En los últimos años ha habido un aumento de los delitos cibernéticos y los ataques a empresas de alto perfil. Algunos de estos han resultado en pérdidas por millones de dólares. En algunos casos, las empresas que habían utilizado medidas de seguridad laxas recibieron multas de agencias federales. Pero su empresa puede evitar todo esto con el administrador de contraseñas adecuado.
Cuando la mayoría de las empresas piensan en intentos de piratería informática, a menudo imaginan a piratas informáticos sofisticados que utilizan las últimas tecnologías y técnicas para sondear las redes para encontrarlas y explotarlas.
Pero a menudo, muchas de estas historias de piratería de alto perfil que escuchas en las noticias se logran de una manera mucho más mundana. A menudo, es el simple robo de una contraseña lo que primero le otorga al hacker acceso al sistema.
Otras veces, el hacker simplemente se aprovecha de una contraseña débil. Todos hemos escuchado el consejo de nunca utilizar “contraseña123” como contraseña. Sin embargo, innumerables personas todavía lo hacen, incluso aquellas que desempeñan roles muy sensibles.
Esto significa que las contraseñas y la gestión de contraseñas siguen siendo un tema que las empresas deben tomar en serio para proteger su red y su información.
En este artículo, explicaremos si un administrador de contraseñas puede ayudar a su empresa a mitigar estos riesgos comunes y sí también puede tener otros beneficios que puedan ayudar a que su creación se realice sin problemas.
Conceptos básicos de contraseña
Antes de profundizar más, es importante comprender cuán vulnerables son la mayoría de las contraseñas, incluso dentro de grandes organizaciones con seguridad de IT dedicada.
Estudios recientes han demostrado que más del 80% de las filtraciones y hackeos de datos fueron el resultado de una contraseña robada o comprometida. Entonces, a pesar de la representación hollywoodiense de piratas informáticos sentados detrás de paredes de monitores mirando un sinfín de códigos informáticos, la realidad es muy diferente.
Por supuesto, esto plantea la pregunta de por qué las contraseñas son tan fáciles de comprometer. La respuesta a esa pregunta es bastante simple. Tiene mucho que ver con la naturaleza humana y la conveniencia.
En la siguiente sección, repasaremos los mayores problemas con las contraseñas y por qué son tan vulnerables a los ataques.
Defectos de contraseña
Las contraseñas son defectuosas porque muchas organizaciones permiten a los usuarios seleccionar sus propias contraseñas. Esto significa que los empleados que tal vez no tengan ni idea de seguridad están decidiendo cuál es la mejor contraseña.
Esto también significa que generalmente eligen una contraseña que facilite su trabajo en lugar de una que proteja los datos.
A continuación se detallan las razones más comunes por las que las contraseñas elegidas por los empleados generalmente no son muy seguras.
Los usuarios en Puerto Rico prefieren contraseñas cortas
Es mucho más fácil recordar una contraseña corta que una larga. Pero cuanto más corta sea la contraseña, más fácil será comprometerla. La mayoría de los programas solicitan una contraseña de una longitud específica antes de aceptar una nueva contraseña de usuario.
Este es un buen primer paso. Pero los usuarios a menudo “hacen trampa” usando su contraseña corta preferida y luego agregando una cadena de números fáciles de adivinar al final.
Por ejemplo, si un usuario desea que la contraseña sea el nombre de su perro para que sea fácil de recordar, puede ingresar “Fido” como contraseña. Pero como la contraseña debe tener 7 caracteres o más, simplemente usarán “Fido123”. Esto no hace que la contraseña sea más segura y ese es el principal problema.
Los usuarios reutilizan contraseñas
El siguiente mayor problema es que hoy en día es casi imposible recordar todas las contraseñas que necesitamos. Prácticamente todos los servicios que utilizamos o con los que interactuamos tienen una contraseña. Si usáramos otras diferentes, necesitaríamos recordar decenas de contraseñas. Algo que no es factible.
En cambio, los usuarios reutilizan las mismas contraseñas en múltiples sistemas. Esto hace que sea fácil de recordar. Pero también significa que si una contraseña se ve comprometida, todos los sistemas con los que interactúa el usuario también se verán comprometidos.
Esto es especialmente cierto si la primera contraseña es para algo como el correo electrónico. Una vez que los piratas informáticos tienen acceso a eso, generalmente pueden encontrar todos los demás sistemas con los que se comunica la persona y probar con la misma contraseña.
Por eso los expertos en seguridad nos dicen que nunca reutilicemos las contraseñas. Pero a pesar de ser un buen consejo, es casi imposible sin un administrador de contraseñas de algún tipo.
Los usuarios tienden a utilizar palabras comunes y combinaciones de números en las contraseñas
Otro problema con las contraseñas está relacionado con el primero. Es el resultado de que los usuarios intentan hacer que sus contraseñas sean más fáciles de recordar.
A menudo utilizarán palabras del diccionario o palabras comunes. Estos son los más fáciles de adivinar mediante ataques de fuerza bruta. Estos son ataques que simplemente adivinan miles de contraseñas hasta que encuentran una que funciona.
Como se mencionó anteriormente, los usuarios a menudo simplemente agregan números secuenciales al final de las palabras. No proporciona ningún beneficio de seguridad adicional.
Las contraseñas nunca deben consistir en palabras únicas, sino siempre en caracteres aleatorios sin patrón. Sin embargo, esto las hace casi imposibles de recordar, razón por la cual la gente rara vez crea contraseñas seguras.
¿La solución a las contraseñas incorrectas? Un administrador de contraseñas
Si una empresa quiere mitigar los riesgos anteriores para las contraseñas, necesita algo que resuelva todos los problemas mencionados. También debe ser seguro, fácil de usar y fácil de administrar para los administradores.
La respuesta para muchas empresas es mediante el uso de un administrador de contraseñas de terceros. Estas herramientas basadas en la nube pueden simplificar los inicios de sesión y promover contraseñas más seguras.
¿Qué es una herramienta de administrador de contraseñas?
Un administrador de contraseñas es una aplicación de software que almacena y cifra todas las contraseñas de un usuario bajo una contraseña maestra.
Puede pensar en un administrador de contraseñas como una bóveda de contraseñas que contiene todas las contraseñas escritas que tiene el usuario. La única forma de acceder a la bóveda es a través de una contraseña maestra muy difícil de descifrar. Esa contraseña maestra o clave maestra es la única que debe guardarse en la memoria o anotarse.
Todas las contraseñas se almacenan con cifrado. Lo que significa que incluso si un pirata informático obtiene acceso al administrador de contraseñas a través de otros medios, las contraseñas que contiene aún deben descifrarse. Resultando en un proceso largo y muchas veces imposible sin que haya otra información presente.
Los administradores de contraseñas están en su mayoría basados en la nube. Lo que significa que la seguridad de las contraseñas está a cargo de la empresa que brinda el servicio, que tiene la experiencia y el personal dedicado para hacerlo. No es necesario instalar un software local en su empresa que luego deba administrarse.
Finalmente, la mayoría de los administradores de contraseñas tienen integraciones con navegadores web y la mayoría de los dispositivos. Por lo general, también tienen características de seguridad adicionales que ayudan a alertar a los usuarios si están realizando acciones que puedan comprometer la seguridad.
También ayudan al visitar diferentes sitios, ya que el administrador de contraseñas completará automáticamente las credenciales de inicio de sesión.
Beneficios de un administrador de contraseñas en Puerto Rico
¿Valen la pena los administradores de contraseñas? A continuación, repasamos algunos de los beneficios clave de usar un administrador de contraseñas, lo que demuestra que valen la pena para la mayoría de las organizaciones enfocadas en mejorar la administración de contraseñas de la fuerza laboral.
Sólo una contraseña para recordar
Este es el principal beneficio de un administrador de contraseñas para los usuarios y está vinculado a todos los demás beneficios. Al centrarse en una sola contraseña, esa contraseña puede ser extremadamente segura.
Por ejemplo, una contraseña segura típica puede tardar más de 500 años hasta que un ataque de fuerza bruta la adivine correctamente. Por el contrario, una contraseña de usuario típica de baja seguridad con simples sustituciones de números y letras tardaría unos 3 días en descifrarse al mismo ritmo.
Esto significa que, básicamente, todos los empleados tienen una contraseña altamente segura, incluso si no tienen conocimientos de seguridad o de cómo crear contraseñas seguras. Para las grandes empresas, se necesita una solución de gestión de contraseñas empresariales para mantener las mejores prácticas de contraseñas adecuadas.
Eficiencia
Otro beneficio para los empleados es que un administrador de contraseñas acelera enormemente su flujo de trabajo, lo que los hace más productivos y menos atascados por tareas repetitivas.
Al utilizar un administrador de contraseñas que se integra con su navegador web o dispositivo, pueden migrar fácilmente entre cuentas o aplicaciones en línea que necesitan contraseñas. El administrador de contraseñas proporciona automáticamente su nombre de usuario y contraseña.
Esto es ideal para los empleados que a menudo tienen que acceder a varios sistemas seguros con contraseñas independientes cuando trabajan en una sola tarea. Algo que es muy común con el trabajo remoto.
Seguridad profesional
Delegar la seguridad a una empresa dedicada evita que su empresa tenga que mantener personal o empleados dedicados para tales fines. Eso no significa que estos administradores de contraseñas no puedan seguir cometiendo errores, pero tienen más recursos y experiencia que una empresa que intenta administrar su propia seguridad.
Generalmente, es mejor dejar que los profesionales administren la mayor cantidad posible de su seguridad si no tiene los recursos para administrarla localmente.
Analítica
Los administradores de contraseñas también permiten el seguimiento de varios inicios de sesión en su red. Esto es importante para mantener registros en caso de que ocurra una infracción. También le permite encontrar áreas con problemas o incluso sistemas en los que nadie inicia sesión. Es decir, es posible que esos sistemas no sean necesarios.
Los sistemas heredados que rara vez se utilizan a menudo tampoco se actualizan. Esto los convierte en objetivos principales para los piratas informáticos, lo que puede crear otro problema de seguridad.
Menos tiempo de inactividad
Cuando los usuarios olvidan sus contraseñas, puede interrumpir el trabajo y provocar tiempo de inactividad u otros problemas. Si una empresa tiene un departamento de IT, estos restablecimientos de contraseña pueden quitarle tiempo a otras tareas de IT más importantes.
Un administrador de contraseñas avanzado alivia muchos de estos problemas, ya que las contraseñas se almacenan de forma segura y el usuario las ingresa automáticamente. Esto significa menos restablecimientos de contraseñas tanto para el usuario como para el personal de IT que normalmente maneja estas solicitudes. Esto incluye incluso aplicaciones agregadas por el usuario que requieren contraseñas.
Cumplimiento de PCI y administrador de contraseñas en Puerto Rico
Si es comerciante y maneja información de tarjetas de crédito, probablemente esté familiarizado con el cumplimiento de PCI.
El cumplimiento de PCI DSS es un conjunto de pautas que los comerciantes y proveedores de servicios deben seguir para garantizar la seguridad de los datos de los clientes.
Parte de este cumplimiento de PCI DSS es utilizar las mejores prácticas de contraseñas en todo momento. Una de las formas más sencillas de lograrlo es a través de un administrador de contraseñas.
Al configurar un administrador de contraseñas, las empresas aumentan inmediatamente su seguridad y ahora es mucho más fácil para todos los empleados y sistemas cumplir con PCI al crear contraseñas e iniciar sesión en varios sistemas que contienen información de facturación de los clientes.
Desventajas de un administrador de contraseñas
No existe la seguridad perfecta. Cualquier sistema de seguridad puede verse comprometido o pirateado. Los administradores de contraseñas no son diferentes, pero esto no significa que no sean seguros.
Hack de último paso
Quizás esté familiarizado con el administrador de contraseñas conocido como Last Pass, que fue uno de los administradores de contraseñas líderes. Sufrió un ataque en 2022 en el que un pirata informático obtuvo acceso a todas las bóvedas de contraseñas de más de 30 millones de usuarios.
Se trató de una infracción grave y el daño causado a Last Pass aún continúa. Sin embargo, incluso en el peor de los casos, las bóvedas de contraseñas únicas todavía estaban cifradas. Por lo tanto, los piratas informáticos aún necesitaban dar un paso adicional: descifrar las contraseñas seguras de la bóveda o encontrar la contraseña maestra de los usuarios.
A menos que el pirata informático tuviera acceso directo a su contraseña maestra, su bóveda de contraseñas seguiría siendo segura a menos que los piratas informáticos utilizan un ataque de fuerza bruta y adivinaran la contraseña. Sin embargo, dados los requisitos de la contraseña maestra, esto llevaría años con las velocidades actuales de las computadoras.
Entonces, incluso en el peor de los casos, las contraseñas seguían siendo seguras siempre que los usuarios mantuvieran correctamente su contraseña maestra. Aún tendrían que pasar por el proceso de cambiar todas sus contraseñas para volver a estar totalmente seguros. Esto lleva tiempo, pero no habrá pérdida ni violación de datos para los usuarios.
Esto no pretende endulzar los problemas de Last Pass. La infracción fue un problema grave y los usuarios deberían buscar un nuevo administrador de contraseñas y pasar por el proceso de cambiar todas sus contraseñas. Pero las medidas de seguridad funcionaron suponiendo que los usuarios crearán una contraseña maestra aleatoria adecuada.
Entonces, si bien las violaciones de datos pueden ocurrir incluso en las empresas de seguridad más profesionales, las empresas regulares deben operar según las mejores prácticas que les brinden la menor probabilidad de sufrir una violación de datos. Según ese cálculo, usar un administrador de contraseñas sigue siendo la mejor opción.
Aún puedes limitar la responsabilidad con el administrador de contraseñas adecuado
Si su empresa alguna vez sufre una violación de datos, es posible que pueda limitar su responsabilidad si puede demostrar que estaba utilizando medidas de seguridad estándar de la industria. Si, por otro lado, se puede demostrar que estaba utilizando una seguridad de contraseña poco estricta, eso puede exponer a su empresa a demandas por negligencia grave.
Para casi todas las empresas, seguir las mejores prácticas estándar de la industria, como el uso de un administrador de contraseñas empresariales basado en seguridad, generalmente reducirá su responsabilidad si ocurre un incidente como una violación de datos.
¿Qué tiene que buscar en un administrador de contraseñas para su empresa en Puerto Rico?
A continuación se ofrecen algunos consejos que le ayudarán a elegir un administrador de contraseñas para su empresa que sea seguro y fácil de usar para sus empleados.
Utilice MFA (autenticación multifactor)
Asegúrese de elegir un administrador que permita la autorización de múltiples factores. Esto significa que puede utilizar un dispositivo secundario para confirmar su identidad además de su contraseña. La mejor versión de estos utiliza una aplicación de autorización como Authy en lugar de solo SMS.
Nube o local
Esto se relaciona con dónde se almacenan sus contraseñas. Usar un servicio en la nube es generalmente lo más fácil, pero algunos administradores le permiten almacenar contraseñas localmente si lo prefiere o si simplemente no es necesario el almacenamiento en la nube.
Compatibilidad
Verifique que el administrador de contraseñas que elija sea compatible con sus dispositivos, software y flujos de trabajo.
Por ejemplo, si eres una empresa de diseño que utiliza computadoras Mac, deberás asegurarte de que ofrezcan compatibilidad con MacOS.
Esto también se aplica a todos los dispositivos. La mayoría de las plataformas son compatibles con Android e iOS, pero es importante comprobarlo antes de comprometerse.
Soporte del navegador
Su empresa solo puede utilizar un navegador específico, como Chrome o Microsoft Edge. Si desea un administrador de contraseñas que tenga una extensión de navegador, asegúrese de que funcione con el navegador que utiliza su empresa.
Algunos administradores de contraseñas sólo funcionan con Chrome o Firefox. Por eso es importante ver qué navegadores admiten el administrador antes de elegir.
Características adicionales
La mayoría de los administradores de contraseñas pagos ofrecen funciones adicionales además del almacenamiento simple de contraseñas. Algunos de estos pueden ser útiles para algunas empresas, pero es posible que otros no los utilicen.
Si no necesita funciones adicionales, elija un nivel pago sin esas funciones. Si el administrador de contraseñas no le permite excluir las funciones adicionales, quizás elija una opción diferente si el ahorro de costos es importante para usted.
Elegir opciones pagas o gratuitas
Existen varios administradores de contraseñas gratuitos que pueden resultar útiles. Pero para la mayoría de situaciones comerciales, la mejor opción será una versión paga de una empresa respetada.
No querrás escatimar en seguridad y el software gratuito a menudo puede dejar de ser compatible sin previo aviso.
Ayuda con pagos en línea y seguridad en Puerto Rico
Al aceptar pagos en línea, la seguridad en línea debe ser una de las principales preocupaciones para evitar costosas filtraciones de datos y la posible pérdida de su cuenta comercial.
Si necesita una solución de cuenta mercantil con las opciones más seguras, comuníquese con ECS Payments. Nuestro equipo interno de expertos en seguridad y soporte puede ayudar a mantener el cumplimiento de PCI y utilizar todas las herramientas necesarias para garantizar la máxima seguridad.
Comuníquese con el departamento de ventas de ECS Payments hoy para obtener más información sobre el cumplimiento de PCI y el procesamiento seguro de pagos.