Ciberseguridad
contraseñas seguras
Thinkstock

‘123456’, la contraseña más común en 2016. ¿Es segura la suya?

Sin ser infalibles, son el primer filtro. En un robo de identidad, tener varias claves, ayuda

Cuando el Foro Económico Mundial de Davos ha vuelto incidir en el papel de la ciberseguridad, las empresas y usuarios siguen sin darle la importancia que deberían. Según se desprende de un estudio hecho público a comienzos de esta semana, elaborado por el grupo de seguridad Keeper Security, las contraseñas más utilizadas en el mundo durante 2016 han sido, por este orden, 123456, 123456789 y qwerty, esta última en referencia a las letras del comienzo de la primera hilera de los teclados. Los cerca de 10 millones de contraseñas analizadas por la firma revelan, además, que el 60% de los usuarios utiliza la misma combinación para todas sus cuentas.

En un mundo en el que el cibercrimen está a la orden del día, siendo 2016 el año en el que los delitos cibernéticos han superado por primera vez a los físicos en España, por muchos mecanismos que tenga una compañía para defenderse, “el empleado sigue siendo el que gestiona la información y los datos”, explica el responsable de protección de empresas del Instituto Nacional de Ciberseguridad (Incibe), Jorge Chinea. Por eso es conveniente que, independientemente del grado de protección de la organización, adopte de forma individual ciertas pautas para mejorar la seguridad.

“La contraseña es una de ellas, y aunque evidentemente no sea impenetrable, es el primer filtro que hay que proteger”, apunta Chinea. Cuenta este experto que las combinaciones han de ser como la ropa interior: “No deben enseñarse nunca y de vez en cuando hay que cambiarlas”. Pero además de estos básicos, es importante no utilizar la misma para todo, como correos, cuentas bancarias o redes sociales. El cibercrimen funciona por oferta y demanda. Se basa en recopilar información sensible para luego venderla u obtener otro beneficio. “Por esa razón, si un delincuente da con una combinación secreta, lo primero que va a hacer es utilizarla en todas las cuentas de un usuario para intentar sacar el máximo de datos”, afirma Chinea.

A todos estos conocimientos, que no siempre son tan obvios, se llega a través de la formación y la concienciación, algo que debe promover la empresa. Sin embargo, tal y como apunta Pablo García Bringas, director del Centro Tecnológico DeustoTech y docente en Deusto Business School, “el usuario es responsable de sí mismo, mientras que el profesional también lo es de la propia compañía”. Por eso el principal método de seguridad es saber “que tus actos van a proteger los activos de la organización, y por lo tanto tu trabajo”. No obstante, recuerda, “en el caso de que un profesional tenga una contraseña fácil de adivinar, la culpa también es de la empresa, que permite que pueda suceder algo así”.

A partir de este punto, otra recomendación es decantarse por contraseñas difíciles de presuponer, “que incluyan mayúsculas o minúsculas, números e incluso puntuación. Pero no solo en teléfonos u ordenadores, también en carpetas con información confidencial o en los USB”, afirma el gestor de cuentas claves en Sophos Iberia, Vicente Pérez. Otros expertos, como el director del negocio de seguridad global de Telefónica, Chema Alonso, chocan con este planteamiento, ya que “no solo conoce la contraseña el propio usuario, sino también el servidor, por lo que puede estar expuesta”.

Al alcance del profesional también hay otras decisiones más fáciles de adoptar, “como cerrar la sesión siempre y cuando no se esté frente al ordenador”, aconseja García. Tampoco deben olvidarse las actualizaciones automáticas de las aplicaciones, otro punto imprescindible en materia del ciberriesgo. “Aparecen y muchos usuarios las rechazan”, relata Chinea, “pero además de las mejoras y las nuevas funciones, también traen consigo una reestructuración de la seguridad”. En este punto vuelve a escena el mercado de la oferta y la demanda: cuantos más usuarios tenga una aplicación, buscador o programa, más agujeros buscarán en ellos los ciberdelincuentes. Por esa razón, recomienda el experto, hay que aceptar todas estas actualizaciones, que también tienen una mejora dedicada a la seguridad.

  •  Otros errores habituales

El decálogo de precauciones que conforma la primera barrera de seguridad es muy extenso. La copia de seguridad entra dentro. “Debe hacerse periódicamente y en equipos de fuera de la empresa, ya que puede haber accidentes o incendios en la compañía que hagan perder datos para siempre”, afirma Jorge Chinea, del Incibe.

Otras precauciones pasarían por “no desvelar contraseñas e información corporativa por teléfono, cifrar siempre los datos confidenciales cuando se almacenen y archivarlos en programas aceptados por la organización”, detalla este experto.

Ojo con las falsificaciones

El mercado negro se reinventa, y tal y como explican los expertos, en muchas ocasiones se centra en el eslabón más débil de la cadena: el factor humano. Una de las últimas técnicas utilizadas por los ciberdelincuentes pasa por la usurpación de la identidad. “Ocurre con que esos atacantes entran en los perfiles y cuentas de altos directivos y registran sus modos de escribir, contactos o pautas de comportamiento”, desarrolla Pablo García, de Deusto Business School.

De esta forma, el ciberdelincuente es capaz de enviar informaciones muy personalizadas, haciéndose pasar por un alto ejecutivo con acceso a información y contactos sensibles para la organización. “En un caso reciente, en el que una compañía tenía que hacer una transferencia de 400.000 euros a otra, uno de estos hackers se hizo pasar por la persona encargada de dar la orden y el dinero fue enviado a otra cuenta diferente”, ilustra García.

“No todas las actividades sospechosas son obvias. Hay que estar alerta de las personas que no conocemos y nos piden algo, especialmente si esto sucede en internet”, prosigue Vicente Pérez, de Sophos Iberia. Por esa razón, otra de las pautas para proteger la empresa es desconfiar de todo aquello que salta la barrera de la normalidad, “e informar si se detecta algún correo electrónico o enlace sospechoso”, explica Pérez.

Normas
Entra en EL PAÍS