Informe de Nordpass

Contraseñas endebles: un problema que también afecta a los CEO

Los directivos abusan de claves sencillas basadas en nombres de animales y criaturas míticas. Hay ataques hackers diseñados contra ellos por su eficacia

Contraseñas endebles: un problema que también afecta a los CEO

Los consejeros delegados no son muy originales cuando se trata de poner claves endebles. 123456, qwerty o password figuran entre las cinco contraseñas de CEO más hackeadas del mundo. Lo mismo ocurre con sus directores técnicos, de marketing, finanzas y operaciones, de acuerdo con un informe de NordPass. Según esta empresa de software (especializada en gestores de contraseñas) a los directivos hackeados les gustan especialmente las claves basadas en nombres de animales (monkey), de criaturas míticas (dragon) y de personas, con Tiffany, Charlie y Michael entre los más socorridos.

Según Marta Beltrán, profesora de Ciberseguridad en la Universidad Rey Juan Carlos, el fenómeno de las contraseñas endebles de los directivos tiene que ver con una falsa sensación de seguridad y con una formación deficiente en riesgos cibernéticos. "En las empresas y en la Administración hay iniciativas de formación y concienciación del personal, pero en muchos casos los directivos no acuden a esas jornadas y terminan con un nivel de sensibilización menor que el de los mandos intermedios", dice.

Una parte de su displicencia, dice Beltrán, se explica por la falta de tiempo. La otra, "porque piensan que, debido a su nivel jerárquico, están más protegidos ya que hay menos gente con su mail o su número de teléfono". "Esto es un error, porque de hecho hay unos ataques de phishing [engaño para obtener información confidencial basado en hacerse pasar por otra organización] llamado whaling, dirigido especialmente a directivos y con un porcentaje de éxito muy elevado debido a su bajo nivel de formación y concienciación".

Futuro sin claves

La eterna promesa cuando se habla de contraseñas es que un día dejarán de ser necesarias. Las sustituiremos, dicen, con llaves de seguridad que ya existen y se conectan por el puerto USB, o mediante los protocolos de comunicación inalámbrica NFC, RFID o Bluetooth. La alternativa es el reconocimiento de datos biométricos, como la huella dactilar, la retina o el iris, entre otros. Parecen más cómodos porque no hay que acordarse de llevarlos encima, pero tienen dos inconveniente: la privacidad y la seguridad. Como dice Marta Beltrán, "una vez comprometidos, los datos biométricos no se pueden cambiar".

El Instituto Nacional de Ciberseguridad (Incibe) registró 109.126 incidentes de ciberseguridad en España durante 2021, una cifra inferior a la real porque solo incluye a las víctimas que lo reportaron. Según un informe de Cybersecurity Ventures, los delitos cibernéticos en todo el mundo costaron unos seis billones de dólares en 2021. Un volumen que, según esta revista de ciberseguridad, equivaldría a "la tercera mayor economía del mundo después de EE UU y de China".

¿Qué hacer entonces para protegerse? NordPass sugiere el uso de un gestor de contraseñas como el que ellos venden. No es la única solución posible, dice Beltrán, pero sí una forma muy eficaz de recordar las más de 100 contraseñas que, según sus estimaciones, terminamos gestionando, entre la vida personal y la laboral. "Lo bueno del gestor es que en vez de recordar 100 contraseñas solo tienes que recordar una, la del gestor, que puedes hacer lo suficientemente larga y robusta".

Para los servicios críticos aconseja la "autenticación de doble factor", y para las personas menos diestras en herramientas digitales, una libreta, un lápiz, y que no salgan de casa. Según Beltrán, la seguridad ha mejorado desde que los departamentos de sistemas exigen contraseñas largas y con diferentes tipos de caracteres. La contracara es la imposibilidad de recordarla, por lo que muchos terminan usando la misma en todos lados. De ahí la conveniencia de un gestor de contraseñas y su principal riesgo: quien consiga la clave del gestor consigue todas las claves. Como dice Beltrán, "no basta con usar un gestor, hay que saber usarlo bien".

Para una contraseña robusta

Tres palabras aleatorias como contraseña son mejores que combinaciones de letras y números imposibles de recordar. Los hackers saben que sustituimos letras por números que se les parecen, escriben en el Centro de Ciberseguridad Nacional del Reino Unido, por lo que esas contraseñas aparentemente complejas terminan siendo más frágiles. Tres palabras aleatorias son fácilmente recordables y difícilmente desencriptables debido a su longitud.

Normas
Entra en El País para participar