De contraseñas seguras a factores de autentificación multifactor: Por qué 123456 no es suficiente

El mes pasado, el estado de California aprobó la propuesta de ley SB-237 Privacidad de la Información: Dispositivos Conectados”. Esta propuesta presenta los requisitos que debe cumplir los dispositivos conectados que se venden en Estados Unidos (cualquier aparato que se conecte bien directa o indirectamente a Internet y que posea una IP o una dirección Bluetooth). Aquí se puede incluir todo, desde ordenadores y tablets a relojes inteligentes y máquinas de café. Es la primea norma de este tipo en USA referente al Internet de las Cosas (IoT). La propuesta ayuda a asegurar los productos frente a ciberataques que toman ventaja de la falta de contraseñas seguras o fáciles de descubrir en dichos dispositivos y lo hace exigiendo a los fabricantes incluir una única contraseña.

Esto no parece que vaya a suponer un cambio de vida y sin embargo el hackeo de contraseñas simples ha estado detrás de importantes incidentes entre los que se incluye el mayor ciberataque de la historia. En 2016 el Bonet Mirai atacó los servidores de la empresa Dyn, que controla la infraestructura DNS. Este Bonet, compuesto por alrededor de 300.000 dispositivos (en su mayoría IoT), lanzó un ataque DDos coordinado involucrando una fuerza de 1.2Tbps. Para hacer esto, Mirai contó con una combinación de 61 nombres de usuarios y contraseñas de dispositivos con contraseñas ordinarias. Contraseñas tales como “1234”, “password”, “admin” o “guest” con las que se pudo acceder a cámara digitales, rúters y otros dispositivos en todo el mundo. Aprovechándose de este poder, Mirai hizo completamente inaccesibles muchas páginas de Internet en Estados Unidos – incluyendo algunas tan populares como Twitter, Amazon y Netflix.

El informe de Verizon de 2018 sobre Investigaciones acerca de Filtración de Datos analizó alrededor de 53.000 incidentes de seguridad y sobre 2.200 filtraciones de datos ocurridas en 65 países de todo el mundo durante ese año. En el informe, los expertos subrayan que el top 5 de incidentes más comunes relacionados con la filtración de datos son: ciberataques DoS, pérdidas de contraseñas, Phising, poner las contraseñas en conocimiento de otros y malwares como Ransomware. Excluyendo los errores como el envío de un email con contraseñas a la persona equivocada) y el phishing (email diseñado como cebo para captar datos personas) las contraseñas sencillas juegan un papel importante dentro de las vulnerabilidades de los sistemas. Además, los datos del Sistema de protección contra intrusiones (IPS) muestran que la fuerza bruta de la contraseña (método de prueba y error donde los delincuentes adivinan la información personal de los usuarios, como las contraseñas o los PIN) es uno de los principales tipos de ataques utilizados por los ciberdelincuentes.

Entonces, ¿qué podemos hacer para proteger nuestros dispositivos y, aún más importante, nuestra información? Primero, tenemos que usar contraseñas más seguras. Una contraseña predeterminada sin cambios puede ser letal, y Mirai es el ejemplo perfecto. Sólo en 2017 se registraron 122 millones de ataques DDos. Y de acuerdo con el informe Wipro de 2018 sobre el Estado de la Ciberseguridad, un 45% de las organizaciones tuvieron que hacer frente a ataques DDoS en 2017. En Segundo lugar, nuestras contraseñas personales deben de ser también fuertes. En este enlace podéis acceder a una lista de las 100 contraseñas que son más vulnerables de poder sufrir un ciberataque. ‘123456’ es muy obvia, pero si piensas que ‘iloveyou’ o ‘zxcvbnm’ son más fuertes párate un segundo y piensa. El siguiente enlace, Have I been Pnewd, nos permite introducir nuestra contraseña y chequear si se ha podido ver comprometida en un ataque de filtración de datos. El total de contraseñas que se ha visto comprometidas hasta el 15 de octubre de 2018 ha sido de 517.238.891.

Sin embargo, cambiar la contraseña y optar por una más compleja combinación de letras o letras y caracteres especiales no es suficiente ente para proteger los sistemas y nuestra información clave. Mientras que puede ser suficiente para evitar el hackeo de nuestro grabador de DVDs no lo es para otro tipo de ataques. Un artículo reciente de la revista Forbes reza lo siguiente: “El estado actual de la ciberseguridad demuestra que estamos en la era de la confianza 0” y estoy de acuerdo. El artículo aboga por un modelo de seguridad de confianza 0 basado en cuatro pilares para autentificar a los usuarios: verificar la identidad de cada usuario (confirmar la identidad del usuario preguntando por algo que el/ella conozca), validar cada dispositivo (asegurar que los dispositivos son de confianza y si no, preguntar por información adicional), limitar el acceso y los privilegios conceder acceso parcial solo para permitir la finalización de un trabajo) y confiar en el aprendizaje automatizado (para analizar el comportamiento de los usuarios).

De acuerdo con el informe de Wipro del que hablábamos antes, 2.7 billones de datos fueron robados sólo 2017, más del doble de lo que se registró en 2016. Esto indica que cada segundo se robaban 88 registros. Según el informe: 1. Los ataques está aumentando, y esto ha sido propulsado por el Internet de las Cosas que ha incrementado el número de aparatos conectados, 2. Los ataques son cada vez más sofisticados, desde el phising al rasomware. 3. Ningún sector está seguro. Desde salud al pequeño comercio pasando por la educación. Por lo tanto, en un momento de mayor vulnerabilidad, probablemente no sea suficiente tener un conjunto de números y letras único y que nunca antes se haya visto comprometido.

Miguel Ángel Lara Otaola

Safe Creative #1811139026675


Aviso Legal y Política de Privacidad

Deja un comentario