Cada vez son m\u00e1s comunes las noticias sobre empresas grandes y peque\u00f1as que sufren ataques cibern\u00e9ticos y robos de datos. Muchos de estos ataques son exitosos debido a configuraciones deficientes de seguridad, como el uso de contrase\u00f1as d\u00e9biles o f\u00e1ciles de adivinar, que los cibercriminales descubren y con ellas logran acceder a las cuentas, datos y sistemas de una organizaci\u00f3n.<\/p>\n\n\n\n
Por esto, para proteger tu informaci\u00f3n personal y la de tu empresa, es crucial utilizar contrase\u00f1as fuertes e implementar pol\u00edticas que aseguren que estas se van a cumplir. <\/p>\n\n\n\n
Aqu\u00ed te mostramos una gu\u00eda de referencia de c\u00f3mo puedes empezar para establecer una: <\/p>\n\n\n\n
Aseg\u00farate de que todos los sistemas en tu empresa cuenten con configuraciones de contrase\u00f1as robustas, d\u00edgase: que sean largas, de al menos 12 caracteres, combinando letras may\u00fasculas, min\u00fasculas, n\u00fameros y s\u00edmbolos.<\/p>\n\n\n\n
Cuanto m\u00e1s larga y compleja sea la contrase\u00f1a, m\u00e1s dif\u00edcil ser\u00e1 de descifrar. Se recomienda usar Frases de Contrase\u00f1a (passphrase) en lugar de usar una sola palabra (password). Por ejemplo: \u201cMiCafe@FavoritoEsEl2!\u00bb es mucho m\u00e1s seguro que \u00abCaf3cito123!\u00bb <\/p>\n\n\n\n
De nada sirve que implementes una pol\u00edtica robusta de contrase\u00f1as, si varias personas comparten y usan una misma cuenta de usuario o que todos conocen la contrase\u00f1a. Debes asegurarte que cada persona tenga una cuenta \u00fanica e intransferible, que facilite la asignaci\u00f3n de responsabilidad de la persona para cumplir con las pr\u00e1cticas de seguridad. <\/p>\n\n\n\n
Establece una pol\u00edtica que proh\u00edba a los empleados y terceros reutilizar contrase\u00f1as que hayan sido usadas anteriormente o en otros servicios y plataformas. Esto ayuda a evitar la propagaci\u00f3n de da\u00f1os si una contrase\u00f1a se ve comprometida en otro lugar. <\/p>\n\n\n\n
Puedes suscr\u00edbete a plataformas de notificaci\u00f3n de cuentas y contrase\u00f1as comprometidas como haveibeenpwned<\/a>, que env\u00eda una alerta cuando alguna contrase\u00f1a o direcci\u00f3n de correo de tu empresa han sido robadas.<\/p>\n\n\n\n Adem\u00e1s de las contrase\u00f1as robustas, la autenticaci\u00f3n de dos factores a\u00f1ade una capa extra de seguridad. Esto puede implicar algo que el usuario sabe (una contrase\u00f1a) y algo que el usuario tiene (un mensaje de texto con un c\u00f3digo enviado a su tel\u00e9fono), haciendo mucho m\u00e1s dif\u00edcil para un ciberdelincuente acceder a las cuentas en caso que consiga o adivine la contrase\u00f1a del usuario. <\/p>\n\n\n\n Es importante limitar el n\u00famero de intentos fallidos de ingreso de contrase\u00f1as err\u00f3neas antes de bloquear temporalmente una cuenta. Esto ayuda a prevenir los ataques de fuerza bruta donde un atacante intenta m\u00faltiples combinaciones de contrase\u00f1as hasta que da con la correcta.<\/p>\n\n\n\n Si, puede que esto sea extra\u00f1o de escuchar, pero si un usuario cuenta con una contrase\u00f1a robusta y cuenta con mecanismos 2FA, no hay necesidad de cambiarla si no tienes sospechas de que ha sido comprometida. De hecho esto es lo que recomienda NIST en el SP 600-63B<\/a>. <\/p>\n\n\n\n Puedes Implementar herramientas y procedimientos para validar la robustez y el cumplimiento de las pol\u00edticas de contrase\u00f1as. Por ejemplo: la verificaci\u00f3n peri\u00f3dica de que todas las cuentas cumplen con los est\u00e1ndares de seguridad establecidos, identificar cuentas que podr\u00edan haber sido comprometidas, buscar \u201ccuentas en desuso\u201d o la famosa prueba de \u201cdesvinculados activos\u201d que busca usuarios activos en los sistemas de personal desvinculado o que ya no presta servicios a la empresa.<\/p>\n\n\n\n Debes activar los logs de auditor\u00eda de accesos y usuarios, para que quede un registro de las actividades que hacen los usuarios o lo que intentan hacer con las contrase\u00f1as, como fecha de \u00faltimo cambio o \u00faltimo intento de ingreso fallido al sistema. <\/p>\n\n\n\n Aseg\u00farate de qu\u00e9 tus empleados y proveedores entiendan la importancia de usar contrase\u00f1as robustas. <\/p>\n\n\n\n En el plan de capacitaci\u00f3n<\/a> de seguridad a tus empleados, m\u00e1s all\u00e1 de la capacitaci\u00f3n inicial, proporcionales tambi\u00e9n comunicaciones regulares sobre las mejores pr\u00e1cticas de seguridad y las amenazas emergentes. Esto ayuda a mantener la seguridad como una prioridad constante para todos en la organizaci\u00f3n. <\/p>\n\n\n\n Una pr\u00e1ctica es entregarles gu\u00edas de referencia del uso de contrase\u00f1as seguras, como por ejemplo, a trav\u00e9s de recordatorios indic\u00e1ndoles: \u201cEvita usar la Informaci\u00f3n Personal al crear contrase\u00f1as, porque si usas el nombre de la empresa, tu fecha de nacimiento, el nombre de tus hijos, mascotas o cualquier otra informaci\u00f3n personal, se pudieran adivinar f\u00e1cilmente\u201d.<\/p>\n\n\n\n Un gestor de identidades o soluciones de Single Sign-On (SSO), talse como Okta, Microsoft Entra o Google Identity, son una excelente recomendaci\u00f3n para empresas de cualquier tama\u00f1o. Ya que permite la gesti\u00f3n y autenticaci\u00f3n de usuarios de forma centralizada y les permite a los usuarios iniciar sesi\u00f3n en m\u00faltiples sistemas y aplicaciones utilizando su cuenta corporativa, facilit\u00e1ndoles el proceso de acceso y mejorando la seguridad al reducir el n\u00famero de contrase\u00f1as que el usuario debe recordar y gestionar. <\/p>\n\n\n\n Desde el punto de vista de la empresa es mucho m\u00e1s f\u00e1cil gestionar a cu\u00e1les sistemas tiene acceso un usuario, lo que te puede ayudar tambi\u00e9n en el proceso de gesti\u00f3n de identidades y accesos. Adem\u00e1s, los gestores de identidades y las soluciones SSO suelen incluir medidas de seguridad adicionales como la autenticaci\u00f3n multifactor, lo que refuerza la protecci\u00f3n contra accesos no autorizados. <\/p>\n\n\n\n Los gestores de contrase\u00f1as pueden generar y almacenar contrase\u00f1as complejas por ti. Solo necesitas recordar una contrase\u00f1a maestra, lo que simplifica mucho la gesti\u00f3n de m\u00faltiples cuentas. Existen algunos en el mercado que permiten a los empleados de la empresa almacenar y gestionar las contrase\u00f1as e inclusive algunos datos confidenciales, como n\u00fameros de tarjetas de cr\u00e9dito. <\/p>\n\n\n\n Eso s\u00ed, NUNCA guardes contrase\u00f1as en el navegador web.<\/p>\n\n\n\n Es importante que te prepares para cuando ocurra un incidente de compromiso de contrase\u00f1a, para lo cual deber\u00edas desarrollar y documentar procedimientos claros de respuesta ante incidentes que deben incluir pasos espec\u00edficos sobre c\u00f3mo reaccionar ante una filtraci\u00f3n de contrase\u00f1as, c\u00f3mo notificar a los afectados y c\u00f3mo mitigar el da\u00f1o. <\/p>\n\n\n\n No permitas que tu empresa sea vulnerable a ataques por no tener pol\u00edticas de contrase\u00f1as adecuadas. Toma medidas<\/a> hoy mismo para fortalecer tus defensas en ciberseguridad y as\u00ed proteger a tu negocio. <\/p>\n\n\n\n4. Implementa mecanismos de Autenticaci\u00f3n de Dos Factores (2FA o MFA)<\/h2>\n\n\n\n
5. Limita los Intentos de Acceso Fallido y Contrase\u00f1a Err\u00f3nea:<\/h2>\n\n\n\n
6. No es necesario cambiar peri\u00f3dicamente las Contrase\u00f1as:<\/h2>\n\n\n\n
7. Revisi\u00f3n peri\u00f3dica de uso de cuentas y contrase\u00f1as: <\/h2>\n\n\n\n
8. Educaci\u00f3n Continua y Sensibilizaci\u00f3n sobre Seguridad: <\/h2>\n\n\n\n
9. Implementa un gestor de identidades o SSO<\/h2>\n\n\n\n
10. Utiliza un Gestor de Contrase\u00f1as: <\/h2>\n\n\n\n
11. Procedimientos de Respuesta a Incidentes: <\/h2>\n\n\n\n
Comentarios finales<\/h2>\n\n\n\n