Las contraseñas han sido el pilar básico de la seguridad online durante décadas. Casi todos los sistemas, aplicaciones y dispositivos a los que accedemos dependen de ellas para iniciar sesión. Pero hay un problema con las contraseñas y debemos dejar de depender de ellas.
Este día mundial de las (no) contraseñas, hemos charlado con Alex Cox, experto en seguridad e inteligencia de amenazas cibernéticas, y David Turner, director sénior de desarrollo de estándares de FIDO Alliance, sobre los motivos y el proceso hacia un futuro sin contraseñas, y cómo su organización puede abordar este problema desde ya.
El problema de las contraseñas
Internet no nació con contraseñas, sino que la seguridad llegó después. A medida que internet fue creciendo y evolucionando, las personas necesitaron una manera de proteger su información para que nadie pudiera acceder a ella. A día de hoy, internet tiene los mismos problemas: necesitamos un acceso seguro, pero a una escala mucho mayor. El usuario promedio puede tener más de 100 cuentas donde iniciar sesión. Aunque la recomendación es usar contraseñas únicas para cada una de estas cuentas, la realidad es muy diferente. Con tantas credenciales que recordar, los empleados usan accesos directos para simplificar el proceso. Por este motivo, las personas tienden a reutilizar las contraseñas en varias cuentas o usar las mismas con pequeños cambios o variaciones. Esto significa que si alguna de las cuentas se ve expuesta, todas las demás que usen esa contraseña estarán en riesgo. «Los atacantes son perfectamente conscientes de la reutilización de contraseñas». - Alex Cox, director de seguridad de la información en LastPass Con la ingeniería social, el robo de contraseñas está a la orden del día. Los atacantes saben que las personas suelen basar sus contraseñas en cuestiones personales y pueden obtener una gran cantidad de información de las redes sociales y otra actividad web. Si tiene fotos de sus mascotas en internet y usa sus nombres en una contraseña, puede ser cuestión de tiempo que alguien acceda a su cuenta. El panorama de las amenazas evoluciona a diario y, a veces, hasta los expertos en ciberseguridad tienen dificultades para reconocer un ataque de phishing moderno, una de las principales técnicas de ingeniería social. «Los hackers no piratean el acceso, sino que directamente inician sesión». - David Turner, director sénior de desarrollo de estándares en FIDO Alliance ¿La solución al problema de las contraseñas? Decirles adiós.¿Por qué dejar atrás las contraseñas?
Prescindir de las contraseñas es la decisión más inteligente en cuanto a seguridad. Pero las ventajas para las empresas y los usuarios van más allá. Aunque las organizaciones pueden adoptar estándares de seguridad más avanzados y proteger los activos, datos, usuarios y clientes para reducir la vulnerabilidad en general, también pueden beneficiarse de:- Menos tiempo dedicado a gestionar la seguridad de las contraseñas. Esto reduce la carga de trabajo para los departamentos de TI, ya que el restablecimiento y la gestión de contraseñas conllevan mucho tiempo y recursos.
- Ahorro de tiempo y costes dedicados a la formación y concienciación en materia de seguridad.
- Experiencia de seguridad impecable tanto para el departamento de TI como para los usuarios (máxima seguridad por el mínimo esfuerzo).
- Más productividad al perder menos tiempo gestionando contraseñas y obteniendo accesos.
- Una mejor experiencia para los empleados. En una encuesta de Gartner, el 64 % de los participantes señaló que prescindir de las contraseñas les permitiría gestionar todas sus cuentas con facilidad, y el 40 % se sentiría «más relajado» en general.
La transición a un futuro sin contraseñas
Los expertos coinciden: las contraseñas no desaparecerán de la noche a la mañana. El acceso a todas las cuentas, en todos los dispositivos, navegadores y sitios web, a través del estándar FIDO2 llevará unos cuantos años. Es un proceso complejo que requerirá de iniciativas de asistencia y desarrollo por parte de millones de proveedores de tecnología. Pero el primer paso ya se ha dado. Las organizaciones están dejando atrás las contraseñas para el inicio de sesión y la autenticación de diversas formas…- Gestores de contraseñas. Los gestores de contraseñas ayudan a reducir el número de contraseñas que los empleados deben crear o recordar gracias a una sola contraseña maestra de la bóveda. Todas las contraseñas pueden generarse para cumplir los requisitos mínimos de seguridad y almacenarse para facilitar el inicio de sesión a los usuarios.
- Inicio de sesión único (SSO). También es posible reducir el número de contraseñas implementando el SSO. Este sistema permite a los empleados o usuarios autorizados acceder a las aplicaciones con un conjunto de credenciales, según la identidad y los permisos de los usuarios.
- Autenticación multifactor (MFA). La MFA ofrece un nivel de protección adicional para las contraseñas. Es un punto de autenticación que verifica la identidad del usuario antes de concederle acceso, lo que permite iniciar sesión sin la contraseña. Los factores de MFA pueden incluir notificaciones automáticas en dispositivos móviles para aplicaciones de autenticación de iOS y Android, acceso biométrico como escaneo facial y de huellas dactilares, reconocimiento de voz, códigos por SMS o contraseñas de uso puntual.
- Claves físicas. Una clave de seguridad, como YubiKey, es otra forma de MFA. El usuario tiene un hardware físico (por ejemplo, un USB) que puede utilizar junto con su dispositivo, como un teléfono o un ordenador portátil. Como solo hay una clave física por usuario, el acceso es más seguro.
- Llaves de acceso. Basadas en los estándares de FIDO, las llaves de acceso reemplazan a las contraseñas y permiten iniciar sesión de forma más rápida, sencilla y segura en sitios web y aplicaciones en los dispositivos del usuario. A diferencia de las contraseñas, son siempre seguras y evitan el phishing.
