Cómo crear contraseñas seguras para tu empresa

Publicado en 15/4/2020 por Bruno Peláez y Zach Capers

Tu política de contraseñas protege a tu empresa de hackers que intentan robar datos valiosos. Con esta guía sobre cómo crear contraseñas seguras superarás el reto y la información de tu empresa seguirá a salvo.

A menudo las políticas de contraseñas suelen basarse en un montón de ideas anticuadas que no son suficientes en el entorno de seguridad actual. 

¿Cómo crear contraseñas seguras? ¿Tu empresa tiene una política de contraseñas?

Una política de contraseñas es un conjunto de reglas que rigen los parámetros de las contraseñas utilizadas para garantizar la seguridad de los datos, sistemas y dispositivos de la empresa. Se requieren varios elementos para que una política de contraseñas sea eficaz y, en muchas ocasiones, también para mantener el cumplimiento de reglamentos como el PCI DSS (estándar de seguridad de datos del sector de las tarjetas de pago).

Sin embargo, no basta con desarrollar y poner en marcha una política de cómo crear contraseñas seguras. Toda empresa además debe documentar su política de contraseñas, ponerla a disposición de todos los empleados e incorporarla siempre que sea posible, como política de uso aceptable o a través de cursos de concienciación sobre seguridad.

Se requiere una contraseña con la suficiente complejidad y longitud

A medida que los ordenadores se han vuelto más potentes y han aumentado las velocidades de procesamiento, se han vuelto más efectivos los ataques de fuerza bruta (en los que un hacker prueba un sinfín de combinaciones de caracteres hasta dar con la contraseña correcta). Para proteger los datos de la empresa, la política de como crear contraseñas seguras debe requerir contraseñas largas y complejas que sean difíciles de averiguar.

Las combinaciones de caracteres aleatorios son mucho más seguras que las palabras del diccionario u otras secuencias con significado propio. Sin embargo, las frases largas que utilizan una combinación potente de elementos pueden ser un método eficaz para combinar la complejidad y la longitud de las contraseñas (por ejemplo, Estuv!mOsNisl4_6).

Mejores prácticas sobre la longitud de las contraseñas

Las contraseñas deben incluir un mínimo de ocho caracteres para alcanzar la mayoría de los estándares mínimos de seguridad, incluida la política de contraseñas NIST que sirve de guía al gobierno de Estados Unidos. Sin embargo, para fortalecer tus sistemas frente al rápido crecimiento de la potencia de los ordenadores, recomendamos un mínimo de 12 caracteres para las aplicaciones comerciales generales y de 16 caracteres para las contraseñas que protegen datos sumamente sensibles.

Mejores prácticas sobre la complejidad de las contraseñas

Las contraseñas deben incluir una mezcla de letras mayúsculas, minúsculas, números y caracteres especiales. Por cada tipo de carácter diferente, aumenta el número de combinaciones de contraseñas posibles. Si analizamos “24356775”, tenemos una clave de acceso que consiste solo en números, lo que significa que se obtiene de un pequeño grupo de 10 caracteres (De 0 a 9).

Si cambias un número por una letra, a4356775, de repente las opciones aumentan a 36 caracteres (10 números + 26 letras). Si añades una letra mayúscula y un carácter especial, pasamos a contar con alrededor de 92 posibilidades. Si además se habilita algún conjunto de caracteres adicionales, como Unicode, todo esto se amplía aún más.

Sin embargo, la complejidad y la longitud de las contraseñas no lo resuelven por sí solas todo. Por ello, las organizaciones deberían facilitar también listas negras de contraseñas que restrinjan la selección de las contraseñas de uso común y las contraseñas predeterminadas de fábrica, puesto que cualquier ciberdelincuente competentes las conoce. También suele dar buen resultado prohibir el nombre de la empresa en las contraseñas para evitar que se use, por ejemplo, Empresa1.

Consejos de pros: Para recordar contraseñas complejas, intenta usar una regla nemotécnica.  PqalguiencomeríaTort3ad? = ¿Por qué comería alguien tortilla tres veces al día?

No seas exigente con el envejecimiento de contraseñas, el historial y límite de fallos de inicio de sesión

Para limitar el período del que dispone un atacante que ha robado las credenciales de acceso, las políticas de contraseñas suelen exigir a los usuarios que cambien de contraseña cada 90 días. Estas herramientas no son realistas, y dan como resultado una experiencia de usuario que deja mucho que desear. El envejecimiento de las contraseñas puede prolongarse hasta 180 días o más sin que esto afecte de forma significativa a la seguridad (aunque cabe señalar que algunas normativas del sector pueden exigir un período de envejecimiento de las contraseñas específico).

Para reforzar los parámetros de envejecimiento, tu empresa u organización también puede establecer una restricción del historial de contraseñas para evitar que los usuarios utilicen contraseñas conocidas. Por lo general, basta con una limitación que afecte a las seis últimas contraseñas del historial de contraseñas.

Las mejores prácticas para los fallos de inicios de sesión

Tu política de contraseñas debe incluir un umbral de fallos de inicios de sesión, pero no debe ser tan estricta que perjudique de forma innecesaria la experiencia del usuario. Muchos sistemas bloquean la cuenta después de pocos intentos, pero esto es demasiado conservador y tiende a frustrar a los usuarios.

Se deben permitir al menos 10 fallos de inicio de sesión antes de bloquear una cuenta. Además, las cuentas solo deberán bloquearse temporalmente, lo que permite al usuario volver a intentarlo una vez transcurrido un tiempo determinado. Esto reduce la cantidad de restablecimientos de contraseñas no automáticos de su centro de asistencia, a la vez que mitiga la mayoría de las amenazas de seguridad que suponen los múltiples intentos fallidos de inicio de sesión (como los ataques de fuerza bruta y de denegación de servicio (DoS)). Si una cuenta se bloquea de forma repetida, se deberá enviar una alerta a seguridad informática para investigarlo.

En el caso de los sitios web de comercio electrónico o aquellos que son más propensos a los ciberataques, pueden usar otros métodos con los que evitar los intentos de inicio de sesión por contraseña como por ejemplo aquellos que limitan la ubicación, el bloqueo de IP y el uso de CAPTCHA.

Prohibir compartir y reutilizar las contraseñas

Para que una contraseña tenga algún valor, debe ser confidencial. Esto significa que, en general, compartir las contraseñas debe estar prohibido. Cualquier excepción a esta regla deberá detallarse claramente en la política de contraseñas de la empresa. Las excepciones al uso compartido de contraseñas pueden dejar a los empleados vulnerables a los ataques de ingeniería social, como ocurre cuando un atacante que se hace pasar por un técnico del servicio de asistencia y pide la contraseña de un empleado para solucionar problemas de una aplicación.

Del mismo modo, las contraseñas no deben reutilizarse para varias cuentas. Se trata de una práctica muy insegura que multiplica las probabilidades de ser víctima de una filtración de datos.

Una solución para la reutilización de las contraseñas es el software de gestión de contraseñas. Estas herramientas pueden identificar y desaconsejar la reutilización de las contraseñas, a la vez que combaten la propensión de los empleados a escribir en papel las contraseñas complejas, una práctica que puede ocasionar ciberataques internos.

Los administradores de contraseñas permiten a los usuarios almacenar de forma segura en la nube contraseñas complejas sin necesidad de recordar ni escribir nada.

Software 1Password y cómo crear herramientas seguras
Interfaz del software de gestión de contraseñas 1Password

Refuerza tu política de contraseñas con 2FA

Incluso las contraseñas más sofisticadas son vulnerables a los robos, a los keyloggers y a muchas otras amenazas. Por eso deberías reforzar la seguridad en línea habilitando la autenticación de dos factores (2FA) siempre que se ofrezca la opción.

Esta capa de seguridad adicional se recomienda para todos los sistemas que albergan datos sensibles, como ocurre con la mayoría. La versión más común de 2FA es un código de verificación que se envía a tu correo electrónico. Otra opción popular es el software de autenticación móvil, que utiliza dispositivos personales para confirmar la identidad mediante notificaciones push, devolución de llamadas telefónicas y otros métodos.

Los usuarios que nunca utilizan la autenticación de dos factores para las aplicaciones comerciales corren riesgos innecesarios con los datos de la empresa, lo que puede provocar filtración de datos, daños a la reputación y sanciones reglamentarias.

Hacia un futuro sin contraseñas

La mayoría de los ciberataques más frecuentes tienen éxito sin importar lo bien que esté diseñada la política de contraseñas. La ingeniería social y los ataques de phishing hacen que las contraseñas pasen por delante de nuestras narices. Las filtraciones de datos dejan expuestas incluso las contraseñas más complejas. Los dispositivos de registro de teclado simplemente controlan las contraseñas mientras se escriben.

En definitiva, las contraseñas por sí solas ya no son capaces de proteger como es debido los intereses de tu empresa. A largo plazo, la transición hacia el fin de las contraseñas será la mejor opción de seguridad. Existen numerosos proveedores que ya están desarrollando tecnologías sin contraseñas que combinan el modelado adaptativo de riesgos, las claves de hardware y la autenticación biométrica.

En esta etapa inicial, el avance hacia la autenticación sin contraseña requerirá un tiempo y una inversión considerables, especialmente para las pequeñas y medianas empresas. Por el momento, potencia tu política de cómo crear contraseñas seguras, comprueba que la 2FA esté activada siempre que sea posible y mantente atento a las soluciones sin contraseñas que vayan surgiendo para que sepas cuándo debes hacer la transición y abandonar las contraseñas por completo.

¿Listo para mejorar las mejores prácticas de tu política de contraseñas?   Visita nuestro catálogo de software de gestión de política de contraseñas

Este artículo puede referirse a productos, programas o servicios que no están disponibles en tu región, o que pueden estar restringidos según las leyes y regulaciones de tu país. Te sugerimos que consultes directamente con el proveedor de software para obtener información sobre la disponibilidad del producto y conformidad con las leyes locales.


Comparte este artículo