Hay cuatro escenarios en los que los usuarios reutilizan sus contraseñas, y todos son malos.
El primero y más fácil de prevenir es el hecho de repetir la misma contraseña cuando el sistema nos pide que la cambiemos. Se quiere repetir una secuencia ya utilizada y por tanto conocida, el sistema indica que se debe cambiar pero, al no ser obligatorio, entonces se mantiene la antigua. Esto es un problema porque las bases de datos de claves antiguas pueden haber sido robadas o crackeadas. Si esto sucediese, las credenciales seguirías estando operativas. Hay que recordar que «Internet nunca olvida».
El segundo es la forma más común de reutilización, ya que implica usar la misma clave para diversos servicios y perfiles, y así evitar el esfuerzo de recordar varias contraseñas. Si tan sólo una cuenta es robada o pirateada, el resto serán muy susceptibles de tener su mismo destino. Se sabe que esto puede ser tedioso porque de media los empleados deben jugar con 191 claves diferentes a lo largo de su actividad -no sólo la laboral, sino en cualquier ámbito- y cambiarlas todas podría llevar días.
Otra forma de reutilización de clave nace de la unión de los dos anteriores, implicando repetir una misma contraseña entre cuentas con diferentes nombres de usuario. Muchas empresas utilizan tecnología para evitar que sus empleados incurran en esta práctica. Sin embargo, si el empleado decidiese cambiar de empresa, vería que los controles en su organización anterior se han desactivado. Esta también es una mala costumbre. Y es que hoy en día la Dark Web -la zona más profunda de Internet- y diversas fuentes de inteligencia no cesan de crecer, facilitando al hacker relacionar una contraseña con un usuario, sin importar el nombre de la cuenta o la compañía para la que trabaje.
El último escenario de usos peligrosos de contraseñas se refiere al uso de claves fáciles. Cada año aparecen diversas publicaciones con listas de las 10, 20 o 100 claves más usadas. Por ejemplo, en 2020 más de 2,5 millones de personas utilizaron la clave «123456». Los ciberdelincuentes utilizan estas listas para secuenciar o forzar los registros y acceder. Si se utiliza una de esas contraseñas tan comunes, no pasará mucho desde que sean crackeadas.
¿Cómo parar esto?
Actualmente ya hay variados programas de concienciación, que enfatizan en la necesidad de saber crear y utilizar adecuadamente las claves de acceso, con la ayuda extra que proporcionan los gestores de contraseñas. Para luchar contra ciertas limitaciones humanas, como el caso de carecer de memoria para recordar un número caza vez mayor de contraseñas, cualquiera puede delegar en herramientas y programas que le brinden seguridad.
Aplicar una política de contraseñas
El personal informático de una empresa puede hacer cumplir fácilmente las protecciones contra la reutilización de contraseñas, pues puede prohibir usar claves ya empleadas. También pueden bloquear contraseñas ordinarias y aquellas que hayan sido filtradas a la Dark Web o a estas fuentes de inteligencia abiertas.
Inicio de sesión único
Existen plataformas externas de autentificación que pueden integrarse en variados sitios web, y que mucha gente ya utiliza sin haberse dado cuenta. Un ejemplo claro es el iniciar sesión utilizando tu cuenta de Google, una opción que se le ha ofrecido a prácticamente cualquier cibernauta. Para cuentas de negocios, en muchas ocasiones es posible usar la misma clave para registrarse en el ordenador y a su vez para usar el equipo de ventas, como ejemplo recurrente. Al limitarse así la cantidad de cuentas que se pide crear durante distintas actividades, la tecnología ayuda a reducir los riesgos por reutilizar contraseñas.
Gestores de contraseñas
Son los servicios web que simplifican la gestión de esas 191 contraseñas que de media debe manejar un empleado, haciendo innecesaria la tarea de recordarlas una por una. Pide MFA -Autentificación Multifactorial- para almacenar las claves en un formato encriptado, con las pertinentes anotaciones sobre a qué sitios corresponde cada una. Los gestores más avanzados también generan claves únicas y pueden cambiarlas de manera automática.
Educar al usuario
Es una característica crucial en programas de concienciación sobre ciberseguridad, que enseña al internauta a producir claves fáciles de recordar, pero difíciles de adivinar por terceros, lo que a su vez reduce la tendencia a acudir a contraseñas preexistentes o comprometidas.
Autentificación multifactorial
Esta pide, a parte de un nombre de usuario y una contraseña, un código de muestra de uso único -enviado por SMS- o un escáner biométrico -como el de una huella dactilar-. El acceso a cierto perfil o servicio es así dependiente de una combinación de factores que suele incluir algo conocido por el usuario -como unos credenciales-, algo que posee -como un teléfono- o algo que es o que presenta su físico -como la cara-. Todos estos factores reducen el riesgo de ser crackeado, aunque por supuesto unos más que otros.
Soluciones de gestión
Reciclar y repetir las claves de seguridad es un gran problema en ciberseguridad, aunque no tendría por qué serlo. Dejando atrás las limitaciones que impone la memoria humana, a la hora de gestionar las contraseñas se pueden dar varios pasos para salvaguardar aquella información que resulte valiosa o confidencial. A través de implementar o autentificar adecuadamente las soluciones de gestión, el entrenamiento del empleado, y el uso de herramientas eficaces como MFA o el gestor de claves, se puede asegurar estas no sean la mayor amenaza para la ciberseguridad. Se debe hablar con el departamento IT más próximo y preguntarles qué más se puede hacer para gestionar y asegurar las contraseñas.
*Artículo escrito por Michael Schenck y publicado originalmente en Help Net Security.
