Las contraseñas son el sistema más utilizado para autentificarnos cuando necesitamos acceder a algún tipo de servicio. Sin embargo, son uno de los principales dolores de cabeza de los profesionales que se encargan de la seguridad de las organizaciones.
Yaestudio
¿Por qué? Sobre todo, por la incapacidad que tenemos de recordar más de tres o cuatro contraseñas complejas. Habitualmente, todos utilizamos esas tres o cuatro contraseñas para acceder a todo: desde redes sociales a servicios bancarios, pasando por los inicios de sesión de nuestros ordenadores.
El problema es que cuando una de nuestras contraseñas ha sido comprometida se ven comprometidos todos los servicios en los que usamos esa contraseña.
Sistemas Gestion de Calidad
Siguiendo unas sencillas pautas, minimizamos enormemente el problema, sin embargo, muy pocas personas las aplican:
- Utilizar una contraseña para cada servicio.
- Utilizar contraseñas complejas, que combinen números, letras (mayúsculas y minúsculas) y caracteres especiales.
- Utilizar contraseñas que no estén vinculadas con datos personales: fechas de nacimiento, nombres de familiares o mascotas, …
- Cambiar con cierta periodicidad esas contraseñas.
- Utilizar dobles factores de autenticación: pines enviados al móvil, tarjetas de coordenadas, … Estos sistemas si solemos usarlos en nuestros accesos a banca online, pero no extendemos su uso a otros servicios.
- Utilizar algún servicio de gestión de contraseñas centralizado.
Por otro lado, el problema de las contraseñas aumenta en el espacio de trabajo. O directamente no las usamos, o todos los compañeros conocen las contraseñas de todos, o las tenemos apuntadas en póst-it pegadas en los monitores, .
Devonn
Si tenemos en cuenta que lo único que necesita un ciberdelincuente para acceder a nuestros sistemas son un nombre de usuario y una contraseña, debemos entender el problema que surge si no gestionamos correctamente las contraseñas en nuestra empresa.
Es más que evidente que el uso de contraseñas no es, ni de lejos, el mejor sistema para asegurar el acceso a los servicios que necesitamos utilizar (más por nuestra culpa que porque el sistema no sea robusto si se usa como se debe) y se está trabajando en encontrar sistemas que sustituyan la necesidad de utilizarlas, como por ejemplo sistemas biométricos, el uso del smatphone, .
Algunos de estos sistemas, ya disponibles, llaman la atención por su originalidad:
El sistema utiliza un Radar Doppler de baja intensidad para medir los latidos de corazón de una persona y luego lo monitorea continuamente para otorgarle acceso a su computadora o a un área restringida.
Podéis ampliar la información desde este enlace: https://goo.gl/m9ZM1L
– PalmSecure ID Login de Fujitsu:
La nueva solución de Fujitsu que lee las venas de la palma de la mano y su oxígeno, es una nueva solución de autenticación biométrica, que ayuda a las organizaciones a proteger sus redes contra el acceso no autorizado, al mismo tiempo que reduce el riesgo de ataques de ciberdelincuentes y suplantadores de identidad.
Podéis ampliar la información desde este enlace: https://goo.gl/WysgTp
En definitiva, debemos tener presente que una buena gestión de las contraseñas reduce la posibilidad de padecer un incidente de seguridad, explicando a los trabajadores la importancia de usar contraseñas seguras y los riesgos que estamos asumiendo al utilizar las contraseñas como lo está haciendo la mayoría hasta la fecha.
Los dispositivos móviles, portátiles que usamos desde hace años, y tablets y smartphones, que usamos desde hace poco para facilitarnos el trabajo en movilidad, son otra de las fuentes de problemas ya que habitualmente no les integramos en nuestras políticas de seguridad.
Gracias a ellos se ha roto el perímetro, que dicen los especialistas en seguridad. Esto hace referencia a que hace unos años con proteger el perímetro de nuestra infraestructura era suficiente. Este perímetro venía definido por nuestros routers por los que nuestros equipos salen hacia el exterior. Sin embargo, hoy día casi hay más dispositivos fuera de la empresa accediendo a recursos internos que equipos informáticos dentro. Y esto plantea un problema porque debemos proteger todos esos dispositivos y las comunicaciones necesarias para que desarrollen su actividad.
Fundamentalmente porque con ellos accedemos a recursos internos y en ellos almacenamos información confidencial, como por ejemplo correos electrónicos, datos de contacto de mis clientes y proveedores, documentos como presupuestos, proyectos y fotografías, credenciales de acceso (usuario|contraseña), …
Además, en muchas ocasiones, para acceder a estos servicios nos conectamos a redes inseguras, tanto en nuestros domicilios, como en hoteles, restaurantes, aeropuertos, …, sin implementar ningún sistema de acceso seguro que garantice una comunicación protegida de extremo a extremo y en la que la información se envíe cifrada.
Recuerda que, digan lo que digan los fabricantes (todo es publicidad), tan inseguros son los dispositivos basados en Android, como los que se basan en IOS de Apple o los de Microsoft, estos últimos en un porcentaje muy reducido en comparación con los otros dos.
- Usando contraseña o patrón.
- Teniendo anotado el IMEI para anular el dispositivo en caso de robo o pérdida. Hoy día esta información suele estar disponible desde la web del proveedor de comunicaciones, cuando accedemos a nuestro espacio personal. Si no la localizamos debemos ponernos en contacto telefónicamente con la operadora.
- Utilizar dos dispositivos distintos, uno en el ámbito personal y otro en el ámbito profesional
- Cifrar el dispositivo. Esta es una opción de seguridad que permiten todos los dispositivos hoy día pero que casi nadie usa.
- Teniendo instaladas aplicaciones de control remoto del dispositivo que nos permitan:
o Saber dónde está por geolocalización.
o Eliminar la información.
- Realizando copias de seguridad de la información del dispositivo en la nube o en equipo s internos de la empresa.
- Instalando software antivirus.
- Evitando hacer rooting o jailbreaking de los dispositivos. Estos son procedimientos que permiten desbloquear los dispositivos para poder instalar aplicaciones no oficiales o instalar apps oficiales sin pagarlas.
- Asegurándonos de que las apps que nos descargamos son legítimas, aunque las descarguemos de las stores oficiales de Google, Apple o Microsoft.
- No utilizando apps gratuitas. Cuando algo es gratis el precio somos nosotros mismos (nuestra información).
- Actualizar los sistemas operativos de los dispositivos cuando los fabricantes ofrecen actualizaciones que, aparte de ofrecernos nuevas funcionalidades, corrigen vulnerabilidades detectadas.
- Intentando evitar redes públicas.
- Usando herramientas VPNs, Redes Privadas Virtuales, que autentican la conexión desde el exterior (usuario | contraseña) y cifran la información que se transmite).
- Usando sistemas de escritorio remoto como Citrix, Parallels, VmWare u otros, que permiten acceder a la información y recursos de la organización, desde el exterior, evitando la necesidad de tener almacenada esa información en el dispositivo.
- Incorporar a los dispositivos móviles en las políticas de seguridad de los sistemas de servidores y gestionarlos igual que gestionamos los equipos internos, con Políticas de Grupos en Windows Server (GPOs), por ejemplo.
Tenemos un arma muy poderosa en nuestras manos, que nos permite ser mucho más productivos si lo usamos como debemos, pero desde el que podemos causar graves perjuicios a la empresa si lo utilizamos de una forma indebida o si lo perdemos, nos lo roban o nos lo infectan con un malware que permita monitorizar nuestras comunicaciones o que acceda al interior de nuestros sistemas cuando conectemos nuestro dispositivo a nuestros equipos informáticos para cargarlos, por ejemplo.
Entiende que estos dispositivos son como cualquier otro equipo de tu organización que debes proteger e integrar en tus políticas de seguridad. Hay que tenerlos mucho más vigilados porque, a diferencia de los otros, estos salen de tu empresa llevando información confidencial que no debe caer en manos de terceros.
Usa tus dispositivos con sentido común. En la mayoría de las ocasiones esto ya minimiza el riesgo de que nuestro dispositivo móvil origine un incidente de seguridad en nuestra empresa.
Para finalizar, debemos desarrollar periódicamente formaciones/concienciaciones entre nuestros trabajadores para que entiendan el riesgo que asumen al utilizar estos dispositivos y cómo se pueden evitar riesgos originados por un uso inadecuado.
Si vamos a permitir que nuestros trabajadores usen sus dispositivos personales (portátiles, tablets, smartphones o pinchos/discos usbs), lo que hoy día se denomina BYOD (Bring Your Own Device) implementa las medidas de seguridad oportunas.
Ten en cuenta que cuando intenten atacar a tu empresa, siempre intentarán hacerlo a través del eslabón más débil y este siempre es el trabajador. Comprometeremos al trabajador, infectaremos sus dispositivos y accederemos a los sistemas internos de la empresa a través de ellos.
Community Manager
En este punto vamos a hacer referencia a la seguridad de las redes wifi que nosotros gestionamos. Las consideraciones sobre cómo utilizar nuestros dispositivos móviles de forma segura en redes wifi públicas, que nosotros no controlamos ni gestionamos, ya se han indicado anteriormente.
En nuestras empresas podemos se puede dar una de las siguientes situaciones:
- El router de acceso a Internet es, simultáneamente, nuestro punto de acceso Wifi.
- Utilizamos un router para acceder a Internet y disponemos de APs (puntos de acceso) Wifi a los que nos conectamos con nuestros dispositivos móviles.
En el primer caso debemos tener especial cuidado ya que comprometer el router puede provocar muchos más problemas de seguridad que si los comprometidos son sólo los APs Wifi.
Sin embargo, en la mayoría de los casos, comprometer el router es muy sencillo ya que prácticamente nadie cambia las credenciales de acceso al dispositivo.
Cuando contratamos el servicio de telefonía e internet con una operadora de comunicaciones, viene un operario de la misma para hacer la instalación del router que nos da el servicio.
Este comprueba que el servicio está operativo, nos facilita la clave de acceso a la Wifi, y se marcha. Lo que no se molesta en decirnos es que todos los routers tienen un usuario administrativo con una clave de acceso por defecto que usaremos cuando queramos acceder al dispositivo para configurarlo: servicio DHCP, DNS, Firewall, o cambiar el SSID y la clave por defecto de la Wifi, entre otros aspectos.
Sabiendo cual es la marca y modelo del router y realizando una búsqueda en Google, tardamos 30 segundos en conocer cual es el nombre del usuario administrador y su clave de acceso al dispositivo.
Lo mejor de todo es que no necesitamos estar cerca. Podemos acceder a los dispositivos en remoto, a través de la dirección ip pública del router y esta podemos obtenerla utilizando buscadores como Shodan y otros.
Una vez conocemos la ip pública y el usuario y contraseña de la cuenta del administrador, podemos acceder al dispositivo y cambiar la configuración para:
- Modificar las direcciones IP de los servidores DNS para que todas las consultas de resolución de nombres pasen por nuestros DNS. Esto nos va a permitir saber a qué servicios se conectan los trabajadores.
- Esnifar (capturar) el tráfico saliente para intentar sacar usuarios y contraseñas de servicios internos.
- Modificar las tablas ARP del router. Este es un procedimiento por el que se vinculan las direcciones IP con las direcciones MAC de mis dispositivos. De esta forma conseguimos que sólo nuestros dispositivos accedan a nuestra red y, por consiguiente, a nuestros servicios.
- Cambiar los SSID de nuestras redes Wifi o cambiar las claves de acceso a las mismas provocando un ataque de denegación de servicio al impedir que los usuarios puedan acceder a la red Wifi.
Este sistema sencillo de instalar, configurar y gestionar nos supone un ahorro de costes importante, al evitar que tengamos que instalar cableado estructurado para que nuestros usuarios se conecten a los servicios y recursos necesarios para desarrollar su actividad, ya que accedemos a ellos de forma inalámbrica.
El problema radica en que no podemos limitar la señal wifi impidiendo que alguien desde fuera de nuestra empresa se pueda conectar.
Por este motivo debemos:
- Cambiar de forma periódica la contraseña de acceso a la Wifi y asegurarnos de que la contraseña es lo suficientemente robusta como para resistir un ataque por fuerza bruta.
- No compartir la clave de la Wifi con nadie.
- Si necesitamos permitir que personas externas a la empresa accedan a nuestra wifi, configura un SSID específico para ello. Desde este:
o Limitaremos el ancho de banda que permitimos usar.
o No se podrá acceder a los recursos y servicios internos.
o Filtraremos el tipo de páginas que se visitan desde ella, evitando el acceso a páginas con contenidos inapropiados, desde los que se descargan contenidos protegidos por propiedad intelectual, …
Debes tener en cuenta que nos tocará dar explicaciones si un usuario realiza algún acto delictivo utilizando nuestra infraestructura informática. Como veremos a continuación, con el nuevo Reglamento General de Protección de Datos, que viene a sustituir a la antigua Ley Orgánica de Protección de Datos, la seguridad debe ser proactiva y ya no va a servir el «no lo sabía».