Calendario de EventosBiblioteca de RevistasBiblioteca de NewsletterBiblioteca de InfografíasGalería FotográficaVideoentrevistasColaboradoresEstadísticas

Inscríbase a la RevistaPolíticas de PrivacidadLa guía del ColaboradorContactoAnúnciate aquí






OK
NOVEDADES CIBERSEGURIDAD Y TI
Imagen Día mundial de la contraseña: más allá de 12 caracteres alfanuméricos

Día mundial de la contraseña: más allá de 12 caracteres alfanuméricos

Jueves 06 de Mayo del 2021
Juan Carlos Vázquez, Director para Latinoamérica de Attivo Networks

Parece un recordatorio cruel: a unos días de que se conmemore el “Día mundial de la contraseña” (jornada que, desde 2013, se celebra el primer jueves del mes de mayo), la prensa nos informa que más de 3 millones de passwords de correos electrónicos asociados a entidades gubernamentales de todo el mundo (que suman 100 GB de información) están disponibles en internet –gratuitamente y listos para ser descargados. En este cúmulo de datos, se podrán encontrar 31,995 contraseñas vinculadas al dominio .gob.mx.

Por este tipo de situaciones, el “Día mundial de la contraseña” es una fecha que siempre debe destacarse en el calendario. En el mundo digital donde vivimos, un password representa la primera línea de defensa, el primer recurso para alejar el peligro. De ahí la importancia de reiterar –al menos durante 24 horas– el valor estratégico que posee una buena contraseña, es decir, una basada en las mejores prácticas de ciberseguridad.

Y en ese sentido, no está de más recordar buenos hábitos como: no usar el mismo password para nuestras diversas interacciones digitales (equipos, servicios, sitios de internet, aplicaciones); cambiar de contraseña con frecuencia (trimestralmente, por ejemplo); utilizar passwords de por lo menos 12 caracteres y que combinen números, signos y letras mayúsculas y minúsculas (pero evitando formulaciones obvias, del tipo “VaNeRebañoSagrado&1989”, que sólo restan fortaleza a la clave); aprovechar recursos como la autenticación multifactor; entre otras ideas siempre útiles y que debemos aplicar con mayor vigor. De acuerdo con investigaciones, el 70% de las contraseñas más usadas en el mundo puede descifrarse en menos de un segundo; un indicador que no debería sorprender a nadie, si se considera que el password12345” es el más popular del planeta.

Sin embargo, esta jornada especial también debería aprovecharse para tener una reflexión de más amplio rango, la cual no debería descartar los temas incómodos. Por ejemplo, reconocer que un password –como cualquier otra herramienta de protección digital– puede fallar o ser comprometido por ciberdelincuentes, pero que ahí no radica el desastre principal; el problema de verdad es que la empresa pierda el control de una contraseña (ignorando el hecho durante días, semanas o meses) y no sepa cómo reaccionar.

Proteger las contraseñas con una visión integral

Con el dueto nombre de usuario-contraseña, confirmamos nuestra identidad a la hora de ingresar a sistemas y soluciones tecnológicas. Esta pareja, por lo general, también se utiliza para avalar el nivel de acceso que tenemos a los recursos de una organización, por ejemplo, qué equipos podemos usar, qué datos estamos autorizados a descargar de un servidor, qué aplicaciones y conexiones tenemos a nuestra disposición.

Por desgracia, como se sugirió líneas atrás, las personas tienden a ser descuidadas con los passwords, y en tal sentido, no se puede ignorar que más del 50% de las fugas de datos involucra a agentes internos, con la negligencia de los empleados ocupando un lugar destacado en el rubro.

Esto ha impulsado el desarrollo de innovaciones de seguridad que complementan la función tradicional de una contraseña (confirmar la identidad del usuario), tales como tecnologías especializadas en reconocimiento biométrico, confirmación multifactorial y autenticación SSO (Single Sign-On; Inicio de Sesión Unificado). De hecho, en su análisis de las principales tendencias y amenazas de ciberseguridad para 2021, la consultora global Gartner ha destacado la importancia de una estrategia de protección digital que incluya recursos enfocados en el aspecto de la identidad.

No obstante, aunque dichas soluciones reducen el peligro que genera un password típico y francamente torpe (como el mundialmente famoso “12345”), la realidad es que también pueden ser vencidas por los ciberdelincuentes (algo que la propia Gartner no deja de reconocer). Más importante aún: para conseguir una contraseña que les ayude a materializar un ataque de alto impacto, los adversarios no necesitan derrotar a todas las defensas que ha instalado una organización en su red. En realidad, les basta una pequeña fisura –como un endpoint de la red que logran controlar– que les permita llegar hasta un Directorio Activo (Active Directory; AD).

Al ser la instancia que enlista y gestiona todos los recursos de una red, un Directorio Activo incluye las llamadas credenciales: la información que identifica y relaciona a una persona con la infraestructura, por esa razón, dicho componente incluye, entre otros elementos, un username y su respectiva contraseña. De tal forma, si un ciberdelincuente obtiene una credencial podrá suplantar a un usuario legítimo; y para la empresa será muy difícil detectar el peligro, ya que, en todo momento, verá a un usuario que en su tránsito por la red siempre utiliza el username y la contraseña correctas -es decir, que usa una credencial aparentemente lícita.

Y al amparo de la identidad robada, el adversario cuenta con las mejores condiciones para realizar movimiento lateral y escalar privilegios, permitiéndole ubicar los activos empresariales más valiosos. Esto explica por qué el uso de credenciales robadas o perdidas, según investigaciones, fue un factor involucrado en el 80% de las fugas de información que se registraron el año pasado.   

Ante dicha circunstancia, la mejor opción es recurrir a innovaciones de ciberseguridad con funciones realmente especializadas en la protección de credenciales y AD. En el primer tema, las soluciones más avanzadas de esta categoría, además de detectar el robo o el uso sospechoso de credenciales, permiten tomar acciones defensivas eficientes, como usar elementos de engaño (datos y activos de red falsos) que alejan a los adversarios de los componentes realmente críticos y los confinan a un espacio donde pueden ser frenados. En lo que respecta al AD, las mejores tecnologías, entre otras ventajas, ofrecen una protección con visión preventiva, ya que no se limitan a identificar incursiones contra este componente, sino que constantemente monitorean el Directorio Activo para ubicar vulnerabilidades y malas configuraciones que podrían aprovechar los adversarios –al mismo tiempo que brindan soluciones para dichas exposiciones.

El “Día mundial de la contraseña” es una fecha que nadie debe ignorar. Como usuarios, debemos entender que un password es un asunto muy serio, algo que no debemos tratar con ligereza o descuido. Sin embargo, una visión realmente útil sobre el tema tampoco debe ser ingenua. Las contraseñas pueden ser vencidas o pueden acabar en las manos de un ciberdelincuente (que sólo necesitó comprarlas en internet). Y ahí está el factor de fondo: perder un password es una mala noticia, sin embargo, perder la capacidad de reacción ante el hecho es una noticia aún peor.

NOVEDADES CIBERSEGURIDAD Y TI
Imagen Riesgos en e-commerce durante el Día del Padre

Riesgos en e-commerce durante el Día del Padre

Lunes 14 de Junio del 2021
Vesta

El 20 de junio se celebra en México el Día del Padre, en un entorno de incertidumbre respecto al nivel de restricciones que regirán con motivo de la crisis sanitaria por Covid-19; no obstante, es previsible que los bancos y tarjetas de crédito prometan grandes rebajas, cuotas y descuentos en ropa, tecnología y calzado, entre otros rubros. Todo esto motivos augura un crecimiento de las ventas online debido a que, entre otras cosas, ante la imposibilidad de celebrar a los papás de manera presencial, se realizará un mayor volumen de compras online.

NOVEDADES DE VIDEOVIGILANCIA
Imagen Desafíos de las soluciones de videovigilancia a bordo

Desafíos de las soluciones de videovigilancia a bordo

Viernes 11 de Junio del 2021
Axis Communications

El transporte público en Latinoamérica constantemente se está enfrentando a los cambios en el mundo, desde el incremento de la demanda en el servicio por el acelerado aumento poblacional, hasta las condiciones geográficas o climatológicas cambiantes. Estos aspectos han podido mitigarse de algún modo gracias a la tecnología, de hecho, durante los últimos años las cámaras de red se han convertido en una parte esencial de la seguridad y protección del transporte.

Imagen
Imagen Alas internacinal


Logotipo Seguridad en america
VideovigilanciaControl De
acceso
Transporte
seguro
Contra
incendios
Ciberseguridad
y Ti
Seguridad
privada
Administración
de La Seguridad
Protección
ejecutiva
Seguridad
pública
El Profesional
opina
Especial
del Bimestre
Novedades
de La Industria





Cerrar