Por Luciano Pérez Gaimberán, Named Account Manager, Veeam México
En el día a día, dependemos de contraseñas para casi todo, tanto si hablamos de asuntos personales, incluyendo trámites gubernamentales y financieros, apps móviles y uso de redes sociales (entreuna larga lista), como en muchos entornos laborales. Cada año, el Día Mundial de la Contraseña vuelve a aparecer en el calendario (el primer jueves de mayo) como ese recordatorio incómodo pero fundamental de que debemos ser conscientes de lo importante quees crear contraseñas sólidas y únicas, ser responsables con su uso y gestionarlas de forma adecuada. La pregunta es: ¿damos a este sencillo elemento de la seguridad informática el valor que merece?
Hace ya 13 años que se creó esta efeméride, por iniciativa de Intel Security (ahora McAfee), con tres objetivos primordiales: concientizar a los usuarios, promover el uso de passwords seguros y robustos,y difundir mejores prácticas, como por ejemplo la autenticación multifactor y el uso de administradores de contraseñas.
Puerta de ataque o la primera línea de defensa?
Pareciera que algo tan básico como inventar un password es un tema banal, pero no lo es. Las organizaciones invierten en firewalls, soluciones de respaldo y recuperación, encriptación, monitoreoy un sinfín de tecnologías dedicadas a la protección de sus datos, pero una sola contraseña débil o un error en la gestión que hace de ésta el empleado, puede jugarle en contra al negocio de manera importante.
Hay datos de corporativos millonarios que se han visto en problemas graves a causa de ataques de ransomware donde la puerta de acceso ha sido, tal cual, una contraseña. Un claro ejemplo es el deKNP Logistics, de Reino Unido: según SOS Ransomware[1],un grupo de ciberdelincuentes entró a los sistemas informáticos de esta empresa de transporte, a pesar de que contaban con una infraestructura de seguridad acorde con los estándares de su sector. Para perpetrar el ataque, se abrieron paso mediante el passwordblando e inseguro de uno de sus empleados, que un hacker del grupo adivinó con facilidad. Una vez dentro, extendieron el acceso lateralmente y entraron a los servidores de producción para hacer, en cuestión de horas, el cifrado de datos, lo que supuso unainterrupción abrupta de las operaciones. Los respaldos fueron atacados y eliminados, así que KNP no pudo impedir el ataque inicial, y cuando empezó el secuestro de la información ya era tarde. Como no pudieron cumplir contratos, administrar sus flujos financieroso garantizar las entregas, en apenas 3 meses la empresa se vio forzada a declararse en quiebra.
Lo cierto es que, aun con todos los años de experiencia que tenemos empleando passwords, la forma en que los creamos y usamos sigue siendo bastante mejorable: se ha hecho hincapié en que es fundamentaldejar de elegir claves demasiado simples o predecibles, como el clásico “123456”, fechas de cumpleaños, nombres de mascotas y demás. El problema radica en que, ahora que hay mayor conciencia de que es necesario crear passwords extensos y complejos, para dificultarel acecho de la ciberdelincuencia, caemos en otros malos hábitos, como guardar nuestras contraseñas en notas del smartphone, o incluso en post-its en el monitor de la computadora, justamente porque las claves son difíciles de recordar.
Es curioso cómo el mismo elemento puede ser, a la vez, una puerta de acceso para los atacantes o una primera línea de defensa eficaz. En Veeam lo invitamos a echar un vistazo a sus passwords: sino tienen una complejidad y extensión acorde a los tiempos actuales, si usa la misma contraseña para diferentes aplicaciones, si no las ha cambiado recientemente, éste es el día para poner atención y hacer los cambios necesarios. Recuerde que esto aplica,por supuesto, para sus cuentas personales, pero también para aportar a mantener la seguridad de la empresa donde trabaja.
Asimismo, a nivel tecnológico conviene usar gestores de contraseñas y aplicaciones de autenticación multifactor (MFA), como parte de los procesos que deba seguir el personal en relación con el manejode sus claves de acceso.
Un punto final a destacar es que, como le pasó a KNP Logistics, los ataques de ransomware se están dirigiendo a los repositorios de respaldo de las organizaciones: de acuerdo con el Reporte de Tendencias de Ransomware y Estrategias Proactivas 2025, de Veeam, un altísimo 89% de los negocios que han sido atacadosa nivel mundial por ransomware padecieron el secuestro de dichos repositorios. En este tema en particular, hay que tener presente que la protección de los entornos de respaldo empieza por credenciales seguras.
Es curioso cómo el mismo elemento puede ser, a la vez, una puerta de acceso para los atacantes o una primera línea de defensa eficaz. En Veeam lo invitamos a echar un vistazo a sus passwords: sino tienen una complejidad y extensión acorde a los tiempos actuales, si usa la misma contraseña para diferentes aplicaciones, si no las ha cambiado recientemente, éste es el día para poner atención y hacer los cambios necesarios. Recuerde que esto aplica,por supuesto, para sus cuentas personales, pero también para aportar a mantener la seguridad de la empresa donde trabaja.
