¿Alguna vez has utilizado el mismo password en más de un servicio online, en más de una cuenta de usuario o buzón de email? ¿Usas además passwords de servicios personales también en cuentas empresariales? Enhorabuena, eres parte del mayoritario grupo de personas que está poniendo en jaque la seguridad de sus datos y de los datos de su empresa.
Seguramente la reutilización de contraseñas sea uno de los riesgos informáticos más comunes. Solo hace falta que haya una brecha de datos en algún sitio, o que seas víctima de un phishing, para que esa contraseña que ha dejado de ser privada sea utilizada por los ciber-criminales en cientos de servicios hasta dar con la oportunidad de suplantar tu identidad para conseguir el máximo beneficio (para ellos, perjuicio para ti o tu compañía). Da igual lo complicada o lo larga que sea la contraseña, si la reutilizas, será igual de segura que una del tipo 1234: nada.
La cosa no queda ahí. Hay muchos más problemas derivados de la seguridad basada en un único password: desde el business email compromise a las debilidades de los protocolos legados tales como SMTP, las pérdidas anuales derivadas de la vulneración de la seguridad de sistemas basados en contraseñas son multimillonarias. ¿Deberíamos invertir tiempo y esfuerzo en hacer que todos los profesionales de nuestra organización no reutilicen los passwords, estén más preparados ante ataques phishing o descartar sistemas de intercambio de información obsoletos? Por supuesto que si, pero mejor idea es pasarse a nuevos sistemas de seguridad en donde la contraseña es poco o nada relevante como aconseja el SANS Institute en un extenso artículo sobre la conveniencia de la abolición de las contraseñas.
Como mensaje clave sobre el que desarrollan toda su reflexión, destacan la siguiente idea: no hay que hacer más seguros los passwords, hay que deshacerse de las amenazas que traen consigo. Así, su primera recomendación es transitar hacia el camino de la seguridad “passwordless” con una primera escala: los sistemas MFA o de identificación por múltiples factores que, aunque pueden contener una contraseña entre sus factores, al no ser esta sino una más de los mismos, no tiene la misma relevancia su pérdida o reutilización. Pero promueven ir más allá para procesos determinados utilizando el potencial de la seguridad por hardware a través, por ejemplo, de chips TPM en conjunción al uso del estándar WebAuthn, o incluso sistemas híbridos que combinen la autenticación multifactor con el uso de dispositivos con chips TPM.
El consejo final es el cómo hacer este cambio: de una vez o por fases. Cada organización deberá planificar la estrategia para abandonar las contraseñas como método único de autenticación, pero donde sí hacen foco es en una idea clave: si estás pensando en adquirir o implementar soluciones cloud para tu empresa, una que ya integre por defecto sistemas de autenticación en múltiples factores se vuelve imperativo.
