Los revuelos que ha conocido la web, tras el hackeo sufrido por varias celebrities de Hollywood o, más recientemente, la filtración de millones de contraseñas de Gmail, han dejado en entredicho la seguridad de los sistemas de almacenamiento y vuelto a poner de relieve la importancia de adoptar medidas para proteger los datos personales en la Red. Pero, ¿qué pasa con los ataques dirigidos a grandes compañías en los que los ciberdelicuentes consiguen tener acceso a información privilegiada? ¿Cómo pueden las empresas prevenir estos riesgos?
Si la fiabilidad de los proveedores de almacenamiento en la Red es clave para no sufrir ataques, las buenas prácticas por parte de las empresas son igualmente primordiales, como explica Francisco José Mateos de Vector ITC Group: “No preguntes qué puede hacer tu proveedor por tu seguridad; sino qué puedes hacer tú, como empresa, por tu propia seguridad y la de tus empleados”. Y añade: “En el ámbito laboral gestionamos más contraseñas de las que pensamos, para el correo, la intranet corporativa, el acceso al sistema, a las bases de datos, la wiki o otras numerosas herramientas. Y cuantas más contraseñas, mayor riesgo y mayor necesidad de asegurarse que son altamente seguras”.
Para minimizar el riesgo de que una empresa sufra ataques y complicar la tarea de los ciberdelincuentes, Vector ITC Group enumera 9 consejos a seguir:
- Informar periódicamente la plantilla
Las compañías deben instaurar ciclos de formación sobre las medidas que deben seguir los empleados para gestionar sus contraseñas en su trabajo diario.
- Crear una política que obligue a generar contraseñas robustas
Para ser considerada “fuerte”, una contraseña debe reunir ciertas características:
- Tener al menos 8 caracteres
- Alternar letras mayúsculas y minúsculas
- Usar números y caracteres no alfanuméricos
- No utilizar palabras del diccionario
- No estar relacionada con la vida, los gustos o hobbies
- No usar fechas de cumpleaños, aniversarios, etc.
- Instaurar la costumbre de cambiar las contraseñas cada cierto tiempo
Para una mayor seguridad, es recomendable que todos los colaboradores de la empresa cambien sus contraseñas cada 3 ó 6 meses.
- Cifrar todas las contraseñas de los empleados con un algoritmo robusto
- Nunca almacenar las contraseñas de los empleados, usar en su lugar un hash
- Crear un segundo factor de autenticación para los empleados
El segundo factor de autenticación funciona de forma que al introducir un usuario y una contraseña, el servicio al que se está accediendo envía un token a un dispositivo (normalmente el móvil) y pide que se introduzca el código que se ha enviado. De esta manera, se autentica mejor al usuario, ya que un atacante tendría que vulnerar el dispositivo para obtener el token, además de averiguar el usuario y la contraseña.
- Permitir que los empleados puedan escribir su propia pregunta personalizada en un sistema de preguntas recordatorio para reseteo de contraseñas
Esta medida de seguridad se ha convertido en una vía más de ataque a la cuenta objetivo. Consiste en unas preguntas que se deben responder con la respuesta que se introdujo al dar de alta la cuenta para recuperar el control de la misma al olvidar la contraseña. Una buena solución para no sufrir ataques y que la respuesta no sea demasiado fácil de encontrar es no contestar con lógica y previsibilidad. Por ejemplo, si la pregunta es “apellido de soltera de tu madre”, la respuesta debería ser cualquiera menos esa: una palabra clave, una dirección de correo o una contraseña antigua. El objetivo es que un atacante no pueda usar información personal recopilada de Internet para adivinar la respuesta.
- Cambiar las contraseñas por defecto de todas las aplicaciones que use la empresa
Al igual que es primordial cambiar de forma regular las contraseñas personales de los empleados, las de todas las aplicaciones y herramientas utilizadas en la empresa también han de ser actualizadas.
- Investigar la seguridad de los servicios que quieran usar los empleados para su trabajo y elegir el más seguro.
Unas simples observaciones permiten evaluar el grado de fiabilidad de un servicio en Internet:
- ¿La página del servicio exige una contraseña robusta?
- ¿Usa HTTPS? La famosa S después de HTTP implica una conexión cifrada y no enviar datos en claro.
- ¿Tiene un segundo factor de autenticación?
- ¿Tiene límite de reintentos?
- ¿Se bloquea la cuenta cuando se supera el límite de reintentos?
- Para desbloquear una cuenta, ¿se envía un email? ¿Este email viene con la contraseña en claro o es un enlace para introducir una nueva contraseña?
- ¿Tiene preguntas recordatorio que permiten introducir manualmente la respuesta o sólo permite escoger entre una serie de valores prefijados?
- ¿Permite configurar una dirección de email a la cual se enviarán los emails de reseteo de contraseña en caso de olvidar la contraseña?
Todas estas consideraciones están supeditadas a la importancia de la información a proteger, ya que obviamente, no es lo mismo proteger el acceso a la web de nóminas de los empleados que el acceso a una web con contenido estático y meramente informativo.
La lista es larga, pero siguiendo esta serie de recomendaciones se puede reducir el riesgo y asegurar las credenciales de los empleados así como de los servicios y aplicaciones que utilizan en la empresa.