Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Desempolvando Políticas de seguridad: las contraseñas

Fecha de publicación 03/05/2018
Desempolvando Políticas de seguridad: las contraseñas

Como cada primer jueves de mayo, hoy día 3, se celebra el Día Mundial de la Contraseña, utilizado en gran medida para difundir la necesidad de contar con contraseñas robustas y seguras así como, de utilizar mecanismos adicionales de protección para la identificación en servicios web.

A pesar de que en el seno de las compañías cada vez hay más concienciación en materia de ciberseguridad, no implica que se actúe de manera consecuente, sobre todo a la hora de manejar los accesos a la información, dispositivos o aplicaciones, donde lo más usual es que se requiera el uso de una dupla compuesta por usuario y contraseña. Hoy en día, aún es muy común encontrar que gran parte de los trabajadores gestionan estas credenciales de acceso acumulando contraseñas en un documento de texto, un Word o en una hoja de cálculo tipo Excel ubicados en una carpeta de un servidor al que cualquier trabajador tiene acceso, o simplemente apuntando la contraseña en un cuaderno, una nota o un post-it ubicado en el teclado de su ordenador, en el propio monitor o un poco más escondido (bajo el teléfono, peana de la pantalla, etc.).

Las contraseñas son las llaves de acceso a nuestros servicios y la primera barrera, por lo que si alguien no autorizado hiciera uso de las mismas estaría comprometiendo la privacidad de la información y datos a los que pudiera acceder. De esta manera, la gestión de las contraseñas se convierte en uno de los aspectos más importantes a la hora de asegurar los sistemas de información de una compañía. Para mitigar los riesgos derivados se recomienda establecer, difundir y verificar el cumplimiento de unas buenas prácticas en el uso de las contraseñas, como son las siguientes:

Implantar una gestión de contraseñas.

Esta práctica es esencial ya que implica identificar qué equipos, servicios o aplicaciones requerirán introducir credenciales de acceso. Además se han de definir cómo se generarán las claves y qué formato deberán seguir. Por último, se deberán establecer las políticas de gestión de claves: cómo se distribuyen, cómo se guardan, quién accede a los repositorios donde se almacenan o con qué periodicidad hay que cambiarlas; estos son algunos de los puntos que establecer para una gestión óptima de las mismas.

Valorar el uso de mecanismos de autenticación externos

El objetivo de esta buena práctica será la selección y validación del uso de mecanismos de autenticación descentralizados que permitirán el uso de contraseñas únicas para acceder a distintos servicios. Por ejemplo: Social-login, autenticación federada, Single-sign-on, CSAB (Cloud Access Security Brokers), etc.

Activar herramientas para garantizar la seguridad de las contraseñas

Se trata de activar mecanismos en los sistemas que garanticen que nuestras contraseñas se generen de forma robusta, y que obliguen a los usuarios al cumplimiento de una serie de requisitos, como por ejemplo los periodos de validez de las mismas, que no sea posible su reutilización, el formato que deberán seguir, si cabrá la posibilidad de modificación, etc.

No utilizar contraseñas por defecto

Es imprescindible cambiar cuanto antes las contraseñas por defecto. Esta medida está encaminada a evitar el uso de las contraseñas que vienen por defecto en los sistemas y aplicaciones ya que pueden ser fácilmente identificables, bien por ser comunes a muchos servicios cotidianos o bien porque muchas se pueden encontrar por Internet.

Implementar doble factor para servicios críticos

El doble factor de autenticación (2FA), que conviene distinguir de la verificación en dos pasos, es una medida de seguridad que añadirá una capa extra de protección al sistema de autenticación, ya que requiere, además de la propia contraseña del servicio, es decir «algo que sé», de otro mecanismo independiente para comprobar la identidad «algo que soy», por ejemplo una huella digital o el iris, o «algo que tengo» como las llaves de seguridad o los tokens criptográficos, etc.

No compartir contraseñas

Partimos de la premisa de que si se comparten, dejarán de ser secretas y por lo tanto se perderá el control sobre los accesos a los sistemas, servicios o aplicaciones. Además, nunca se deben apuntar en papeles o post-it, ni enviarlas en correos electrónicos o cualquier otro sistema o servicio que permita la captura.

Deben ser robustas

Es decir fuertes, difíciles de averiguar. Para ello, deben contar al menos con ocho caracteres combinando mayúsculas, minúsculas, números y caracteres especiales. También es recomendable evitar el uso de combinaciones típicas fácilmente detectables como nombre + fecha de nacimiento.

No utilizar la misma contraseña para servicios diferentes

Nunca se debe utilizar una misma contraseña para diferentes servicios, ni una misma contraseña para un uso personal y profesional. Si alguien fuera capaz de adivinarla o sustraerla, podría comprometer todos nuestros servicios.

Cambiar las contraseñas periódicamente

Esta práctica es necesaria para garantizar la confidencialidad. La periodicidad dependerá de la criticidad de los servicios o la información a la que se acceda. Además, también se deben evitar usar, o impedir que puedan usarse, contraseñas utilizadas anteriormente.

No hacer uso del recordatorio de contraseñas

Aunque la podamos considerar de utilidad porque nos permite ser más ágiles a la hora de acceder a los servicios, tenemos que tener en cuenta que de esta manera podríamos estar facilitando acceso a personal no autorizado, sobre todo en navegadores web.

Utilizar gestores de contraseñas

Se trata de herramientas de gran utilidad cuando hay que manejar un número importante de contraseñas. Para el acceso a este gestor será necesario contar con una contraseña robusta de acceso y con un doble factor de autenticación debido a la importancia del contenido que salvaguarda.

 

Aplicar mecanismos como los mencionados para generar y mantener contraseñas seguras puede considerarse tedioso y molesto sin embargo es una práctica necesaria para impedir accesos no deseados a la información y con ello salvaguardar la privacidad de nuestro puesto de trabajo o empresa. ¿Sigues estas buenas prácticas? Consulta el pdf de esta y otras políticas de seguridad para la pyme o descárgatelas en formato editable, para que las adaptes a tu empresa. ¡A qué esperas!