Para minimizar el riesgo de que una empresa sufra ataques y complicar la tarea de los ciberdelincuentes, la empresa proveedora de servicios integrales de tecnología Vector ITC Group nos facilita los siguientes nueve consejos:

1. Informar periódicamente la plantilla

Las compañías deben instaurar ciclos de formación sobre las medidas que deben seguir los empleados para gestionar sus contraseñas en su trabajo diario.

2. Crear una política que obligue a generar contraseñas robustas

Para ser considerada “fuerte”, una contraseña debe reunir ciertas características:

• Tener al menos 8 caracteres
• Alternar letras mayúsculas y minúsculas
• Usar números y caracteres no alfanuméricos
• No utilizar palabras del diccionario
• No estar relacionada con la vida, los gustos o hobbies
• No usar fechas de cumpleaños, aniversarios, etc.

3. Instaurar la costumbre de cambiar las contraseñas cada cierto tiempo

Para una mayor seguridad, es recomendable que todos los colaboradores de la empresa cambien sus contraseñas cada 3 ó 6 meses.

4. Cifrar todas las contraseñas de los empleados con un algoritmo robusto

5. Nunca almacenar las contraseñas de los empleados, usar en su lugar un hash

6. Crear un segundo factor de autenticación para los empleados

El segundo factor de autenticación funciona de forma que al introducir un usuario y una contraseña, el servicio al que se está accediendo envía un token a un dispositivo (normalmente el móvil) y pide que se introduzca el código que se ha enviado. De esta manera, se autentica mejor al usuario, ya que un atacante tendría que vulnerar el dispositivo para obtener el token, además de averiguar el usuario y la contraseña.

7. Permitir que los empleados puedan escribir su propia pregunta personalizada en un sistema de preguntas recordatorio para reseteo de contraseñas

Esta medida de seguridad se ha convertido en una vía más de ataque a la cuenta objetivo. Consiste en unas preguntas que se deben responder con la respuesta que se introdujo al dar de alta la cuenta para recuperar el control de la misma al olvidar la contraseña. Una buena solución para no sufrir ataques y que la respuesta no sea demasiado fácil de encontrar es no contestar con lógica y previsibilidad. Por ejemplo, si la pregunta es “apellido de soltera de tu madre”, la respuesta debería ser cualquiera menos esa: una palabra clave, una dirección de correo o una contraseña antigua. El objetivo es que un atacante no pueda usar información personal recopilada de Internet para adivinar la respuesta.

8. Cambiar las contraseñas por defecto de todas las aplicaciones que use la empresa

Al igual que es primordial cambiar de forma regular las contraseñas personales de los empleados, las de todas las aplicaciones y herramientas utilizadas en la empresa también han de ser actualizadas.

9. Investigar la seguridad de los servicios que quieran usar los empleados para su trabajo y elegir el más seguro.

Unas simples observaciones permiten evaluar el grado de fiabilidad de un servicio en Internet:

• ¿La página del servicio exige una contraseña robusta?
• ¿Usa HTTPS? La famosa S después de HTTP implica una conexión cifrada y no enviar datos en claro.
• ¿Tiene un segundo factor de autenticación?
• ¿Tiene límite de reintentos?
• ¿Se bloquea la cuenta cuando se supera el límite de reintentos?
• Para desbloquear una cuenta, ¿se envía un email? ¿Este email viene con la contraseña en claro o es un enlace para introducir una nueva contraseña?
• ¿Tiene preguntas recordatorio que permiten introducir manualmente la respuesta o sólo permite escoger entre una serie de valores prefijados?
• ¿Permite configurar una dirección de email a la cual se enviarán los emails de reseteo de contraseña en caso de olvidar la contraseña?