Las violaciones de datos siguen siendo una amenaza constante y ninguna industria u organización es inmune a los riesgos. Desde empresas de Fortune 500 hasta nuevas empresas, las infracciones relacionadas con contraseñas continúan propagándose aparentemente sin control.
Como resultado del volumen de violaciones de datos e incidentes de seguridad cibernética, los piratas informáticos ahora tienen acceso a una gran cantidad de credenciales que pueden usar para impulsar varios ataques relacionados con contraseñas.
Un ejemplo de esto son los ataques de relleno de credenciales, que representaron 1500 millones de incidentes en el último trimestre de 2020, un asombroso aumento del 90 % desde el primer trimestre de 2020.
El rápido giro hacia lo digital en respuesta a la pandemia ha sido un factor clave para el crecimiento explosivo de los ataques de ciberseguridad. Con las organizaciones cambiando más servicios en línea e invirtiendo en nuevas aplicaciones que facilitan las interacciones virtuales con empleados y clientes, esto ha cambiado el panorama de la seguridad y ha presentado una serie de nuevas vías para que los piratas informáticos exploten. Sin embargo, en la prisa por poner todo en línea, desde reuniones, escuela, compras, procedimientos legales y atención médica, la seguridad a menudo se olvidaba o, en el mejor de los casos, era una ocurrencia tardía.
Ahora que una fuerza de trabajo distribuida es un hecho y no una moda pasajera, junto con la rápida adopción de aplicaciones basadas en la nube, las organizaciones ya no pueden confiar en los firewalls para asegurar el perímetro y proteger los activos corporativos. Y si quieren obtener el máximo valor de las nuevas soluciones digitales, deben repensar su estrategia de seguridad. Para reforzar sus defensas, deben remediar su política de contraseñas.
Muchos de los problemas con las contraseñas son el resultado de organizaciones que se aferran a prácticas arcaicas, como restablecimientos periódicos forzados y contraseñas que requieren una composición de caracteres particular en lugar de contraseñas comprometidas conocidas. Sin embargo, debido a la fricción con este enfoque, los empleados a menudo buscan formas de eludir la política.
Por ejemplo, el uso de contraseñas raíz donde simplemente actualizan el carácter o número único, lo que da como resultado contraseñas más débiles, lo que aumenta el riesgo de que una organización sufra una infracción relacionada con un problema de contraseña. Es hora de retirar esta estrategia anticuada e ineficaz y adoptar un enfoque moderno para proteger la capa de contraseñas y mitigar los riesgos.
Resumen
– Inmunidad a las amenazas de contraseña
Las organizaciones deben aceptar que sufrir una infracción ahora es una cuestión de cuándo y no de si. Por lo tanto, las empresas deben tomar medidas para vacunarse contra la amenaza.
Al modernizar su política de contraseñas y adoptar los siguientes pasos, pueden reducir el riesgo de un ataque exitoso.
– Piense en la exposición, no en la caducidad
Reemplazar la caducidad de la contraseña con la exposición de la contraseña es fundamental con una fuerza laboral cada vez más híbrida y, como se describió anteriormente, por la fricción que genera. Los empleados seguirán adoptando nuevas cuentas digitales y accediendo a diferentes servicios en línea.
Las organizaciones deberían dejar de perder tiempo y recursos restableciendo contraseñas cuando la raíz del problema es la exposición. Si un usuario tiene una contraseña segura y única que no ha sido expuesta, no hay razón comercial o de seguridad para insistir en que se cambie.
– Examine continuamente las credenciales comprometidas
Para contrarrestar la gran cantidad de credenciales comprometidas disponibles en la Dark Web e Internet, las organizaciones deben evaluar continuamente para asegurarse de que no se utilicen contraseñas expuestas. Este enfoque moderno de administración de contraseñas es la mejor manera de mitigar los riesgos y, al mismo tiempo, fomentar la productividad y reducir los costos de la mesa de ayuda.
Esto proporciona inmunidad a las organizaciones cuando se producen nuevas infracciones a partir de credenciales recién expuestas. Al monitorear continuamente las credenciales expuestas, evita que los sistemas sean un objetivo fácil para los ataques basados en contraseñas, y el NIST recomienda estas prácticas.
Enzoic ha desarrollado una solución automatizada que permite a las organizaciones identificar y evitar el uso de credenciales comprometidas. Obtenga más información aquí.
– Hacer que la autenticación multifactor (MFA) sea obligatoria
La adopción de medidas de autenticación adicionales agrega más capas de protección, lo que reduce los riesgos de un ataque de contraseña.
En lugar de ver la MFA como una táctica solo adecuada para las organizaciones de servicios financieros, debe usarse de manera generalizada como otra capa de verificación que protege los sistemas y datos de cada organización.
– Haga que la higiene y la prioridad de las contraseñas
El rápido crecimiento de los ataques de ransomware, phishing y credential stuffing durante 2020 destaca que los usuarios necesitan ayuda para comprender y reconocer el nuevo panorama de amenazas. De lo contrario, seguirán siendo presa de las tácticas creativas de los ciberdelincuentes.
Una parte crucial de este proceso es educar a los empleados e inculcar una mejor higiene de seguridad, evitando contraseñas débiles, reutilización de contraseñas y uso compartido de contraseñas.
Las malas prácticas de contraseñas se han convertido en una pandemia, y todos los pasos descritos ayudan a vacunar a una organización de los riesgos de las credenciales comprometidas. A medida que las empresas aceleran el ritmo de la transformación digital, deben, a su vez, modernizar su política de contraseñas y protegerse en el futuro de los riesgos asociados con estrategias de contraseñas obsoletas e ineficaces.
Una solución de inteligencia de amenazas dinámica como Enzoic puede poner los problemas de seguridad de contraseñas en el espejo retrovisor, lo que permite a las organizaciones mantenerse un paso por delante de los ciberdelincuentes. Obtenga más información sobre cómo Enzoic está ayudando a eliminar los riesgos de una política de contraseñas deficiente aquí.
