceso, a las que están ligados los permisos que tendremos. Son la pareja inseparable: «usuario y contraseña». Si son para acceder a servicios críticos como la VPN o la cuenta del banco, o si somos administradores, usaremos en muchos casos el doble factor de autenticación.

Algunos servicios y dispositivos incorporan ahora sistemas de reconocimiento biométrico en lugar de las contraseñas, como contábamos en la «Guía de tecnologías biométricas aplicadas a la ciberseguridad»; y por otra parte, también se están haciendo avances en la regulación de nuevos sistemas de autenticación.

Cómo pueden verse comprometidas

Con lo importantes que son las contraseñas para acceder a nuestros servicios, algunos de ellos críticos para la empresa, protegerlas tiene que ser algo incuestionable. No obstante, seguro que no es la primera vez que las olvidamos, las apuntamos donde no debemos, las compartimos, las reutilizamos, dejamos la contraseña por defecto, no las cambiamos o utilizamos las más fáciles de craquear, ¿no? ¡Aún somos como el empresario de este vídeo!

Una forma de perderlas es que sean parte de una fuga de datos de un servicio que utilizamos, como una red social, un correo gratuito, un proveedor tecnológico o un servicio cloud. Un fallo de seguridad de sus sistemas o un error puede resultar en una «filtración» de las bases de datos de usuario-contraseña, a veces sin cifrar o con cifrados débiles. Prueba en haveIbeenpwned.com si alguna de las que has usado en el pasado está en alguna base de datos de las que se venden por la dark web.

Y si no están en una brecha de datos, es posible que si tus contraseñas sean débiles, es decir, fáciles de craquear, ya sabes, cortas y sencillas. Algún avispado ciberdelincuente lo habrá intentado o lo vaya intentar en cuanto tenga la mínima ocasión.

También podemos resultar víctimas de un ataque de phishing e introducir nuestras credenciales en algún servicio o página que creemos legítimo, entregándoselas en bandeja a los ciberdelincuentes.

Por último, el software y hardware que usamos no es infalible, y sí, tiene vulnerabilidades o fallos de seguridad que, si no son corregidos a tiempo, pueden poner en riesgo nuestras contraseñas, permitiendo que alguien sin permisos tenga acceso a ellas, incluso a cambiarlas, dejándonos a nosotros, sus legítimos propietarios, sin acceso. Por eso, insistimos en que hay auditar y actualizar.

Cómo ponérselo difícil a los ciberdelincuentes

¡No nos queda más remedio que espabilar!

¿Qué hacer si sospecho que ya no soy el único que conoce mis credenciales?

Si aún tienes acceso a tu cuenta, entra y cambia la contraseña cuanto antes. Si no es así, ponte en contacto con el proveedor del servicio para que bloquee tu cuenta, y en cualquier caso, reporta el incidente y denuncia si es delito, entre otros, fraude, amenazas, falsificación o si atentan contra la propiedad intelectual.

Si tus sistemas se han visto comprometidos y sospechas que las bases de datos con credenciales de acceso a tus servicios están comprometidas, recuerda que has de cumplir con el RGPD y la LOPDGDD, avisando a la AEPD y a los usuarios afectados.

Ya sabes, la contraseña es una llave que no debemos perder si no queremos poner en riesgo los activos de la empresa.

017 tu linea de ayuda en ciberesguridad