Un aspecto fundamental para proteger tu empresa o negocio de los ciberataques es gestionar adecuadamente las contraseñas y claves de acceso a las diferentes webs y aplicaciones que utilizas, puesto que conseguirlas es el primer objetivo de los ciberdelincuentes.
En la actualidad la mayoría de las webs solicitan al registrarse que utilices una contraseña segura. Es decir, una contraseña que incluya letras mayúsculas y minúsculas, números y caracteres especiales como %, &, _, @, etc, y que tenga al menos 10 caracteres.
Esto dificulta que, en caso de ciberataque, se puedan utilizar sistemas que combinan aleatoriamente caracteres para tratar de obtener tu contraseña por la fuerza. Si mi contraseña tiene 4 caracteres, no es nada difícil para un software malintencionado probar todas las combinaciones posibles de esos 4 caracteres. En cambio, si tiene 10 caracteres, la cantidad de combinaciones posibles es astronómicamente alta, por lo que es virtualmente imposible descubrirla por ese método.
Aún así, casi todos los usuarios de internet nos hemos encontrado alguna vez con que nuestra contraseña de acceso a un servicio ha sido violada sin que lo supiéramos, a pesar de utilizar contraseñas seguras. Esto no es extraño y, en la mayor parte de los casos, denota que no hemos sido suficientemente cuidadosos. Veamos por qué.
La principal fuente de ciberriesgos es no ser sistemáticos en el control de las contraseñas
No, no basta con tener una contraseña muy segura. Tenemos que hacer más. Un ejemplo muy habitual de mala práctica es utilizar la misma contraseña para todo. Por muy segura que sea, las webs o sistemas a los que accedamos con ella pueden no ser tan seguros. ¿De qué nos sirve tener una contraseña que cumple con todos los estándares de máxima seguridad si luego la utilizamos indistintamente para todo, incluyendo el acceso a una web no segura y, por tanto, susceptible de quedar expuesta? De bien poco. Esta es la principal causa por la que una contraseña aparentemente segura puede quedar expuesta o ser robada.
Las contraseñas seguras tienen un problema: son difíciles de memorizar. Si encima tenemos que utilizar una diferente para cada cosa, o seguimos una pauta lógica o acabaremos cometiendo el segundo gran error: apuntar las contraseñas en un papel. Sí, al contrario de lo que pudiera parecer, no todos los ciberriesgos son cibernéticos: el robo de contraseñas apuntadas en un soporte físico (un papel, el móvil, un archivo en el propio ordenador o, el colmo de la despreocupación, un post-it pegado a la pantalla) es una de las principales puertas para que los ciberdelincuentes consigan el acceso que buscan para ejecutar sus ciberataques. Sólo hay que colarse en la empresa o sobornar a la persona adecuada y toda nuestra estrategia de seguridad habrá saltado por los aires.
Del mismo modo, las contraseñas no son eternas, al menos no deberían serlo. Ningún sistema es inviolable y puede que ya nos hayan robado la contraseña sin saberlo, por lo que cambiarla con regularidad es imprescindible.
Buenas prácticas para gestionar las contraseñas en tu empresa
En primer lugar, tiene que haber una persona responsable que gestione el sistema de contraseñas y vele por su seguridad. Si tienes un informático en plantilla puede ser fácil pensar que esa debería ser la persona encargada, pero aquí entra otro factor: la confianza. Debe ser una persona de confianza absoluta y, además, debe asumir esa responsabilidad de manera formal y documentada.
Veamos ahora los pasos a seguir para evitar ciberriesgos con las contraseñas:
- Las contraseñas deben ser únicas para cada persona, en la medida de lo posible. Desde luego, debe ser así en los sistemas internos de la empresa, y debe ser obligatoriamente así en los sistemas en los que se almacenen datos personales. Es decir, cada usuario tiene su contraseña y está prohibido compartirla o comunicarla a otros. Esto, que ya es común en sistemas como los ERP, CRM, etc, no lo es, por ejemplo, para acceder a webs de proveedores, a los que debemos solicitar la opción, siempre que sea posible, de que cree perfiles de acceso diferenciados para cada persona que necesite usar su sistema.
- Plantéate eliminar las contraseñas de acceso a los sistemas internos y sustituirlos por sistemas biométricos como lectores de huella digital. Estos sistemas han bajado mucho su precio y eliminan de un plumazo un importante dolor de cabeza. No nos dan seguridad 100% (eso no existe) pero sí que ponen mucho más difícil ejecutar ciberataques por robo de contraseñas.
- Jamás utilices en las contraseñas cosas como fechas de nacimiento, nombres, apellidos, matrículas de coches, etc.
- No autorices al navegador o a tu móvil para que recuerde las contraseñas. Si lo haces, quien quiera acceder a todas sólo tendrá que conseguir una: la que le permite acceder al ordenador o móvil. Después, con usar nuestro navegador ya tendrá todas las puertas abiertas.
- No mezcles trabajo y temas personales: las contraseñas de acceso a los sistemas o webs con los que la empresa trabaja no pueden ser las mismas, ni parecidas, a las que la persona usa para acceder a sus redes sociales o a su compañía de teléfono. Aunque seas un autónomo y la persona sea la misma. No olvides que los autónomos y las pymes son el principal objetivo de los ciberataques, precisamente porque son los más vulnerables. Además, si en un ciberataque alguien accede a tus contraseñas personales, también tendrá acceso a las de tu empresa si son las mismas. Y viceversa.
- Aunque lo ideal es que las contraseñas sean completamente aleatorias, casi nadie tiene memoria para recordarlas todas, especialmente si no las usa todos los días. Para evitar que nadie tenga la tentación de apuntarlas, pide a cada usuario que busque una palabra o frase que le sea fácil recordar. Por ejemplo, “helado de vainilla” (atención: NO la uses si todo el mundo sabe que te pirras por el helado de vainilla). A partir de ahí, construye una secuencia lógica de contraseñas para cada sistema o web al que deba acceder, siempre incorporando los parámetros de una contraseña segura. Algo así:
a. Crea una contraseña base: “Helad0_d3_Va1n1lla%”: Cambiamos la letra “o” por el número cero, la “e” por un 3 y la “i” por un 1, los espacios se convierten en guiones bajos y añadimos el % al final. Esta todavía no es la contraseña que usaremos para entrar a cada sistema, sino la base.
b. Añádele caracteres al final para crear contraseñas únicas para cada sistema. Pueden ser números o letras relacionados con dicho sistema. Por ejemplo, puedes hacer esto para crear contraseñas para Amazon, Facebook y Twitter:
Amazon: Helad0_d3_Va1n1lla%ZN&
Twitter: Helad0_d3_Va1n1lla%TR/
Facebook: Helad0_d3_Va1n1lla%BK(
Cogemos las dos últimas consonantes del nombre de la web en la que vamos a entrar. El último carácter que añadimos sigue un orden correlativo en la fila de arriba del teclado: %,&,/,(,),=,=,¿
Podemos utilizar cualquier cosa de la que recordemos el orden para añadir al final, desde secuencias de números primos a la serie de Fibonacci o cualquier otra regla nemotécnica (algo que vemos todos los días de camino al trabajo, por ejemplo).
Importante: NO copies este sistema. Lo ponemos aquí como ejemplo de un sistema lógico para el desarrollo de contraseñas seguras. Tu empresa debe desarrollar el suyo propio, al igual que nosotros hemos desarrollado el nuestro que, obviamente, no es éste ni se le parece. Además. las sustituciones de letras por números son demasiado obvias en el ejemplo expuesto, sólo a efectos de que la explicación sea sencilla. Un sistema real utiliza sustituciones más complejas, como cambiar letras por otras letras:
Ejemplo: cambiar cada letra por la que está a su derecha en el teclado, por lo que “HELADO DE VAINILLA” se convierte en “JRÑSFP FR BSOMOÑÑS” Si ponemos las primeras letras en mayúscula, cambiamos los espacios por % y le añadimos un número, ya tenemos una contraseña aparentemente aleatoria: Jrñsfp%Fr%Bsomoññs1 Una contraseña que podemos recordar y escribir con facilidad.
Aún puede conseguirse más seguridad con un sistema criptográfico. Por ejemplo, en la siguiente secuencia de letras dice “HELADO DE VAINILLA”:
IGOEIU EG WCLRNRSI
Hemos respetado los espacios, algo que normalmente no se hace. Puesto que os damos el original y el texto cifrado, es bastante sencillo averiguar el método de cifrado. ¡Os lo planteamos como desafío! Es un sistema para el que los dedos son muy útiles, y una vez lo sabes es imposible que se te olvide.
c. Cámbialas, al menos las de los sistemas más sensibles, cada mes. En este caso podemos cambiar cada mes el sabor del helado: vainilla, fresa, pistacho, plátano, chocolate, coco….
d. No reinicies el ciclo al año siguiente: idea un sistema lógico pero distinto cada año.
Esta lógica facilita mucho recordar las contraseñas de cada uno de los sitios a los que tenemos que acceder sin necesidad de apuntarlas. No hay lugar más seguro que nuestro cerebro.
7. Por último, lo primero que debe hacerse ante cualquier sospecha de robo de contraseñas, o simplemente si han quedado expuestas y no estamos seguros, es cambiarlas inmediatamente.
Los ciberdelincuentes no son tontos, pero un sistema robusto de contraseñas es como una puerta blindada: no impide que un ladrón entre si está decidido a entrar, pero la mayoría de los ladrones buscarán un objetivo más fácil.
Dicho todo esto, hay algo que todos debemos tener claro: si un ciberdelincuente es lo suficientemente hábil y tiene razones para querer ejecutar un ciberataque contra tu empresa en concreto (por ejemplo, porque quiere acceder a datos que sólo tu empresa tiene), al final lo hará.
No existe el sistema de seguridad perfecto, por eso es imprescindible, además de ponérselo lo más difícil posible a quienes quieran ejecutar un ciberataque, contar con un seguro que nos permita externalizar los ciberriesgos y que sea una compañía aseguradora la que asuma los costes de un ciberataque para que cualquier empresa, sea grande o pequeña, cuente con la tranquilidad de saber que sus ciberriesgos están cubiertos.