This post is also available in: Inglés, Francés, Alemán

Cómo evolucionan las prácticas recomendadas de la administración de contraseñas

This post is also available in: Inglés, Francés, Alemán

La tecnología evoluciona más rápidamente que nunca. Lo que antes era la norma (como que el software se presentara en diskettes y los reproductores de mp3) hoy deja paso a un mundo virtual más conectado con cosas como el SaaS (software como servicio) y las plataformas musicales de suscripción. Por ello, no es sorprendente que los estándares de administración de contraseñas también hayan evolucionado. Siga leyendo para ver cómo mantenerse al día y saber qué puede hacer para adelantarse.

La evolución de las contraseñas como herramienta de seguridad 

Hace décadas se desarrollaron las contraseñas como una forma sencilla de proteger información confidencial. Pero esta técnica no se ha mantenido al día del ritmo de la tecnología digital. Hoy en día, las contraseñas comprometidas son la forma más rápida y sencilla de que los actores maliciosos obtengan acceso no autorizado a datos y sistemas de una organización.

Los ciberdelincuentes no tienen que buscar demasiado para encontrar estas llaves proverbiales del reino.

El sorprendente número de credenciales comprometidas disponibles en la web oscura crece con rapidez. Los investigadores descubrieron más de 6700 millones de pares de credenciales únicos (combinaciones de nombre de usuario y contraseña) en la web oscura en 2022. Se trata de un aumento del 34 % respecto a 2020.

La investigación muestra que las credenciales son la vía principal que lleva a los actores maliciosos al interior de una organización. El año pasado, las credenciales estaban implicadas en casi la mitad de todas las violaciones de datos que no fueron resultado de errores o uso indebido, mucho más que las demás tácticas como el «phishing» y las explotaciones de vulnerabilidad.

A medida que el sector busca formas de combatir el problema de las contraseñas, el futuro crea una imagen sin contraseñas. La autenticación sin contraseñas verifica la identidad del usuario sin necesidad de una contraseña, y usa un autenticador como un smartphone.

Este prometedor desarrollo, sin embargo, está en sus primeras etapas, y faltan años para que se adopte de forma amplia. Las contraseñas, de hecho, puede que no desaparezcan nunca por completo. Mientras tanto, la puesta en práctica de las prácticas recomendadas para la administración de contraseñas es crucial para todas las empresas en la era digital. Para hacer que la transición sea simple para su organización, cualquier nueva solución de autenticación que implemente debe admitir tanto contraseñas como claves de acceso (credenciales de autenticación sin contraseña).

Evolución de las prácticas recomendadas para administración de contraseñas 

Las prácticas de administración de contraseñas también han evolucionado con los años. No hace mucho, un consejo habitual era cambiar las contraseñas con regularidad, con frecuencia cada mes o cada tres meses. Los expertos en seguridad han aprendido desde entonces que esta política solo obliga a las personas a crear contraseñas fáciles de adivinar y a reutilizar las contraseñas entre cuentas. Los actores maliciosos cuentan con estos comportamientos, usando diversas tácticas para romper contraseñas débiles o aprovechar credenciales robadas.

Las prácticas recomendadas actuales incluyen el uso de una contraseña segura diferente para cada cuenta, evitar el uso de Información personal y palabras que estén en el diccionario en las contraseñas y no compartir contraseñas mediante métodos no seguros como aplicaciones de colaboración y correo electrónico.

Sin embargo, exigir a los empleados que sigan estas prácticas sin una herramienta adecuada no lleva a su cumplimiento. Esa es una razón por la que los expertos de seguridad recomiendan adoptar un administrador de contraseñas en la organización. Los administradores de contraseñas están diseñados para ayudar a los empleados a crear, almacenar, compartir y administrar las contraseñas de forma segura y cómoda.

Gráficos circulares y estadísticos que contienen la siguiente información sobre el estado del panorama de las amenazas actuales: el 77 % de las organizaciones informan de un aumento en ciberataques disruptivos en los últimos 12 meses, en comparación con solo un 59 % en el año anterior; un aumento del 68 % en el número de datos comprometidos en los Estados Unidos en 2021; un 86 % de las organizaciones experimentaron ataques de «phishing» masivos en 2021 en comparación con el 77 % en 2020. El coste medio de las violaciones de datos causadas por el «phishing» es de 4,9 millones de dólares, la segunda causa más habitual de una violación. La táctica número uno en violaciones de datos es el uso de credenciales robadas.

Los administradores de contraseñas como herramienta de conformidad 

Recientemente, entidades gubernamentales, organismos reguladores y grupos del sector han puesto más énfasis en la implementación de una política de contraseñas y de prácticas de administración de contraseñas. Un ejemplo es la circular de agosto de 2022 de la Oficina de protección financiera del consumidor (CFPB) de los Estados Unidos, que afirmaba que una protección inadecuada de datos confidenciales de los consumidores podría violar las prohibiciones de prácticas desleales.

La oficina destacó que los ciberataques podrían causar daños sustanciales a los consumidores y que el hecho de no aplicar las prácticas de seguridad básicas aumenta significativamente la probabilidad de que una violación de prácticas desleales. Una de las tres prácticas recomendadas por la CFPB para evitar el incumplimiento de la normativa es la implementación de políticas y procedimientos de administración de contraseñas.


Aunque el avance tecnológico no disminuye, hay formas de asegurarse de que uno no se queda atrás. Los recursos adecuados pueden actuar como socios en el viaje virtual y ayudarle a mantener su conocimiento actualizado y en vanguardia.

Una buena base es la clave para construir la base de conocimientos de ciberseguridad.

Consulte nuestro Libro blanco Aspectos básicos de la administración de contraseñas para conseguir una firme comprensión de las prácticas recomendadas de la administración de contraseñas y aprender a salvaguardar su organización.


Referencias

  1. EY, «Estudio de seguridad de información global», 2021.
  2.  Centro de recursos de robo de identidad, «Informe anual de violación de datos», 2021.
  3. Proofpoint, «Estado del “phishing”», 2022.
  4.  IBM Security, «Coste de un informe de violación de datos», 2022.
  5.  Verizon, «Informe de investigaciones de violación de datos», 2022
    Alexandra Dumitriu

    Alexandra is a savvy localization program and project manager with over 8 years of experience in localization. She has worked in many fields, including medical, gaming, software, and human resources, handling all steps of the localization process and workflow on the client side and the localization agency side. She’s always looking out for efficiency and quality, knows her audiences, and adapts to them. Currently, most of her time is dedicated to ensuring Dashlane is properly adapted to international customers.

    Read More