:format(avif))
:format(avif))
Un asombroso 20 % de las contraseñas corporativas son el nombre de la empresa o una pequeña variación del mismo. Es el equivalente en seguridad analógica a dejar la puerta de la oficina abierta por la noche.
Índice:
- ¿Qué es una política de contraseñas?
- ¿Por qué necesitas una política de contraseñas?
- Cumplimiento de la ciberseguridad y política de contraseñas: prácticas recomendadas
- Política de contraseñas del NIST
- Recomendaciones sobre contraseñas
- Por qué las políticas de contraseñas (por sí solas) están condenadas al fracaso
- Política de contraseñas de Active Directory
- Cómo establecer una política de contraseñas que funcione
Aunque esta información pueda ser nueva para ti, no lo es para los ciberdelincuentes. Las contraseñas débiles y reutilizadas son una puerta de acceso fiable a los datos confidenciales de las empresas. Según el tipo de ciberataque, hasta el 80 % de las filtraciones de datos que se producen con éxito pueden atribuirse a credenciales débiles o robadas.
Por eso, podrías plantearte aplicar una política de contraseñas para animar a tu equipo a utilizar contraseñas más seguras. Pero, ¿cómo crear una política que funcione y qué debe incluir? Hoy hablaremos de las prácticas recomendadas en materia de políticas de contraseñas.
¿Qué es una política de contraseñas?
En primer lugar, hablemos de las políticas de contraseñas y de cómo funcionan. Una política de contraseñas es un conjunto de normas que informa a un equipo sobre cómo tomar decisiones relativas al uso y la gestión de contraseñas. Estos requisitos de la política de contraseñas pueden variar ligeramente en función de las necesidades de la empresa, pero su objetivo es mejorar la ciberseguridad mediante la prevención de ciberataques debidos a contraseñas débiles y reutilizadas.
Establecer una política de contraseñas suele significar establecer convenciones en torno a las contraseñas que dificulten su hackeo. Las políticas de contraseñas también se pueden referir a las normas y directrices sobre el establecimiento de contraseñas a nivel interno. Esto proporciona a las empresas un control administrativo sobre qué criterios de contraseña puede aceptar un sistema desarrollado internamente.
Los criterios para una política corporativa de contraseñas incluyen una longitud de contraseña recomendada (que tiene que ser de un mínimo de 12 o 14 caracteres), el uso de combinaciones aleatorias mixtas de letras, números y caracteres especiales, y la frecuencia de las actualizaciones obligatorias de las contraseñas.
Las organizaciones pueden utilizar sistemas centralizados de gestión de contraseñas para detectar que todos los empleados cumplen los requisitos de la política de contraseñas y obligarles a actualizar sus credenciales. Aplicar estas políticas de forma automática facilita la tarea de garantizar que todos los empleados siguen las directrices a la hora de crear contraseñas para cuentas o software externos relacionados con el trabajo, como Outlook, Google Workspace o Zoom.
¿Por qué necesitas una política de contraseñas?
Para entender la necesidad de una política de contraseñas, consideremos la alternativa: cómo se suele tratar la gestión de contraseñas en un entorno corporativo.
Las contraseñas débiles son la norma (desafortunadamente)
Sin la orientación de una política de seguridad de contraseñas, los empleados caen fácilmente en el hábito de utilizar contraseñas débiles que pueden ser descifradas con un mínimo esfuerzo. Por ejemplo, «contraseña» es de lo más débil y, sin embargo, está entre los 5 primeras de la lista de 2024 de las 200 contraseñas más comunes del mundo. Aunque los hackers apenas tardarían una fracción de segundo en descifrarla, sigue siendo utilizada por millones de cuentas en todo el mundo.
Si crees que los internautas adoptan un comportamiento más seguro a la hora de crear credenciales corporativas, un estudio de empresas de Fortune 500 que han sufrido filtraciones ha demostrado que esto dista mucho de ser así.
Contraseñas predecibles como «123456» figuran entre las más elegidas, y otras como «abc123» y «sunshine» se cuelan entre las 10 primeras por sector. Como ya se ha mencionado, el nombre de la empresa también es una opción habitual. En general, el porcentaje de contraseñas únicas fue solo del 31 % en todos los sectores, por no hablar de la fuerza de las contraseñas únicas.
En general, el porcentaje de contraseñas únicas fue solo del 31 % en todos los sectores, por no hablar de la fuerza de las contraseñas únicas.
Un estudio diferente de las credenciales de los directivos, propietarios y altos ejecutivos demostró que ni siquiera los miembros del equipo de liderazgo son mejores a la hora de utilizar contraseñas seguras y sólidas. Obviamente, las contraseñas débiles, que se deben evitar a toda costa, son la norma en muchos entornos de trabajo y en empleados de todos los niveles.
Las contraseñas débiles representan una enorme vulnerabilidad cibernética
Como ya hemos comprobado, las contraseñas débiles pueden hackearse en menos de un segundo. No es de extrañar que el informe de Verizon sobre investigación de filtraciones de datos haya demostrado que las credenciales están implicadas en cerca del 50 % de todas las filtraciones, es decir, más del doble que los ataques de phishing.
Para empeorar las cosas, el uso de contraseñas débiles se combina normalmente con una mala higiene de las contraseñas. Los pecados más comunes en materia de higiene de contraseñas son almacenarlas en lugares inseguros y reutilizar las mismas contraseñas para varias cuentas.
Las contraseñas escritas en notas adhesivas, guardadas en el escritorio o compartidas en hojas de cálculo de Excel son ejemplos especialmente atroces de almacenamiento inadecuado de contraseñas. Una contraseña escrita a la vista de todos es algo demasiado atractivo para un intruso en tu espacio de trabajo. Y para los ciberdelincuentes que han conseguido acceder a la red informática de la empresa, las listas de contraseñas sin cifrar almacenadas en documentos sin conexión son una presa fácil.
Como podrás comprobar, una mala higiene de las contraseñas puede hacer fracasar incluso la contraseña más larga y segura, por lo que una buena política de contraseñas debe tener en cuenta ambos aspectos.
Cumplimiento de la ciberseguridad y política de contraseñas: prácticas recomendadas
Aunque las contraseñas suelen ser la primera línea de defensa en la infraestructura de ciberseguridad de las empresas, las cifras demuestran que los empleados no se lo toman tan en serio. Una forma de garantizar que la seguridad de la empresa no se vea comprometida por credenciales robadas es incluir y aplicar una política de contraseñas en la infraestructura de ciberseguridad.
Establecer una política de contraseñas también ayuda a las organizaciones a cumplir la normativa de ciberseguridad. Existen diferentes guías sobre políticas de contraseñas para ayudar a las empresas a cumplir las normas exigidas y mantener seguros los datos de empleados y clientes.
Guía de política de contraseñas del CIS
El Centro para la seguridad de Internet (CIS) es una organización sin ánimo de lucro cuya misión es proteger a las organizaciones contra las ciberamenazas. Publica recomendaciones que, si se siguen, mejorarán la postura de las empresas en materia de ciberseguridad.
La política de contraseñas del CIS Esta guía ofrece 2 niveles de recomendaciones de contraseñas: uno cuando las contraseñas son el único método de autenticación, y otro cuando las contraseñas son solo uno de los varios métodos de autenticación.
| Elementos | Autenticación solo con contraseña | Autenticación multifactor (MFA) |
|---|---|---|
| Más de 14 caracteres | Más de 8 caracteres | |
| Requiere al menos 1 carácter no alfabético | Ningún requerimiento de complejidad | |
| Frecuencia de cambio: cuando se produce un acontecimiento, como la rotación de personal o una filtración de datos. En caso contrario, cambia la contraseña una vez al año. | Frecuencia de cambio: cuando se produce un acontecimiento, como la rotación de personal o una filtración de datos. En caso contrario, cambia la contraseña una vez al año. |
La lógica es que las contraseñas deben ser más fuertes cuando son la única medida entre un ciberdelincuente y tus cuentas.
Norma de Seguridad de la HIPAA
Las HIPAA Normas de seguridad para la protección de la Información sanitaria electrónica protegida (la Norma de Seguridad) establece una norma para proteger la información sanitaria electrónica protegida (ePHI).
La Norma de Seguridad establece que las organizaciones sanitarias deben seguir unos principios básicos de seguridad de la información. En otras palabras, la «confidencialidad, integridad y disponibilidad de toda la e-PHI» se debe mantener para todos los datos de salud protegidos creados, almacenados o compartidos por la organización.
La defensa de estos principios implica la protección frente a amenazas o filtraciones previstas. Aunque la Norma de Seguridad no define protocolos específicos de contraseñas, muchos requisitos implican políticas adecuadas de contraseñas y su higiene basadas en protecciones administrativas y técnicas.
En principio, la Norma de Seguridad se puede cumplir siguiendo las prácticas recomendadas acordadas en materia de ciberseguridad y seguridad de la información, que, inevitablemente, implican una sólida política de contraseñas.
Las directrices sobre las contraseñas de PCI-DSS
El Estándar de seguridad de datos del sector del pago con tarjeta (PCI DSS) es una norma de seguridad mundial que se aplica a todas las entidades que procesan, almacenan o transmiten información personal y de pago. Al igual que la Norma de Seguridad de la HIPAA y los Controles CIS, refleja las prácticas recomendadas de ciberseguridad que mitigan el riesgo cibernético y protegen los datos. El PCI DSS consta de 12 requisitos, pero nos centraremos en dos que están estrechamente relacionados con las políticas de contraseñas.
El requisito 2 de la norma estipula que las empresas deben cambiar todas las contraseñas predeterminadas del sistema por otras nuevas y más seguras. No hacerlo, afirma el documento, equivale a «dejar tu tienda físicamente abierta cuando te vas a casa a por la noche».
El requisito 8 es «identificar y autenticar el acceso a los componentes del sistema». Se recomienda el uso de contraseñas seguras y autenticación multifactor como medidas esenciales para proteger los datos de los titulares de tarjetas.
Aumenta tu seguridad online
Identifica las filtraciones antes de que perjudiquen a tu empresa
Política de contraseñas del NIST
El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia federal estadounidense que se ha convertido en una importante autoridad en materia de directrices sobre contraseñas. La La Política de contraseñas del NIST ofrece varias recomendaciones para crear contraseñas seguras y gestionarlas de forma segura. A diferencia de los consejos tradicionales, el NIST se centra en políticas fáciles de aplicar, manteniendo al mismo tiempo una seguridad sólida.
Por ejemplo, el NIST recomienda permitir contraseñas más largas (de hasta 64 caracteres), admitir un conjunto de caracteres diverso (incluidos espacios y emojis) y eliminar los cambios periódicos de contraseña a menos que haya evidencias de peligro.
En resumen, el NIST fomenta la creación de frases únicas y fáciles de recordar en lugar de combinaciones alfanuméricas complejas y difíciles de recordar. Sus directrices insisten además en la necesidad de la autenticación multifactor como capa adicional de seguridad y desaconsejan la práctica de las sugerencias de contraseña y las preguntas de autenticación basadas en el conocimiento (como el nombre de tu primera mascota), que pueden ser fácilmente explotadas.
El enfoque global del NIST sobre la seguridad de las contraseñas pone de manifiesto su compromiso de equilibrar la experiencia del usuario con una sólida protección de los datos. Por eso sus normas se adoptan ampliamente en todos los sectores del mundo.
ISO/IEC 27001
La Organización Internacional de Normalización/Comisión Electrotécnica Internacional 27001 (ISO/IEC 27001) es una certificación voluntaria sobre seguridad de la información, ciberseguridad y protección de la privacidad.
El anexo A es uno de los más conocidos de la norma ISO. Incluye recomendaciones que refuerzan la seguridad de los datos. Más concretamente, la sección A.9 se refiere al control de acceso, donde encontrarás directrices para la gestión de contraseñas.
Para proteger la confidencialidad de los datos sensibles, las directrices de la ISO recomiendan «contraseñas seguras» y un «sistema de gestión de contraseñas», además de la autenticación multifactor.
Recomendaciones sobre contraseñas
Todas las normas de ciberseguridad conocidas recomiendan utilizar contraseñas seguras y una buena gestión o higiene de contraseñas. Pero, ¿qué significa eso exactamente?
Contraseñas seguras
Establecer una sólida política de contraseñas ayuda a dificultar el trabajo de los hackers. Las siguientes pautas pueden ayudar a crear contraseñas complejas, largas y difíciles de adivinar.
| DEBE incluir | NO DEBE incluir |
|---|---|
Al menos 8 caracteres, se recomienda más | Palabras del diccionario |
Varios caracteres alfanuméricos | El contraseñas más común |
Símbolos | Información personal o empresarial |
Varios tamaños de letra | Los mismos caracteres utilizados dos veces seguidas (por ejemplo, 112233) |
Combinaciones aleatorias de caracteres |
Ten en cuenta que tu política de contraseñas debe estar calibrada por criterios de contraseñas estándar. De lo contrario, acabarás con una política imposible de seguir. Por ejemplo, los expertos en ciberseguridad afirman que las contraseñas más seguras deben permitir el uso de un espacio. Sin embargo, es habitual que los espacios estén prohibidos.
Consejo: Utiliza un generador de contraseñas para obtener contraseñas superfuertes al instante sin poner a prueba tu creatividad.
Buena higiene de las contraseñas
Una buena higiene de las contraseñas también tiene como objetivo mantenerlas fuera del alcance de los intrusos, dificultando su robo y mitigando los daños en caso de que se infrinjan.
| DEBE consistir en | NO DEBE consistir en |
|---|---|
Utilizar contraseñas únicas para cada cuenta | Almacenamiento de contraseñas en texto plano |
Cambiar las contraseñas con regularidad o tras una filtración o rotación de personal | Repetición de contraseñas |
Almacenamiento seguro y cifrado de extremo a extremo | Compartir contraseñas por mensajería instantánea o correo electrónico |
Conservar las contraseñas emitidas por defecto | |
Anotar las contraseñas en un lugar de fácil acceso |
Es mejor que utilices un escáner de filtración de datos para determinar si tus credenciales se han visto comprometidas. Si es así, cámbialas inmediatamente.
Por qué las políticas de contraseñas (por sí solas) están condenadas al fracaso
Hay una razón por la que es tan común utilizar contraseñas débiles y practicar una mala higiene de contraseñas, y no es la falta de concienciación. A estas alturas, pocos de nosotros podemos afirmar que no sabemos que contraseñas como «password» y «123456» suponen una amenaza para la seguridad.
La verdad es que el usuario medio se encuentra en una situación difícil. Ya sabes que debes utilizar contraseñas seguras, especialmente en el trabajo. Pero las mismas características que hacen que las contraseñas sean «buenas» también hacen que sean imposibles de recordar. Si no puedes recordarlas, tienes que guardarlas en algún lugar a mano. Desgraciadamente, ese «lugar a mano» se convierte a menudo en un lugar igual de conveniente para los ciberdelincuentes.
Por eso no es razonable esperar que la redacción de una política sea lo único que necesitas para reforzar la seguridad de las contraseñas de tu empresa. Es probable que los miembros de tu equipo ya conozcan los principios básicos de seguridad, pero carecen de las herramientas para aplicarlos. Además de todo lo anterior, es probable que prioricen la velocidad sobre la seguridad para realizar su trabajo.
Política de contraseñas de Active Directory
Active Directory (AD) es un producto de Microsoft que gestiona usuarios y ordenadores dentro de una red. La política de contraseñas de Active Directory es un conjunto de reglas definidas por los administradores del sistema para regular la creación y el mantenimiento de contraseñas en una organización.
Una política de contraseñas suele incluir directivas como la longitud mínima de la contraseña, los requisitos de complejidad de la contraseña (incluidos caracteres en mayúsculas, minúsculas, numéricos o no alfanuméricos) y la configuración del historial de contraseñas para evitar que los usuarios reutilicen contraseñas antiguas.
Una política también establece la antigüedad máxima de una contraseña, obligando a los usuarios a crear nuevas contraseñas después de un periodo definido. Otras consideraciones podrían incluir políticas de bloqueo de cuentas que restrinjan una cuenta de usuario después de un cierto número de intentos fallidos de inicio de sesión.
AD proporciona dos tipos de políticas de contraseñas: la política de dominio predeterminada y las políticas de contraseñas detalladas. Esta última permite diferentes políticas para diferentes grupos de usuarios dentro del mismo dominio, proporcionando flexibilidad para diferentes requisitos de seguridad.
Cómo establecer una política de contraseñas que funcione
Con NordPass Busines s, puedes establecer una política de contraseñas corporativa a nivel administrativo que puedes aplicar automáticamente, para ofrecer a tu equipo todo el apoyo que necesita para mantener una excelente higiene de contraseñas sin ralentizar el flujo de trabajo.
Con el generador de contraseñas integrado, los usuarios pueden generar contraseñas seguras y guardarlas con la misma rapidez. Cuando es necesario, las contraseñas aparecen automáticamente en los campos de los formularios gracias a la función de autocompletado basada en el aprendizaje automático.
Esto significa que podrás liberar a tu equipo de la carga mental que supone intentar crear y recordar contraseñas complejas. Y desde el punto de vista del almacenamiento, las contraseñas de tu equipo permanecen a salvo en un almacén cifrado ultraseguro de extremo a extremo. Con NordPass, todas las credenciales son de fácil acceso para tu equipo, pero están totalmente fuera del alcance de los intrusos.
Los usuarios pueden compartir de forma cómoda y segura varias contraseñas y otros datos confidenciales almacenados en sus almacenes con otras personas mediante las funciones Grupos y Carpetas compartidas. Pueden establecer un límite de tiempo para el acceso a estas credenciales compartidas y elegir el nivel de acceso para permitir que otros autocompleten, vean o editen las contraseñas.
Mientras tanto, podrás supervisar el progreso de las contraseñas de tu equipo con una panorámica de las métricas de estado de las contraseñas de tu empresa, con un resumen de todas las contraseñas vulnerables (débiles o reutilizadas) que pueden poner en peligro tu ciberseguridad.
No tienes que elegir entre seguridad y comodidad. En su lugar, basta con aplicar una política de contraseñas que funcione con NordPass Business.