Ataques de contraseñas: como combatirlos efectivamente

“Trate su contraseña como su cepillo de dientes. No deje que nadie lo use, y consiga uno nuevo cada seis meses”. – Clifford Stoll, astrónomo e ingeniero

Estamos en 2022: ¿las contraseñas siguen siendo relevantes hoy en día?

La tecnología va a toda velocidad. La seguridad informática ha evolucionado mucho en los últimos años: las normas de seguridad, la inteligencia de los dispositivos, la autenticación biométrica y las mejores prácticas de seguridad. Pero hay algo que nunca ha perdido su importancia: la contraseña.

Las contraseñas siguen sindo el medio más sencillo y efectivo para proteger el acceso a los datos, las cuentas privilegiadas o la mayoría de los recursos digitales. Las contraseñas nunca pasan de moda porque son fáciles de usar, fáciles de cambiar si es necesario, rentables y no exigen software o hardware adicional para funcionar.

Donde hay contraseñas, hay ataques a las contraseñas

Las contraseñas, al ser fundamentales en la seguridad de la identidad, también son propensas a numerosos ataques de seguridad. Un ataque a la contraseña se produce cuando un actor de la amenaza intenta obtener acceso ilícito a un recurso que está protegido por una contraseña, ya sea descifrando, adivinando o robando la contraseña de forma maliciosa.

Proteger las contraseñas contra los ataques no es ninguna broma, teniendo en cuenta los diversos géneros de ataques a las contraseñas que los hackers dominan.

Un blog sobre violaciones de la seguridad de datos de The Data Administration Newsletter afirma que los hackers roban una media de 75 registros cada segundo. Estos son algunos de los ataques a las contraseñas más frecuentes:

∙ Phishing: Los atacantes envían correos electrónicos o mensajes fraudulentos que convencen a los usuarios para que hagan clic en enlaces disfrazados pero maliciosos que extraen las contraseñas.

∙ Ataque de fuerza bruta: Este método de prueba y error consiste en que los actores de la amenaza prueben muchas contraseñas para obtener acceso a un recurso. La adivinación de contraseñas, la pulverización de contraseñas, el ataque de diccionario y el relleno de credenciales son algunos de los tipos más comunes.

∙ Ataque con Keylogger: Los atacantes utilizan un malware de registro de teclas que supervisa todas las pulsaciones de un usuario para obtener su contraseña.

∙ Ataque Man-in-the-middle: Como su nombre indica, en este ataque los hackers se sitúan entre un usuario y un sitio web al que éste intenta acceder. Se disfrazan como el sitio web legítimo y redirigen a los usuarios a uno fraudulento donde los usuarios son engañados para que proporcionen información sensible.

∙ Ataque de ingeniería social: En este ataque, los hackers manipulan psicológicamente a los usuarios para que revelen información sensible. Intentan crear una sensación de curiosidad, miedo o urgencia en los usuarios a través de interacciones basadas en SMS, correo electrónico o llamadas directas. El phishing es también un tipo de ataque de ingeniería social.

No se preocupe: el poder de mejorar la seguridad de sus contraseñas está en sus manos

Con las medidas adecuadas, puede conseguir una seguridad de la clave impecable y una gran postura de seguridad. Estas medidas de seguridad combaten los ataques a las contraseñas:

∙ Políticas de contraseñas seguras: La aplicación de políticas de contraseñas seguras en su organización ayuda a los empleados a elegir contraseñas que satisfagan los requisitos de contraseñas seguras de varias normativas de cumplimiento.

∙ MFA: La obligatoriedad de la MFA con las contraseñas garantiza que los atacantes no accedan a los recursos aunque hayan robado o hackeado las contraseñas.

∙ Concienciación de los empleados: Educar a los empleados sobre los ataques a las contraseñas y su seguridad es clave para ayudarles a establecer contraseñas seguras, y evitar opciones de contraseñas inadecuadas y fáciles de hackear como “123456” y “Qwerty123”.

ADSelfService Plus puede ayudar a mejorar el perfil de contraseñas de su empresa

ManageEngine ADSelfService Plus es una solución de seguridad de identidades y de confianza cero que ayuda a su organización a aplicar políticas de contraseñas seguras y personalizadas; MFA adaptable; gestión de contraseñas de autoservicio; y mucho más.

El aplicador de políticas de contraseñas (Password Policy Enforcer) de ADSelfService Plus le permite imponer requisitos de contraseñas personalizadas, como exigir el número de caracteres especiales, restringir los caracteres consecutivos de los nombres de usuario o las contraseñas anteriores y restringir las palabras y los patrones de diccionario personalizados.

El analizador de seguridad de contraseñas (Password Strength Analyzer) ayuda a sus usuarios a crear contraseñas seguras mostrando la seguridad de la contraseña durante su creación. ADSelfService Plus también ofrece MFA basado en el contexto con 19 factores de autenticación diferentes para proteger las identidades de los usuarios.

La implementación de ADSelfService Plus ayuda a su organización a cumplir con los estándares de cumplimiento de contraseñas y datos, como el NIST SP 800-63B, el GDPR, PCI DSS y SOX.

Para descubrir más sobre las ofertas de seguridad de identidad de ADSelfService Plus, programe una demostración web gratuita y personalizada con un experto en el producto.