CEFIROS

Gestión de Contraseñas, un grave problema y muy real

22.05.20 16:50 Por Angel

Contraseñas. Gestión segura de credenciales

   Uno de los principales problemas, en cuanto a seguridad se refiere, es la cuestión de las contraseñas. Los atacantes pueden aprovechar que los usuarios usan contraseñas débiles o simples, al estilo 1234, que además repiten en varios servicios, o que mantienen las credenciales predeterminadas en sistemas como routers, puntos de acceso wifi, dispositivos IOT, etc, etc... Está vulnerabilidad permite que los ciberdelincuentes puedan acceder fácilmente a un objetivo y disponer de él a su antojo.

                                                                                                                                               

 Es desafortunadamente habitual encontrar empresas en las que las políticas de complejidad de las contraseñas son muy laxas o simplemente no existen, que usan como contraseña el mismo nombre de usuario, la misma contraseña para todos los usuarios, y así un largo etcétera de ejemplos en los que la infraestructura de la empresa es altamente vulnerable.


 ¿Porqué entonces las empresas defienden estas políticas tan arriesgadas? Pues que son cómodas para los usuarios, que cualquier responsable pueda acceder fácilmente a los equipos de cualquier empleado, etc... Es cierto que esto se podría hacer de forma segura también, y si, teniendo claro que requiere un trabajo adicional de planificación y estructuración, pero es nuestra responsabilidad como administradores de sistemas el que las credenciales no sean un factor de riesgo para la seguridad de los sistemas TIC de la empresa.

 

 Otro riesgo es son los insider, el empleado descontento o con malas intenciones que puede aprovechar su conocimiento de estas debilidades para causar daños o robar información, por ejemplo.


 A nivel particular, como apuntábamos anteriormente, los usuarios tendemos a usar las mismas contraseñas en todos los servicios y redes en los que estamos registrados. Esto lo aprovechan los ciberdelincuentes cuando logran obtener listas de credenciales, normalmente por millones, de servicios o empresas a los que han atacado para simplemente probar esas credenciales en todos los servicios posibles. Seguro que logran obtener acceso a cientos de cuentas de correo electrónico, redes sociales, etc, y esto lo usan después para otros fines realmente rentables, como mediante ingeniera social pudiendo usar nuestras identidades robadas para hacer ataques, por ejemplo, de phishing, con apariencia mucho más creíble y poder engañar a sus víctimas.


 Reforzar las políticas de contraseñas, tanto a nivel particular como empresarial, es difícil, dado que ¿seríamos capaces de recordar de memoria decenas de contraseñas complejas en las que se combinan letras en mayúsculas y minúsculas, números y signos y que además debamos de cambiar periódicamente?. Evidentemente no. Yo el primero. Esto hace que, como ejemplo, los monitores de las empresas se llenen de post-it con contraseñas anotadas.

                                                                                                                                        

 ¿Pues cual es la solución entonces? Hoy en día disponemos de aplicaciones que nos permiten mantener en una “caja fuerte o bóveda” virtual estas credenciales. Para acceder a este sistema solo debemos de recordar 1 contraseña, que ha de ser robusta, pero solo 1. Una vez que nos validamos podremos acceder, ya autenticados, a los servicios o sistemas que tengamos registrados en nuestro gestor de contraseñas.


 Como empresa nos permite centralizar la gestión de las contraseñas de los sistemas de la empresa o, por que no, los de los sistemas de nuestros clientes o proveedores a los que necesitemos acceder y permitir a los empleados que deban acceder a ellos poder hacerlo cuando queramos sin que tengan que conocer ni ver la contraseña usada.

 

 Vamos a ilustrar esto con un ejemplo: una empresa que mantiene equipos IoT instalados en clientes (pueden ser sistemas de videovigilancia, contadores eléctricos, etc.). Cuando envía a un técnico a dar soporte a un cliente se comparte con ese técnico las credenciales del dispositivo al que tiene que acceder. Una vez que el técnico está en las instalaciones del cliente, este puede acceder al sistema sin que tenga siquiera que ver la contraseña de acceso y una vez finalizado el servicio se deja de compartir esa credencial.


 Ahora imaginemos una empresa como esta en la que un técnico, que tiene información de las credenciales de los clientes que ha visitado es despedido y quiere tomar represalias contra la empresa... podría hacerlo sin ningún problema, dado que con total seguridad, no habremos cambiado las credenciales de todos los sistemas conocidos por ese empleado.  En este caso solemos caer en el grave erro de user en todos los dispositivos de los clientes las mismas credenciales, por que es sumamente complejo mantener una base grande de credenciales sin ninguna herramienta que nos ayude para hacerlo.


 Estas herramientas además se pueden ocupar incluso de generar por nosotros las contraseñas basándose en criterios de complejidad que hayamos definido y auditarlo.


 En resumen, la gestión de credenciales puede ser un problema en si mismo, además de que puede ser una fuente de vulnerabilidades importantes. Pero hoy día disponemos de herramientas como Keeper Security que nos ayudan con esta problemática, ¡usémoslas!.

                                                                                                     

Autor: Juan Antonio Robledo

jarobledo@cefiros.net

@jantoniorobledo

Angel