img

Blog

¿Qué falla en la administración de contraseñas en las empresas mexicanas?

| May 07, 2019 |

¿Qué falla en la administración de contraseñas en las empresas mexicanas?


En 2018 tres de cada cinco empresas latinoamericanas sufrieron ataques de seguridad. Según el reporte del último año de la compañía ESET, México ocupa el segundo lugar en detecciones de códigos maliciosos. Este informe también nos indica que una de las amenazas que más se detectó es Win32/HoudRat, malware con alto nivel de propagación, éste cuenta con la capacidad de funcionar como keyloger, robo de información y contraseñas almacenadas en buscadores. Recientemente se dio a conocer en diversos medios la filtración de más de 700 millones de direcciones de correo y más de 20 millones de contraseñas en una carpeta que se dio a conocer como Collection#1. Según el estudio, estas contraseñas proceden de diversos ataques a miles de fuentes a lo largo de varios años. Actualmente es posible validar si alguna de sus cuentas fue comprometida en el sitio Have I Been Pwned.

Al relacionar la información previa, no es de sorprender que algunas de las contraseñas de su organización hayan sido (o en el futuro sean) filtradas en alguna de las colecciones de datos expuestas en la red, la situación es aún más alarmante si consideramos los datos que aún no han sido dados a conocer para el carácter público.

Es prioritario aplicar políticas de concientización a los usuarios finales respecto al correcto uso de contraseñas. Esto va desde erradicar la mala (y obsoleta) práctica de escribir datos de autenticación en post-it o el típico archivo llamado “contraseñas”. Puesto que una vez que alguien obtiene acceso a estos datos, prácticamente tendrán acceso a todas las cuentas que alojemos en ellos. Otro punto importante para considerar es el uso de contraseñas seguras, “123456” fue la contraseña más usada a nivel global en 2018 seguida de “password”. Estas cadenas de caracteres claramente son un mal ejemplo de contraseñas seguras. Si aunamos estos datos al reciclado de contraseñas para diversos servicios en nuestra empresa, entonces realmente debemos preocuparnos por la información alojada en la organización.

Supongamos que el administrador de servidores usa la contraseña con la que accede a su correo corporativo también para ingresar al servidor de base datos. Si en algún momento la contraseña de correo se llega a comprometer, entonces un hacker podría realizar un ataque de Credential Stuffing para obtener acceso a otro sistema y robar información. Lamentablemente, el escenario planteado anteriormente se vive en varias empresas mexicanas. Años atrás, se creía que los ataques informáticos sólo ocurrían a empresas grandes, aquellas consideradas que “valía la pena hackear”.

Sin embargo, actualmente estamos en la época donde invertir en seguridad ya no es un lujo, sino una necesidad de cualquier empresa. Los sistemas de seguridad han avanzado a pasos agigantados. Actualmente, las soluciones de seguridad ya ofrecen valor agregado al cliente, es decir, ya no se limitan a cubrir una sola funcionalidad, sino que se han vuelto multipropósitos. Con ello, ya no hace falta adquirir un producto para cada necesidad a cubrir en la organización.

Tal es el caso de Password Manager Pro, una solución que no sólo se encarga del almacenamiento de contraseñas, sino que también ofrece funcionalidades que facilitaran su gestión, como lo son:

  • Creación de políticas para la compartición de contraseñas entre usuarios.
  • Conexión remota a servidores, estas conexiones pueden ser grabadas y
  • almacenadas para su posterior revisión.
  • Registro completo de historial de conexiones y acceso a recursos.
  • Envío de alertas por correo electrónico.
  • Integración con sistemas de doble factor de autenticación.
  • Aplicación para dispositivos móviles.
  • Complemento (plugin) para su navegador web.
  • Implementación de servicio de alta disponibilidad.
  • La base de datos de la aplicación está cifrada, por lo que no es posible extraer
  • información.
  • Importación de usuarios de Active Directory o LDAP.
  • Creación de roles de acceso a los recursos.

Sea cual sea el sistema de gestión de contraseñas que se elija, es importante implementar alguno. Así evitará que su información sea ofrecida en internet y con ello ser parte de nuevas estadísticas de ataques informáticos.


Articulos relacionados:


Compartir