Todos hemos escuchado quejas de los usuarios indicando que “es una flojera poner contraseñas”, “nunca se acuerdan”, “son muy difíciles y se les olvidan”. Pues bien, resulta que éste tipo de contraseñas, al final, no suelen ser lo suficientemente seguras como se querían que fueran, ya que, actualmente, la manera del robo de accesos, es completa, de modo que el robo se da más por:

  • Error del usuario cuando la contraseña es escrita en lugares incorrectos (como postits en el monitor) y sin seguridad
  • Pishing (cuando el usuario ingresa sus credenciales en un sitio que no es el que el usuario cree que visita)
  • Comunicación no segura, utilizando conexiones http sin encriptar
  • Ataque de malware, cuando mediante un keylogger en un malware recibido, captura todo lo escrito mediante el teclado y ésto es enviado a un servidor remoto.
  • En servicios con menor seguridad se da la Fuerza Bruta y por diccionario de hacking, ambas son de prueba y error, pero son menos usadas para tratar de conseguir acceso a servicios en línea ya que éstos cuentan con protección de intentos fallidos, tiempos de espera, etc.

Ahora, una contraseña grande, podrá ser efectiva, pero si los canales de comunicación de los sistemas usados en la organización no son seguros al igual que el equipo desde el que se accede, una contraseña con mas de 100 caracteres será igual de insegura que el famoso “123456”

Entonces, ¿que necesitamos hacer para proteger mejor las cuentas de usuario y evitar los ingresos no autorizados?, en primer lugar se necesita comenzar con cambios en las políticas y requisitos de las herramientas que proponemos para la empresa, en segunda con concientizar al usuario.

Herramientas propuestas

Para nuestros usuarios y organizaciones, recordemos que al momento, la autenticación multifactor es la mejor forma para evitar el acceso no autorizado a una cuenta de usuario, y que a pesar de que ello pueda requerir capacitación, pasos adicionales que el mismo usuario puede intentar evitar además de el uso de herramientas adicionales, es mejor ello, que tener una intrusión.

Actualmente los principales proveedores de servicios como Google, Microsoft, Facebook, ya cuentan con una aplicación generadora de códigos o bien, con autorizaciones mediante el envío de contraseñas dinámicas vía correo electrónico y sms. Además de ésto, otras empresas, como Telefónica, lanzan también aplicaciones para ayudar a la seguridad del usuario, contando con integración además, para las aplicaciones y desarrollos de las empresas.

Si la empresa tiene desarrollos internos, es posible además, utilizar la autenticación mediante un servicio externo, por ejemplo, Google o Microsoft 365, y éstos, ya estarán conectados y cubiertos por la seguridad de autenticación multifactor.

Concientizar al usuario

Para nuestros usuarios, debemos recomendarles nunca utilizar la misma contraseña en mas de un servicio (sea personal o de la empresa), así como jamás utilizar la misma contraseña en el correo electrónico que en una cuenta en cualquier servicio donde se utilizó dicho correo electrónico. Ya que cuando un atacante conoce una sola contraseña, o al verse vulnerado un solo servicio, es posible ingresar a otro servicio vinculado al mismo usuario/correo, o bien, obtener la contraseña mediante fuerza bruta, gracias a los patrones de las contraseñas ya conocidas.

La mayoría de los ataques, donde el objetivo de primer nivel es un usuario, el ataque suele llegar a través de un correo electrónico, esto siempre suele venir de la siguiente manera:

  • Mensajes extraordinarios o extremos en los que se indica que en el archivo adjunto se puede obtener mas información.
  • Supuestas ofertas o invitaciones extraordinarias, invitaciones a participar en negocios “fantásticos”.
  • Mensajes aparentemente de superiores (jefes), utilizando dominios de correo similares a los de la empresa, pidiendo que ejecuten alguna acción.
  • Phishing, supuestas notificaciones mediante información alarmante donde, regularmente usando imagen de algunos bancos, piden ingresar al sitio web mostrando una url pero enviándolos a otro dominio muy similar al original y regularmente con un diseño idéntico al original.

Adicional, el usuario suele ingresar a sitios o recursos, donde se promete algún contenido gratis. Luego en dichos lugares les piden el inicio de sesión en la cuenta Microsoft/Google/Facebook/Twitter o bien solicitando un número celular, siendo ésto en algunas ocasiones una trampa estilo Phishing, o en segunda dando permisos de acceso a los recursos (del celular o de la cuenta de usuario) que realmente no necesitan, utilizando dicha información para avanzar mas en el ataque en cuestión, o bien, simple uso de ésta información. Ésto último, como ya sabemos, el método usado para obtener información sensible a través de Facebook analizada por Cambridge Analythics.

 

Para finalizar, debemos tener claro, que la gente de TI en las empresas, no somos los únicos quien debemos preocuparnos por el tema, y no lo seríamos si pudiéramos concientizar de una manera adecuada a nuestro circulo social y laboral, no solo es un tema de protección de la empresa, ésto, al igual que la educación, empieza desde casa, y es nuestra labor el apoyar mas allá de lo que debemos, dándole a los usuarios algo mas que ser la pesadilla que no les permite instalar nada en su computadora de la empresa o ingresar a sus redes sociales.

Sígueme en redes sociales donde comparto información de utilidad para el IT Pro, además de compartir tutoriales de interés actualmente enfocado en la nube de Microsoft Azure y SQL Server, además de unos cuantos tips que pueden ser de utilidad. www.gerardoverduzco.com

Deja un comentario! :)