Este artículo se publicó por primera vez el 15 de abril del 2020 y se ha actualizado el 25 de agosto del 2022.
¿Tu empresa tiene una política de contraseñas seguras? Hoy en día es recomendable tener instrucciones para tus empleados sobre como generar claves seguras y de esta forma minimizar los riesgos de una brecha de seguridad. Evita las contraseñas fáciles de descifrar con nuestros consejos.
En este artículo
- ¿Cómo crear contraseñas seguras? ¿Tu empresa tiene una política de contraseñas seguras?
- Se requiere una contraseña con la suficiente complejidad y longitud
- No seas exigente con el envejecimiento de contraseñas, el historial y límite de fallos de inicio de sesión
- Prohibir compartir y reutilizar las contraseñas
- Refuerza tu política de contraseñas con 2FA
- Hacia un futuro sin contraseñas
Tener una política de contraseñas ayuda a proteger a tu empresa de hackers que intentan robar datos valiosos. Esta guía sobre cómo crear contraseñas seguras te ayudará para que la información de tu empresa esté a salvo.
A menudo la idea de lo requieren las contraseñas difíciles se basa en un montón de prácticas anticuadas que no son suficientes en el entorno de seguridad actual.
¿Cómo crear contraseñas seguras? ¿Tu empresa tiene una política de contraseñas seguras?
Una política de contraseñas es un conjunto de reglas que rigen los parámetros de las claves utilizadas para garantizar la seguridad de los datos, sistemas y dispositivos de la empresa. Se requieren varios elementos para que una política de contraseñas sea eficaz y, en muchas ocasiones, también para mantener el cumplimiento de reglamentos como el PCI DSS (estándar de seguridad de datos del sector de las tarjetas de pago).
Sin embargo, no basta solo con desarrollar y poner en marcha una política de cómo generar contraseñas seguras. Toda empresa además debe documentar su política de contraseñas, ponerla a disposición de todos los empleados e incorporarla siempre que sea posible, como política de uso aceptable o a través de cursos de concienciación sobre seguridad.
Se requiere una contraseña con la suficiente complejidad y longitud
A medida que los ordenadores se han vuelto más potentes y han aumentado las velocidades de procesamiento, se han vuelto más efectivos los ataques de fuerza bruta (en los que un hacker prueba un sinfín de combinaciones de caracteres hasta dar con la contraseña correcta). Para proteger los datos de la empresa, la política de cómo crear contraseñas seguras debe requerir contraseñas largas y difíciles de averiguar.
¿Cómo crear una contraseña segura y fácil de recordar? Las combinaciones de símbolos o caracteres aleatorios son mucho más seguras que las palabras del diccionario u otras secuencias con significado propio pero pueden ser difíciles de recorda r. Sin embargo, las frases largas que utilizan una combinación potente de elementos pueden ser un método eficaz para combinar la complejidad y la longitud (por ejemplo, Estuv!mOsT0d0snBCN2022 ).
Mejores prácticas sobre la longitud de las contraseñas
¿Cuál es el conteo mínimo de caracteres para las contraseñas largas y seguras? Las contraseñas deben incluir al menos ocho caracteres para cumplir con la mayoría los estándares de seguridad. Sin embargo, para fortalecer tus sistemas frente al rápido crecimiento de la potencia de los ordenadores, recomendamos un mínimo de 12 caracteres para las aplicaciones comerciales generales y de 16 caracteres para las contraseñas que protegen datos sumamente sensibles.
Mejores prácticas sobre la complejidad de las contraseñas
Las contraseñas deben incluir una mezcla de letras mayúsculas, minúsculas, números y caracteres especiales. Por cada tipo de carácter diferente, aumenta el número de combinaciones de contraseñas posibles. Si analizamos “24356775”, tenemos una clave de acceso que consiste solo en números, lo que significa que se obtiene de un pequeño grupo de 10 caracteres (De 0 a 9).
Si cambias un número por una letra, a4356775, de repente las opciones aumentan a 36 caracteres (10 números + 26 letras). Si añades una letra mayúscula y un carácter especial, pasamos a contar con alrededor de 92 posibilidades. Si además se habilita algún conjunto de caracteres adicionales, como Unicode, todo esto se amplía aún más.
Sin embargo, la complejidad y la longitud de las contraseñas no lo resuelven por sí solas todo. Por ello, las organizaciones deberían facilitar también listas negras de contraseñas que restrinjan la selección de las contraseñas de uso común y las contraseñas predeterminadas de fábrica, puesto que cualquier ciberdelincuente competent e las conoce. También suele dar buen resultado prohibir el nombre de la empresa en las contraseñas para evitar que se use, por ejemplo, Empresa1.
Ejemplo de una contraseña segura y fácil de recordar
Para memorizar contraseñas complejas, intenta usar una regla nemotécnica. PqalguiencomeríaTort3ad? = ¿Por qué comería alguien tortilla tres veces al día?
No seas exigente con el envejecimiento de contraseñas, el historial y límite de fallos de inicio de sesión
La administración de contraseñas empresariales abarca desde la política de contraseñas hasta la gestión de los intentos de iniciar sesión y la frecuencia con que se debe cambiar la clave.
Para limitar el período del que dispone un atacante que ha robado las credenciales de acceso, las políticas de contraseñas suelen exigir a los usuarios que cambien de contraseña cada 90 días. Estas guías no son realistas, y dan como resultado una experiencia de usuario que deja mucho que desear. El envejecimiento de las contraseñas puede prolongarse hasta 180 días o más sin que esto afecte de forma significativa a la seguridad (aunque cabe señalar que algunas normativas del sector pueden exigir un período de envejecimiento de las contraseñas específico).
Para reforzar los parámetros de envejecimiento, tu empresa u organización también puede establecer una restricción del historial de contraseñas para evitar que los usuarios utilicen contraseñas conocidas. Por lo general, basta con una limitación que afecte a las seis últimas contraseñas del historial de contraseñas.
Las mejores prácticas para los fallos de inicios de sesión
Tu política de contraseñas debe incluir un umbral de fallos de inicios de sesión, pero no debe ser tan estricta que perjudique de forma innecesaria la experiencia del usuario. Muchos sistemas bloquean la cuenta después de pocos intentos, pero esto es demasiado conservador y tiende a frustrar a los usuarios.
Se deben permitir al menos 10 fallos de inicio de sesión antes de bloquear una cuenta. Además, las cuentas solo deberán bloquearse temporalmente, lo que permite al usuario volver a intentarlo una vez transcurrido un tiempo determinado. Esto reduce la cantidad de restablecimientos de contraseñas no automáticos de su centro de asistencia, a la vez que mitiga la mayoría de las amenazas de seguridad que suponen los múltiples intentos fallidos de inicio de sesión (como los ataques de fuerza bruta y de denegación de servicio (DoS)). Si una cuenta se bloquea de forma repetida, se deberá enviar una alerta a seguridad informática para investigarlo.
En el caso de los sitios web de comercio electrónico o aquellos que son más propensos a los ciberataques, pueden usar otros métodos con los que evitar los intentos de inicio de sesión por contraseña como por ejemplo aquellos que limitan la ubicación, el bloqueo de IP y el uso de CAPTCHA.
Prohibir compartir y reutilizar las contraseñas
Para que una contraseña tenga algún valor, debe ser confidencial. Esto significa que, en general, compartir las contraseñas debe estar prohibido, incluso contraseñas similares que no sean idénticas . Cualquier excepción a esta regla deberá detallarse claramente en la política de contraseñas de la empresa. Las excepciones al uso compartido de contraseñas pueden dejar a los empleados vulnerables a los ataques de ingeniería social,como ocurre cuando un atacante que se hace pasar por un técnico del servicio de asistencia y pide la contraseña de un empleado para solucionar problemas de una aplicación.
Del mismo modo, las claves no deben reutilizarse para varias cuentas, deberían ser contraseñas únicas . Repetir contraseñas es una práctica muy insegura que multiplica las probabilidades de ser víctima de una filtración de datos.
Una solución para la reutilización de las contraseñas es el software de gestión de contraseñas. Estas herramientas pueden identificar y desaconsejar la reutilización de las contraseñas, a la vez que combaten la propensión de los empleados a escribir en papel las contraseñas complejas, una práctica que puede ocasionar ciberataques internos.
Los administradores de contraseñas permiten a los usuarios almacenar de forma segura en la nube contraseñas complejas sin necesidad de recordar ni escribir nada.
Algunos gestores de contraseñas pueden crear contraseñas aleatorias para cada credencial que utilice el usuario, claves que no se deben memorizar ya que se accede a ellas mediante una contraseña maestra única. Estos programas facilitan el acceso a distintas aplicaciones, desde correos electrónicos o sitios web hasta redes sociales.
Refuerza tu política de contraseñas con 2FA
Incluso las contraseñas robustas y sofisticadas son vulnerables a los robos, a los keyloggers y a muchas otras amenazas. Por eso deberías reforzar la seguridad en línea habilitando la autenticación de dos factores (2FA) o autenticación multifactor siempre que se ofrezca la opción.
Esta capa de seguridad adicional se recomienda para todos los sistemas que albergan datos sensibles, como ocurre con la mayoría. La versión más común de 2FA es un código de verificación que se envía a tu correo electrónico. Otra opción popular es el software de autenticación móvil, que utiliza dispositivos personales para confirmar la identidad mediante notificaciones push, devolución de llamadas telefónicas y otros métodos.
Los usuarios que nunca utilizan la autenticación de dos factores o multifactor para las aplicaciones comerciales corren riesgos innecesarios con los datos de la empresa, lo que puede provocar filtración de datos, daños a la reputación y sanciones reglamentarias.
Hacia un futuro sin contraseñas
La mayoría de los ciberataques más frecuentes tienen éxito sin importar lo bien que esté diseñada la política de contraseñas. La ingeniería social y los ataques de phishing hacen que las contraseñas pasen por delante de nuestras narices. Las filtraciones de datos dejan expuestas incluso las contraseñas más complejas. Los dispositivos de registro de teclado simplemente controlan las contraseñas mientras se escriben.
En definitiva, las contraseñas por sí solas ya no son capaces de proteger como es debido los intereses de tu empresa. A largo plazo, la transición hacia el fin de las contraseñas será la mejor opción de seguridad. Existen numerosos proveedores que ya están desarrollando tecnologías sin contraseñas que combinan el modelado adaptativo de riesgos, las claves de hardware y la autenticación biométrica.
En esta etapa inicial, el avance hacia la autenticación sin contraseña requerirá un tiempo y una inversión considerable, especialmente para las pequeñas y medianas empresas. Por el momento, potencia tu política de cómo crear contraseñas seguras, incentiva el uso de un gestor de contraseñas, comprueba que la 2FA esté activada siempre que sea posible y mantente atento a las soluciones sin contraseñas que vayan surgiendo para que sepas cuándo debes hacer la transición y abandonar las contraseñas por completo.
Nota: Las aplicaciones seleccionadas en este artículo son ejemplos para mostrar una característica en su contexto y no pretenden ser una recomendación de nuestra parte. Se han obtenido de fuentes que se consideran fiables en el momento de la publicación.
