La ciberseguridad de las organizaciones descansa en una estrategia que abarca múltiples ámbitos, y uno de los más básicos es el de la gestión de las contraseñas, que protegen frente a accesos no autorizados, ya tengan finalidad maliciosa o no, para resguardar datos sensibles, sistemas críticos y cuentas que, por su nivel de privilegios, si son vulneradas pueden comprometer gravemente la integridad de toda la infraestructura corporativa.
De ahí que una mala gestión de contraseñas pueda derivar en brechas de seguridad graves, traducibles en ataques con consecuencias tan perjudiciales como la interrupción de la continuidad de operaciones, pérdidas económicas, filtración de información confidencial o incluso daños reputacionales difíciles de revertir.
Las peores prácticas en la gestión de contraseñas
Si tuviésemos que resumir las principales prácticas de riesgo en la gestión de passwords, estas serían:
- Contraseñas débiles o fáciles de adivinar.
- Reutilización de contraseñas en distintos servicios.
- Falta de control sobre accesos compartidos.
- Almacenamiento inseguro: hablamos de post-its al alcance de cualquiera o de Excel sin cifrar que se lo ponen muy fácil a los atacantes.
- No revocar contraseñas tras bajas de empleados.
Considerando que un usuario de a pie juega a la ruleta rusa cuando descuida las más elementales normas de seguridad con sus contraseñas, no digamos ya si se trata de una empresa con mucho más que perder poniéndolo así de fácil para un devastador ataque de ransomware, que además ahora al ofrecerse como servicio puede promoverse por cualquiera que desee encargarlo, por más que carezca de la pericia técnica necesaria para ejecutarlo.
Buenas prácticas esenciales en la gestión de contraseñas
En contraposición a las malas prácticas referidas, las recomendadas empezarían con el uso de gestores de contraseñas corporativos. Herramientas que facilitan la creación de passwords fuertes y únicas mediante generadores automáticos integrados, así como también almacenarlas y compartirlas de manera segura con aplicación de cifrado.
1Password Teams, LastPass Business, Bitwarden o Keeper, son gestores de contraseñas corporativas que aplican de serie el ABC de las buenas prácticas en este ámbito. Hablamos de:
- Generar contraseñas robustas y únicas mediante combinaciones de letras, números y caracteres especiales.
- Evitar la reutilización de una misma contraseña en múltiples cuentas o servicios.
- Almacenamiento cifrado de contraseñas, para poner una barrera infranqueable en caso de acceso al repositorio donde se guardan las credenciales.
- Facilitar el acceso compartido seguro entre miembros del equipo, sin revelar directamente las contraseñas.
- Renovar periódicamente las contraseñas, especialmente en cuentas sensibles o con privilegios elevados.
- Aplicar la autenticación en dos factores (2FA) para reforzar la seguridad y proteger accesos críticos.
- Monitorizar y auditar regularmente el uso y acceso a las contraseñas corporativas.
- Revocar accesos inmediatamente en caso de incidentes de seguridad o bajas laborales.
A día de hoy no tiene ningún sentido que se esté extendiendo el uso de gestores de contraseñas entre los usuarios de a pie, con el propio Google Password Manager, y que desde las empresas no se utilicen las versiones disponibles para ellas de este tipo de recursos, con la vista puesta tanto en la seguridad que aportan como en todo lo que facilitan la gestión de este ámbito, al evitar el esfuerzo que supone aplicar las distintas medidas necesarias, pero también lo que conlleva la intervención humana, sujeta siempre a ineficiencias y errores.
Autenticación en dos factores (2FA) y el paradigma Zero Trust
Entre las funcionalidades recién vistas de los gestores de contraseñas corporativos está la autenticación en dos factores, una solución que refuerza mucho la securización en el acceso, pues exige no solo una contraseña (algo que ‘se sabe’) sino además una segunda prueba de identidad, que puede ser algo que ‘se tiene’ como un código enviado al móvil.
De hecho, este sistema es el que ya se utiliza desde para autorizar compras por internet hasta para consultar la devolución de la declaración de la renta, aunque la autenticación en dos factores así planteada también tiene sus vulnerabilidades, por ejemplo, cuando se compromete el acceso al terminal donde se recibe el código cuya posesión complementa el uso de la contraseña.
Traducido al ámbito de la empresa, el riesgo provendría del acceso malicioso in situ o remoto a los endpoints. Para evitar esta amenaza, sería recomendable que a nivel corporativo se aplique la autenticación en dos factores como parte de un modelo general de seguridad Zero Trust,donde toda conexión se considera potencialmente insegura y se requiere autenticación continua, con independencia de si ese acceso se produce desde dentro o fuera de la organización.
De este modo, con este modelo que elimina la confianza apriorística, se refuerza tanto la protección ante amenazas como la gestión operativa de los recursos tecnológicos.
Además, los gestores de contraseñas y Zero Trust son plenamente compatibles y complementarios, ya que mientras que los primeros automatizan la generación, almacenamiento y administración segura de contraseñas robustas, implementando además la autenticación multifactor, el modelo Zero Trust refuerza estos procesos exigiendo una verificación continua, estricta y granular para cada acceso.
Cabe tener en cuenta también que, de hecho, contar con una herramienta automática de gestión de contraseñas facilita la aplicación de un esquema Zero Trust, dado que simplifica mucho la tarea de introducir contraseñas constantemente, haciendo más fluida la experiencia de usuario en el manejo de los sistemas de información y reduciendo, por tanto, las reticencias del personal a la aplicación de políticas estrictas de autenticación continua inherentes al modelo de ‘confianza cero’.
La amenaza cuántica a las contraseñas
Las capacidades cuánticas efectivamente pueden amenazar nuestras contraseñas actuales, como alertan los titulares clickbait de muchos medios, aunque la buena noticia es que la solución al problema puede venir de la mano de la misma tecnología que detona el riesgo, ocurriendo aquí lo mismo que con la IA, que a un tiempo supone una amenaza a la ciberseguridad y un refuerzo. Si bien, se está desarrollando también una criptografía poscuántica con algoritmos clásicos.
Así, por un lado, ya hay un sistema, Quantum Key Distribution, para securizar las contraseñas con recursos cuánticos, y por otra parte actualmente está muy avanzada la creación de nuevos algoritmos resistentes a la computación cuántica, agrupados bajo el concepto de criptografía poscuántica recién referido. De hecho, el NIST (Instituto Nacional de Estándares y Tecnología de Estados Unidos) en un proyecto con colaboración internacional, está estableciendo nuevos estándares de cifrado, capaces de resistir ataques incluso en escenarios con ordenadores cuánticos plenamente funcionales.
Si bien el escenario cuántico aún no es una amenaza inmediata, se considera un riesgo de tipo “store now, decrypt later”, es decir, que los datos cifrados hoy pueden estar siendo almacenados para ser descifrados cuando la capacidad técnica lo permita.
Pero ahora mismo, lo básico para las empresas en lo que respecta a la gestión de sus contraseñas es aplicar buenas prácticas, sirviéndose para ello de todos los recursos disponibles: gestores corporativos, autenticación en dos factores y enfoque de seguridad Zero Trust. Esta combinación no solo refuerza la protección frente a amenazas presentes y futuras, sino que además simplifica la gestión interna, reduce errores y permite conjugar eficiencia y seguridad.
