¿Alguna vez has usado la contraseña 123456? ¿O tal vez qwerty123 o password"? Porque estas fueron las contraseñas más utilizadas por los mexicanos en 2024, según una encuesta de NordPass. Son fáciles de recordar, y aún más fáciles de descubrir para un ciberdelincuente: tardan menos de un segundo.
Afortunadamente, muchas personas ya reconocen la necesidad de crear contraseñas seguras, reuniendo letras, números y caracteres especiales, y también contemplan evitar cumpleaños, números de documento y apellidos. Sin embargo, muchos las reutilizan en varios sitios o aplicaciones o poner contraseñas que parecen complejas, pero son fáciles de adivinar como Passw0rd o P@ssw0rd... Incluso una contraseña segura, sigue siendo insuficiente para mantener sus datos protegidos.
Hoy en día, muchas aplicaciones y sitios web requieren un segundo factor de validación además de la contraseña, por ejemplo, un código enviado por correo electrónico o datos biométricos. El uso de múltiples factores para validar la identidad se conoce como MFA (Multi-Factor-Authentication) y aporta una capa adicional de protección al acceso. MFA combina "algo que sabes", que es la contraseña, "algo que tienes", como el acceso a un teléfono móvil, correo electrónico o dispositivo, para proteger los datos de forma más segura y “algo que eres” cuando se
Adoptar MFA es una práctica muy recomendable para los usuarios físicos y más aún para las empresas. El robo o fuga de credenciales de acceso genera pérdidas millonarias para el sector privado y las organizaciones públicas cada año en Latinoamérica, y muchos de estos casos – alrededor del 90% de ellos, en mi experiencia – podrían haberse evitado con la correcta implementación de características básicas de seguridad.
La ciberdelincuencia es una de las mayores amenazas mundiales, y fechas como el Día Mundial de la Contraseña son relevantes para crear conciencia sobre el tema. Es fundamental que las empresas y organizaciones, incluso las pequeñas, vean la ciberseguridad como una prioridad y compartan información de forma preventiva para la alerta y educación de los usuarios. Gran parte del trabajo de seguridad digital tiene como objetivo que las personas reconozcan los riesgos, las consecuencias y entiendan cómo y a quién informar cuando sospechan algo. Desarrollar una mentalidad de responsabilidad en materia de seguridad en cada uno de los empleados es una de las medidas de protección de datos más efectivas que puede tomar una organización.
Es importante destacar que existen numerosos mecanismos para capturar contraseñas, tales como programas maliciosos que capturan todo lo que uno escribe (keyloggers), programas que se copian entre otras cosas las contraseñas almacenadas en navegadores, y dispositivos que capturan lo que circula por las redes, el MFA nos protege aun cuando nos hayan robado la contraseña.
Almacenar datos en la nube es más seguro que en sus propios centros de datos y, por esta razón, los usuarios a menudo se "relajan" e imaginan que todo está bien haga lo que haga. Sin embargo, es necesario recordar que la seguridad es una responsabilidad compartida. El usuario como dueño del dato es quien define quién puede acceder a los mismos y los requisitos con los que validaran a sus usuarios. Los principales proveedores de nube ofrecen MFA sin coste adicional y algunos incluso exigen su adopción por parte de los usuarios administrativos, como hace Amazon Web Services (AWS).
Existen otras características de seguridad para aumentar el nivel de control de acceso de los usuarios y la protección de los datos almacenados en la nube disponibles para los clientes. En la nube con el servicio de Gestión de Identidades y Accesos (IAM), por ejemplo, las empresas pueden gestionar los permisos de quién tiene acceso a qué recurso, carpeta, documento, etc. Al permitir el acceso mínimo solo a quienes realmente lo necesitan, aumentan el nivel de seguridad de esa información.
Definir los criterios y límites de la seguridad digital es cada vez más complejo, por lo que las inversiones en medidas de protección continúan en una curva ascendente. Sin embargo, la tecnología será inútil si la única barrera entre los datos y el adversario es 123456. Implementen políticas robustas de contraseñas y MFA.
La imagen que ilustra este post fue creada con Amazon Nova