Los expertos de la compañía de ciberseguridad Fortinet ofrecen una serie de consejos para reforzar la seguridad de las contraseñas, una cuestión muy importante hoy en día debido a que con el teletrabajo, los usuarios no disponen del mismo nivel de soporte de seguridad y TI que si estuvieran en la oficina.
Es por ello que te hacemos las siguientes recomendaciones:
1. Crear contraseñas imposibles de olvidar y difíciles de adivinar
Incluso para una persona que pueda conocer detalles íntimos de nuestra vida. Añadir números es mucho menos seguro de lo que pudiera parecer.
2. Evitar el siguiente tipo de contraseñas:
- Cumpleaños
- Números telefónicos
- Información laboral
- Nombres, incluyendo películas y equipos deportivos
- Ofuscaciones simples (p455w0rd)
3. Aprovechar las combinaciones improbables o aparentemente aleatorias de letras mayúsculas y minúsculas, números y símbolos, y asegurarse de que las contraseñas tienen al menos diez caracteres.
4. No utilizar la misma contraseña para varias cuentas, ya que esto aumenta la cantidad de información a la que puede acceder un hacker en dado caso que de con la contraseña.
5. Cambio periódico de contraseña (Mínimo cada 3 meses)
6. Utilizar gestores de contraseña, siempre y cuando no sean gratuitos. Nos ayudará a generar contraseñas únicas, largas, complejas y fáciles de cambiar para todas las cuentas y el almacenamiento seguro y cifrado de esas contraseñas.
¿Cómo es que un ciberdelincuente puede conseguir nuestras contraseñas?
Para evitar que consigan nuestras contraseñas, primero debemos entender como es que un ciberdelincuente intenta acceder a ellas:
1. Ataques de ingeniería social: suplantación de identidad a través de correos electrónicos y mensajes de texto, en los que se engaña a los usuarios para que proporcionen sus credenciales, hagan clic en enlaces o archivos adjuntos maliciosos, o vayan a sitios web maliciosos.
2. Ataques a través del diccionario: el atacante utiliza una lista de palabras comunes, propias de un diccionario, para intentar acceder a las contraseñas en previsión de que los usuarios hayan utilizado palabras comunes o contraseñas cortas. Pueden incluir la adición de números antes y/o después de las palabras comunes ya que mucha gente piensa que el simple hecho de añadir números antes y/o después hace que la contraseña sea mas compleja de adivinar.
3. Ataques de fuerza bruta: generar aleatoriamente contraseñas y conjuntos de caracteres para adivinar, por insistencia y repetición.
4. Keyloggers: mediante la instalación de un software en el dispositivo de la víctima a través de algún tipo de ataque de phishing por email, el cibercriminal puede capturar las pulsaciones de las teclas de la víctima para hacerse con su nombre de usuario y las contraseñas de sus distintas cuentas.
5. Interceptación de tráfico: Si el ciberdelincuente tiene acceso a la red de la víctima, puede supervisar y capturar el tráfico que contiene información sobre las contraseñas. Si el tráfico no está cifrado o utiliza algoritmos de cifrado débiles, pueden conseguir las contraseñas con facilidad.
6. Man-in-the-middle: el ciberdelincuente captura el trafico entre el usuario y el sitio web o la aplicación que éste utiliza, normalmente suplantando la identidad de dicha web o aplicación. Así, captura el nombre de usuario y la contraseña que el usuario introduce en el sitio falso. A menudo, los ataques de phishing por correo electrónico llevan a las víctimas desprevenidas a este tipo de sitios.
¿Como protegernos o hacer el acceso a nuestras cuentas mas seguro?
Para garantizar realmente una seguridad sólida, se necesitan múltiples tácticas. Los expertos en ciberseguridad de Fortinet aconsejan:
1. Autenticación multi-factor (MFA): añadiendo un paso adicional al proceso de autenticación, ya sea mediante tokens físicos o basados en aplicaciones móviles. Esto garantiza que, incluso si una contraseña se ve comprometida, los ciberdelincuentes no pueden acceder a la información.
2. Single Sign-On (SSO): permite a los usuarios utilizar un único nombre de usuario y contraseña seguros en varias aplicaciones de una organización.
3. Formación y educación en ciberseguridad: A medida que las ciberamenazas evolucionan y los criminales desarrollan nuevas técnicas para sus ataques, los usuarios deben tomar conciencia de la ciberseguridad e informarse sobre el estado del panorama de las amenazas. Existen cursos de formación gratuitos como el Network Security Expert (NSE) 1 y el NSE 2 de Fortinet pueden ayudar a formar a personas de cualquier edad sobre cómo mantenerse seguros a sí mismos y a su empresa.