El uso de contraseñas poco seguras por parte de los empleados al acceder a aplicaciones corporativas es uno de los principales dolores de cabeza para muchos responsables de la seguridad de la información en empresas. Utilizar contraseñas débiles supone un gran riesgo de filtración de datos confidenciales de la compañía por posibles accesos de usuarios no autorizados. Con el objetivo de minimizar el impacto del factor humano en la ciberseguridad, la organización australiana sin ánimo de lucro Tide ha desarrollado una nueva técnica para crear contraseñas casi indescifrables; la ha denominado splintering.
En qué consiste el splintering
El verbo inglés splint se traduce como astillar (romper algo en pedazos). Y eso es precisamente lo que se consigue con el splintering: dividir el nombre de usuario y la contraseña (una vez cifrados) en pequeñas partes para luego almacenar cada parte en distintos servidores de una red. Este sistema de autenticación descentralizada –similar a la tecnología Blockchain– dificulta tremendamente a los ciberdelincuentes la posibilidad de robar credenciales con métodos tan habituales como el ataque de fuerza bruta. Los ingenieros de Tide afirman que, por ejemplo, se redujo las probabilidades de éxito de un ataque de diccionario de un 100% a un 0,00072%, ¡lo que supone una mejora en ciberseguridad de un 14.064.094%!
Estas son algunas de las características del splintering:
- El número de fragmentos en los que pueden ser fragmentados los nombres de usuarios y las contraseñas dependerá de las necesidades de cada organización y del nivel cifrado deseado.
- Cada fragmento se asigna a un nodo dentro de una red descentralizada.
- El número mínimo de nodos es de 20.
- Solo el nodo asignado a cada fragmento puede descifrar y reensamblar dicho fragmento.
Para comprobar la eficacia de este procedimiento, el pasado mes de mayo, los ingenieros de Tide convocaron un concurso en el que se ofrecían recompensas en Bitcoins por averiguar tan solo uno de los 60 millones de usuarios y contraseñas de acceso de una página web. Después de más de 6,5 millones de intentos, ninguno de los hackers invitados lo consiguió. Si quieres probar fortuna, accede a h4x.tide.org. ¡Suerte!
La técnica del splintering aun no está disponible, pero podrá ser fácilmente implementada en cualquier empresa o institución a través del sistema estándar de autentificación Open Authorization (OAuth2).
Acerca del protocolo Tide (sistema sobre el que se ha creado la técnica del splintering), Dominique Valladolid, cofundador de Tide, afirma que “quiere llegar a ser un estándar global para impulsar un ecosistema sostenible de datos personales. Ayudará a las organizaciones a proteger la privacidad de la información sensible, mitigar los riesgos derivados de las filtraciones de datos y mejorar la confianza de los consumidores para hacer mejores negocios.”
Cómo proteger las contraseñas en una empresa
Según un reciente estudio elaborado por Accenture Security España, las empresas españolas recibieron una media de 66 ciberataques en 2018. El coste total de estos ascendió a 7,3 millones de euros. Asimismo, el estudio indica que, aunque el malware fue tipo de ataque más frecuente, los incidentes de ciberseguridad relacionados con los empleados fueron los que más perdidas causaron a las compañías.
La gestión que se hace de las contraseñas que los empleados utilizan para acceder a programas y servicios corporativos es uno de los principales riesgos de seguridad informática dentro de una empresa. Así que es vital establecer las medidas necesarias para que estas no caigan en manos equivocadas poniendo en riesgo la información de la organización. Estas son algunas recomendaciones para que esto no ocurra:
- Establecer una política clara gestión de contraseñas para los empleados donde se contemple:
- Cómo construir contraseñas seguras (longitud mínima, uso de mayúsculas, números y caracteres especiales).
- Definir un ciclo de vida para las contraseñas (por ejemplo, cambiarlas cada dos meses).
- Buenas prácticas (por ejemplo, no reutilizar contraseñas anteriores y no apuntarlas en post-its o almacenarlas en formato digital).
- Activar la autentificación de doble factor en servicios críticos que contengan información sensible de la compañía.
- Facilitar el uso de herramientas de gestión segura de contraseñas como LastPass.
- En empresas que favorecen la movilidad de los empleados que utilizan dispositivos para conectarse en remoto a las aplicaciones corporativas, es recomendable el uso de redes privadas virtuales que aseguren una identificación y autentificación segura de los trabajadores (por ejemplo, con X Privacy o X Security).
Para profundizar más en esta cuestión, recomendamos la lectura de la guía “Contraseñas: Políticas de seguridad para las pymes” editada por el Instituto Nacional de Seguridad Cibernética (INCIBE).
Imágenes | Gino Crescoli y Pezibear en Pixabay y Giu Vicente en Unsplash
