Contraseñas débiles o robadas

¿Atentan los empleados contra la seguridad de la compañía al compartir contraseñas?

La mayoría de los empleados no intenta comprometer la seguridad de la compañía de manera intencional; sin embargo, debería preguntarse qué prácticas relacionadas con las contraseñas siguen actualmente para hacer frente a la proliferación de las cuentas en línea que las requieren. Según un estudio citado con frecuencia por Microsoft Research: “El usuario promedio tiene 6,5 contraseñas, y cada una de ellas es compartida en 3,9 sitios diferentes. Cada usuario tiene cerca de 25 cuentas que requieren contraseña y escribe un promedio de 8 contraseñas por día”.

Una encuesta de Dashlane de 2015 reveló que cada persona tenía más de 90 cuentas en línea y que tuvo que restablecer su contraseña utilizando un enlace de ”olvido de la contraseña” para 37 de esas cuentas durante el año anterior. Las compañías que requieren el restablecimiento frecuente de las contraseñas hacen que sea aún más difícil para los usuarios crear contraseñas seguras y luego recordarlas. En ese entorno, es comprensible que los usuarios hayan simplificado sus contraseñas, creando las que se pueden serializar y limitándolas a unas pocas que utilizan en varias cuentas.

¹ Verizon’s 2017 Data Breach Investigations Report

Para las empresas, a medida que los empleados utilizan contraseñas más simples y débiles, esto pone a los recursos en red en un mayor riesgo de infracción. Lo que es peor aún, cuando las credenciales de un empleado son robadas de otros sitios y esas credenciales contienen la misma contraseña que les brinda acceso a sus redes privilegiadas, los hackers pueden entrar por la puerta principal enmascarados como el usuario sin que usted esté al tanto.

Hemos alcanzado el límite de la protección que puede proporcionar el acceso a los sistemas basado solamente en contraseñas. Lo que se necesita son medidas adicionales para asegurar la identidad del usuario... que es lo que proporciona la autenticación multifactor (MFA).

¿Cómo roban credenciales los hackers?

Dado que los nombres de usuario y las contraseñas a menudo son el único obstáculo para acceder a los sistemas que generan recompensas financieras, los hackers han mostrado un gran interés en eliminarlos cuando pueden. Algunas formas comunes de comprometer esa información incluyen:

• Suplantación de identidad (phishing) o suplantación dirigida de identidad (spear-phishing): Los delincuentes utilizan el correo electrónico para convencer a los usuarios que ingresen credenciales en páginas o formularios web. Tiene el aspecto convincente de un correo electrónico de una persona o empresa con la que el usuario tiene una relación y, a veces, está dirigido a un individuo específico (spear-fishing) que se percibe que tiene un importante nivel de acceso privilegiado en el sistema.
• Fuerza bruta: Con el uso de contraseñas más simples, los delincuentes prueban contraseñas comunes hasta que encuentran una que funcione. Incluso han escrito secuencias de comando automatizadas que eluden protecciones simples, como un número limitado de intentos de autenticación dentro de un lapso de tiempo determinado. Recuerde: en el caso de las empresas sin MFA, solo necesitan una única combinación de nombre de usuario y contraseña para que funcione.
• Wi-Fi de gemelo malvado: Utilizando un dispositivo de $99 fácil de encontrar, los delincuentes pueden sentarse en un área concurrida y simular ser un punto de conexión Wi-Fi legítimo. Cuando las personas se conectan, el delincuente es en realidad un MitM (man-in-the-middle) que observa el tráfico de la red e incluso las pulsaciones de teclado de un usuario mientras está conectado. Los estudios han demostrado que las personas ven regularmente sus cuentas bancarias, realizan compras en línea y hasta acceden a las redes empresariales, mientras están conectados a una Wi-Fi pública.

Una vez que obtienen credenciales válidas, las utilizan para acceder a los sistemas y robar datos, consumir recursos con botnets, instalar ransomware e incluso robar más credenciales que podrían desbloquear otras redes y datos personales.