Contraseñas: el pan nuestro cada día a proteger
Vivimos en un mundo de contraseñas. Tanto, que forman parte de nuestra vida. Ocurre que, en ocasiones, no les prestamos la atención ni les damos la importancia que merecen. Y más en el caso de las empresas. Y eso, se paga… Si no se guarda una seguridad adecuada.
Siglo XXI. Tenemos contraseñas para todo: para desbloquear el móvil, para sacar el dinero del cajero automático, para acceder a nuestras redes sociales… “Y una larga lista de usos diarios de nuestras contraseñas nos hacen convivir con ellas. Pero no les damos realmente la importancia que tienen y no las protegemos debidamente o no les damos la complejidad que deberían. Esto mismo se replica en las empresas las cuales son conscientes, pero no tienen las herramientas adecuadas”, dice José María García, country manager de Esprinet Ibérica.
Parece mentira, ¿verdad? En un mundo lleno de contraseñas, donde se nos exigen para cualquier cosa, que todavía existan empresas que no exigen estas pautas sencillas de seguridad. ¿Eso qué implica? Que los usuarios usan contraseñas sencillas de adivinar. Es más, el 10% usa la misma contraseña para todas sus cuentas. Escalofriante.
Y eso que cada día existe mayor concienciación dentro de ellas a la hora de usarlas en todo momento. “Además de sistemas avanzados para la gestión y protección de identidades y contraseñas, las empresas cada vez hacen un mayor uso de otras tecnologías de autenticación de doble factor más avanzadas: desde tokens hasta biometría, con un creciente uso de ésta última, así como de sistemas de reconocimiento de voz y reconocimiento facial”, explica Emeterio Cuadrado, director de la Unidad de Seguridad de Grupo CMC. Y más después de la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD), que enfatiza la necesidad de defender los datos y la información crítica de la empresa. Pero, “por desgracia, todavía existe un amplio espacio de mejora en este campo y no todos los usuarios protegen sus contraseñas de manera adecuada. No debemos olvidar que este un ámbito muy personal que tiene que ver con la percepción de riesgo del individuo, y eso no hace más complicar la capacidad de refuerzo y aplicación de ciertas medidas”, advierte Ramsés Gallego, Strategist & Evangelist, Office of the CTO, Symantec.
El correo electrónico, ese peligro
Pues si existe una puerta para las amenazas en cualquier empresa, ésa es el correo electrónico. Una gran fuente de su información, de sus clientes o proveedores que puede llegar a ser especialmente sensible. “Sin olvidarnos de los correos con carácter financiero, con condiciones de los productos, datos bancarios, extractos mensuales de las cuentas y otras informaciones interesantes para los ciberdelincuentes, que incluso, si lo desean, pueden suplantar nuestra identidad”, estipula Carlos Hernández, IT & General Services Manager de Kaspersky Lab Iberia.
Y las consecuencias pueden llegar a ser nocivas para la empresa que no salvaguarde su información con contraseñas seguras. Para ser claros: el ciberdelincuente que asalta un correo electrónico tiene acceso a toda la información protegida por esa contraseña. tendría acceso a la información que estuviera protegida por esa contraseña. “En ese caso, un atacante tendría no sólo acceso a los mensajes de esa persona sino que incluso podría enviar y recibir correos en su nombre, dando lugar, potencialmente, a uno de los ataques más comunes y dañinos a través del correo electrónico llamado BEC (Business Email Compromise, por sus siglas en inglés), que consiste en solicitar dinero (una transferencia, un pago de una factura) haciéndose pasar por un/a ejecutivo/a de la compañía, ya que el correo viene de una cuenta conocida”, detalla Ramsés Gallego.
Al acceder a las contraseñas de los correos, un ciberdelincuente tendría conocimiento de la información corporativa, los datos adjuntos (que puede ser información protegida por la ley por ser datos de carácter personal), propiedad intelectual del nuevo desarrollo de un producto, listado de clientes, detalles del lanzamiento de un nuevo proyecto... “Y es que no debemos olvidar que el correo electrónico no es sólo una plataforma de mensajería, sino una plataforma de colaboración donde se adjuntan presentaciones, hojas de cálculo, facturas, etcétera”, vuelve a apuntar el Strategist & Evangelist, Office of the CTO, Symantec.
En consecuencia, y por resumir, “las consecuencias pueden ser muy serias: desde espionaje, suplantación de identidad, instalación de malware… Ciberataques que, en el mundo real, se traducen en pérdida de reputación, competitividad, productividad, tiempos muertos y, en definitiva, pérdidas económicas”, detalla Javier Arnaiz, responsable del Canal empresarial de DATA Software Iberia.
Y no son sólo dos o tres
Y lo peor de todo es que no son sólo dos o tres las empresas que no protegen las contraseñas de sus cuentas de correo como debería ser. “Por regla general, aquellas pymes o Enterprise que no tienen su correo en formato SaaS como con Office365 pueden no ser conscientes del ciberataque”, detalla Antonio Inchaustegui, Business Manager Virtualization & Networking Advanced Solutions de Ingram Micro.
El último estudio de Kaspersky Lab revela que el 19% de los usuarios sufrió un ataque en los últimos 12 meses. El análisis afirma que los correos electrónicos son el principal objetivo (43%), seguidos de cerca por las redes sociales (39%), cuentas bancarias (20%) y cuentas de tiendas online (20%), y sólo en 2017 España sufrió 120.000 incidentes de ciberataques, de los cuales el 70% tuvieron como objetivo a las pequeñas y medianas empresas.
Por lo tanto, “no existe un dato claro al respecto, pero la cifra es demasiado elevada para no darle la importancia necesaria —admite Joaquín Malo de Molina, Business Development manager de IREO—. En este terreno queda mucho por hacer y las necesidades son inmediatas, ya que este tipo de ataques de una facilidad relativa de realizare y eso lo convierte en vulnerable.
En este caso, el silencio por parte de las empresas no es, precisamente, la mejor de las noticias. “Puede significar, por un lado, que todo está en orden o bien que los cibercriminales han conseguido el objetivo de infiltrar un malware capaz de pasar absolutamente desapercibido. Con la excepción del ransomware, que es ruidoso y busca un beneficio a muy corto plazo, el cibercrimen sigue trabajando para conseguir amenazas que no despierten ninguna sospecha entre sus víctimas”, explica Javier Arnaiz.
Alternativas para asegurar la privacidad
Así que toca tomarse en serio proteger la información contenida en nuestros correos electrónicos y las cuentas en sí mismas. Y eso implica ir más allá de la protección en sí, pues ya sabemos lo sagaces que pueden llegar a ser los ciberdelincuentes. ¿Cómo lograrlo con métodos alternativos? “Cifrar la información y usar canales de comunicación seguros, como redes VPN, es la mejor manera para asegurar la privacidad de nuestros datos —recomienda Carlos Hernández—. Estos métodos actualmente están al alcance de cualquier empresa y su pequeña inversión se amortiza rápidamente frente a las pérdidas que podría tener por el robo de información”.
No obstante, la tecnología evoluciona que es una barbaridad, parafraseando la letra de la famosa zarzuela, y cada vez más los fabricantes recomiendan métodos que se alejan de la contraseña. O como explica Ramsés Gallego, “ha llegado la época de la no contraseña”. “Y con esto no queremos decir que no se utilicen contraseñas, sino que se utilicen otros métodos (más seguros, más certeros, menos arriesgados) para acceder a la información —prosigue.
Puede leer aquí el resto del reportaje.
