El primer jueves de mayo se celebra el Día Mundial de la Contraseña, un día que sensibiliza sobre la importancia de las contraseñas a la hora de proteger las cuentas en línea. Intel Security declaró el primer día mundial de contraseña en 2013. Siete años más tarde, Avast, espera alternativas que podrían hacer que las contraseñas queden obsoletas.
Al respecto, Javier Rincón, Country Manager de Avast en México comentó “La gente reutiliza las contraseñas y es sólo la naturaleza humana lo que hacen. Las credenciales de inicio de sesión son necesarias para acceder y hacer cosas como leer un artículo, ordenar un par de pantalones, escuchar música, haciendo que tengamos tantas cuentas que es prácticamente imposible para una persona crear una contraseña fuerte y única para cada cuenta.”
Recientemente se dio a conocer la noticia que “Se filtraron 500,000 credenciales de inicio de sesión de Zoom en la deep web, pero estas credenciales de inicio de sesión no eran nuevas, ni eran exclusivas de las cuentas de Zoom”, abundó el directivo.
Estas fueron las credenciales de inicio de sesión que se recopilaron mediante una técnica llamada relleno de credenciales, donde los ciberdelincuentes prueban las credenciales de inicio de sesión a partir de violaciones de datos para ver si pueden acceder a otras cuentas, porque son muy conscientes de que las personas reutilizan las contraseñas de varias cuentas. Según una encuesta de Avast, el 43% de los mexicanos reutiliza su contraseña para otra cuenta, y de ellos, el 87% declaró que es consciente de que esto es riesgoso.
Otra técnica que usan los cibercriminales para acceder a las cuentas de otros usuarios es mediante ataques de fuerza bruta. Estos ataques consisten en intentar las diferentes combinaciones posibles hasta encontrar la clave de acceso del usuario. Un programa que agrieta la contraseña se aleja con combinaciones alfanuméricas hasta que encuentra una que encaja, usando el Infinite Monkey Theorem, que propone que, si un mono golpea al azar las teclas de máquina de escribir durante una cantidad infinita de tiempo, eventualmente resultará las obras de William Shakespeare. O una contraseña.
Lo que se ha convertido en una industria estándar es una antigua tradición que llega hasta el comienzo de la civilización. Desde las primeras expresiones del “ábrete sésamo” hace siglos, la gente ha estado usando palabras y códigos secretos para probar la identidad y obtener admisión. Pero una nueva ola de tecnología está lista para reducir el riesgo de seguridad de contraseñas hackeables eliminándolas por completo. Algunas organizaciones ya están utilizando estas medidas, pero ninguna ha sido ampliamente adoptada todavía.
Gartner predice que para el 2022, el 60% de las empresas más grandes del mundo y el 90% de las empresas medianas del mundo, implementarán métodos de seguridad sin contraseña en más del 50% de los casos de uso.
Aquí están algunos de los principales contendientes en la autenticación sin contraseña.
- Biometría – La mayoría de la gente está familiarizada con este concepto, gracias al touch ID en teléfonos inteligentes. La autenticación biométrica utiliza características de identificación exclusivas de nuestros cuerpos, como una cara o una huella digital. En este modelo, una persona se convierte en su propia contraseña. Sin embargo, podría surgir un problema si otra persona replicara los datos biométricos. A diferencia de las contraseñas, no hay forma de volver atrás y “restablecer” una huella digital.
- Inicio de sesión único (SSO) –Esta práctica todavía utiliza una contraseña, pero solo una. Es un protocolo de autenticación que permite a los usuarios introducir un nombre de usuario y una contraseña que luego abre varias aplicaciones y programas. Aunque técnicamente podría seguir siendo atacado por fuerza bruta, reduce la superficie de ataque al tener sólo un punto de entrada.
- Autenticación basada en riesgos: En este caso, la Inteligencia Artificial mide el riesgo de la transacción mediante el análisis del solicitante y lo que el solicitante está solicitando. Si se considera de bajo riesgo, la IA permite que la transacción continúe. Si se considera de riesgo medio, el sistema solicitará otro factor de identificación. Y si se considera de alto riesgo, el sistema bloqueará la transacción.
- Huella digital del dispositivo – Aquí el programa de seguridad toma una “huella digital” del dispositivo, registrando su marca, memoria, ubicación y dirección IP. A partir de entonces, cuando ese dispositivo inicia sesión, el programa de seguridad lo reconoce y, a continuación, utiliza el análisis basado en el riesgo para continuar con la transacción.
La realidad es que hoy día seguimos utilizando las contraseñas, por lo que la responsabilidad de proteger nuestra información e identidad en línea, es responsabilidad de cada uno. Así es que en el Día Mundial de la Contraseña, los invitamos a evaluar las contraseñas que estás usando actualmente cerciorarte de que en verdad te están protegiendo. Si no has cambiado password desde hace tes meses, en tus cuentas, quizás es buen momento de hacerlo.
Para mejorar la seguridad de tus contraseñas, desde Avast, nos comparten los siguientes consejos:
- Nunca reutilice la misma contraseña para más de una cuenta.
- Habilite la autenticación multifactor donde esté disponible. Los autenticadores abarcan tres cosas: algo que sabes (una contraseña), algo que tiene (un dispositivo token) y algo que eres (una huella digital). El uso de al menos dos de estos para cada una de sus cuentas reducirá drásticamente su riesgo.
- Para crear contraseñas seguras, asegúrese de que sean largas, contengan una combinación de caracteres y palabras en mayúsculas y minúsculas. Idealmente, se debe utilizar una frase de contraseña, para crear una oración completa que es fácil de recordar, pero difícil de descifrar para otros.