Cada vez son más comunes las noticias sobre empresas grandes y pequeñas que sufren ataques cibernéticos y robos de datos. Muchos de estos ataques son exitosos debido a configuraciones deficientes de seguridad, como el uso de contraseñas débiles o fáciles de adivinar, que los cibercriminales descubren y con ellas logran acceder a las cuentas, datos y sistemas de una organización.

Por esto, para proteger tu información personal y la de tu empresa, es crucial utilizar contraseñas fuertes e implementar políticas que aseguren que estas se van a cumplir.

Aquí te mostramos una guía de referencia de cómo puedes empezar para establecer una:

1. Establece y configura los requisitos para contraseñas robustas

Asegúrate de que todos los sistemas en tu empresa cuenten con configuraciones de contraseñas robustas, dígase: que sean largas, de al menos 12 caracteres, combinando letras mayúsculas, minúsculas, números y símbolos.

Cuanto más larga y compleja sea la contraseña, más difícil será de descifrar. Se recomienda usar Frases de Contraseña (passphrase) en lugar de usar una sola palabra (password). Por ejemplo: “MiCafe@FavoritoEsEl2!» es mucho más seguro que «Caf3cito123!»

2. Evita el uso de cuentas compartidas

De nada sirve que implementes una política robusta de contraseñas, si varias personas comparten y usan una misma cuenta de usuario o que todos conocen la contraseña. Debes asegurarte que cada persona tenga una cuenta única e intransferible, que facilite la asignación de responsabilidad de la persona para cumplir con las prácticas de seguridad.

3. Prohibición de Reutilización de Contraseñas:

Establece una política que prohíba a los empleados y terceros reutilizar contraseñas que hayan sido usadas anteriormente o en otros servicios y plataformas. Esto ayuda a evitar la propagación de daños si una contraseña se ve comprometida en otro lugar.

Puedes suscríbete a plataformas de notificación de cuentas y contraseñas comprometidas como haveibeenpwned, que envía una alerta cuando alguna contraseña o dirección de correo de tu empresa han sido robadas.

4. Implementa mecanismos de Autenticación de Dos Factores (2FA o MFA)

Además de las contraseñas robustas, la autenticación de dos factores añade una capa extra de seguridad. Esto puede implicar algo que el usuario sabe (una contraseña) y algo que el usuario tiene (un mensaje de texto con un código enviado a su teléfono), haciendo mucho más difícil para un ciberdelincuente acceder a las cuentas en caso que consiga o adivine la contraseña del usuario.

5. Limita los Intentos de Acceso Fallido y Contraseña Errónea:

Es importante limitar el número de intentos fallidos de ingreso de contraseñas erróneas antes de bloquear temporalmente una cuenta. Esto ayuda a prevenir los ataques de fuerza bruta donde un atacante intenta múltiples combinaciones de contraseñas hasta que da con la correcta.

6. No es necesario cambiar periódicamente las Contraseñas:

Si, puede que esto sea extraño de escuchar, pero si un usuario cuenta con una contraseña robusta y cuenta con mecanismos 2FA, no hay necesidad de cambiarla si no tienes sospechas de que ha sido comprometida. De hecho esto es lo que recomienda NIST en el SP 600-63B.

7. Revisión periódica de uso de cuentas y contraseñas:

Puedes Implementar herramientas y procedimientos para validar la robustez y el cumplimiento de las políticas de contraseñas. Por ejemplo: la verificación periódica de que todas las cuentas cumplen con los estándares de seguridad establecidos, identificar cuentas que podrían haber sido comprometidas, buscar “cuentas en desuso” o la famosa prueba de “desvinculados activos” que busca usuarios activos en los sistemas de personal desvinculado o que ya no presta servicios a la empresa.

Debes activar los logs de auditoría de accesos y usuarios, para que quede un registro de las actividades que hacen los usuarios o lo que intentan hacer con las contraseñas, como fecha de último cambio o último intento de ingreso fallido al sistema.

8. Educación Continua y Sensibilización sobre Seguridad:

Asegúrate de qué tus empleados y proveedores entiendan la importancia de usar contraseñas robustas.

En el plan de capacitación de seguridad a tus empleados, más allá de la capacitación inicial, proporcionales también comunicaciones regulares sobre las mejores prácticas de seguridad y las amenazas emergentes. Esto ayuda a mantener la seguridad como una prioridad constante para todos en la organización.

Una práctica es entregarles guías de referencia del uso de contraseñas seguras, como por ejemplo, a través de recordatorios indicándoles: “Evita usar la Información Personal al crear contraseñas, porque si usas el nombre de la empresa, tu fecha de nacimiento, el nombre de tus hijos, mascotas o cualquier otra información personal, se pudieran adivinar fácilmente”.

9. Implementa un gestor de identidades o SSO

Un gestor de identidades o soluciones de Single Sign-On (SSO), talse como Okta, Microsoft Entra o Google Identity, son una excelente recomendación para empresas de cualquier tamaño. Ya que permite la gestión y autenticación de usuarios de forma centralizada y les permite a los usuarios iniciar sesión en múltiples sistemas y aplicaciones utilizando su cuenta corporativa, facilitándoles el proceso de acceso y mejorando la seguridad al reducir el número de contraseñas que el usuario debe recordar y gestionar.

Desde el punto de vista de la empresa es mucho más fácil gestionar a cuáles sistemas tiene acceso un usuario, lo que te puede ayudar también en el proceso de gestión de identidades y accesos. Además, los gestores de identidades y las soluciones SSO suelen incluir medidas de seguridad adicionales como la autenticación multifactor, lo que refuerza la protección contra accesos no autorizados.

10. Utiliza un Gestor de Contraseñas:

Los gestores de contraseñas pueden generar y almacenar contraseñas complejas por ti. Solo necesitas recordar una contraseña maestra, lo que simplifica mucho la gestión de múltiples cuentas. Existen algunos en el mercado que permiten a los empleados de la empresa almacenar y gestionar las contraseñas e inclusive algunos datos confidenciales, como números de tarjetas de crédito.

Eso sí, NUNCA guardes contraseñas en el navegador web.

11. Procedimientos de Respuesta a Incidentes:

Es importante que te prepares para cuando ocurra un incidente de compromiso de contraseña, para lo cual deberías desarrollar y documentar procedimientos claros de respuesta ante incidentes que deben incluir pasos específicos sobre cómo reaccionar ante una filtración de contraseñas, cómo notificar a los afectados y cómo mitigar el daño.

Comentarios finales

No permitas que tu empresa sea vulnerable a ataques por no tener políticas de contraseñas adecuadas. Toma medidas hoy mismo para fortalecer tus defensas en ciberseguridad y así proteger a tu negocio.

Si necesitas asistencia para desarrollar o implementar una política de contraseñas eficaz, contáctanos. Nuestro equipo está listo para proporcionarte las herramientas y el conocimiento necesario para proteger tu negocio.