La mayoría de los usuarios de Internet todavía no ha comprendido la necesidad de establecer mecanismos efectivos para la creación de contraseñas seguras. Para entender la complejidad del riesgo, investigadores de la universidad de Virginia Tech y analistas de Dashlane han realizado uno de los mayores estudios empíricos sobre los patrones de modificación y reutilización de contraseñas.

Tras examinar una base de datos de más 28 millones de usuarios y sus 61 millones de contraseñas, han descubierto una cifra alarmante: el 52% emplea las mismas contraseñas (o muy similares y fácilmente hackeables) en distintos servicios. El peligro de mal hábito en el entorno empresarial es evidente, en especial si ocurre una brecha de seguridad en la empresa que revela una contraseña que ha sido utilizada o ligeramente modificada para luego incluirse en otros sitios web y herramientas laborales. De esta forma, los atacantes podrían poner en peligro la seguridad de numerosos servicios en el entorno de trabajo.

Modificar y reutilizar contraseñas: una práctica peligrosa

El estudio The Next Domino to Fall: Empirical Analysis of User Passwords across Online Services comprueba que la reutilización y modificación son aún estrategias bastante comunes, a pesar de las continuas advertencias de la comunidad informática. De entre los 28,8 millones de usuarios estudiados, el 38% ha reutilizado la misma contraseña para dos servicios online distintos y el 21% de ellos ha modificado ligeramente una contraseña antigua para inscribirse a un nuevo servicio. Asimismo, el estudio demuestra que los usuarios con mayor cantidad de contraseñas acumuladas tienen más probabilidad de reusarlas o implementar claves similares.

Según las investigaciones, es en los servicios de compra online y las cuentas de correos electrónicos – considerados servicios que incluyen información sensible – donde los usuarios tienden a reutilizar o modificar sus contraseñas con mayor frecuencia. Con un 85% de claves reutilizadas y ligeramente modificadas en el caso de los servicios de compra online y un 62% para las cuentas de correo electrónico, esta práctica resulta preocupante porque los servicios de compra suelen almacenar los datos de tarjetas de crédito y direcciones físicas personales. En el caso de los emails es todavía más peligroso, ya que los atacantes podrían utilizar las direcciones de correos electrónicos empresariales para reestablecer las claves de acceso en otras cuentas personales (como en una aplicación de banca electrónica).

Al considerar el riesgo de claves reutilizadas en servicios profesionales, que también incluye información sensible del usuario y/o de la empresa, el problema se agrava. Los profesionales de TI deben asegurarse de que se mantenga la higiene de las contraseñas en el entorno laboral, reduciendo la carga de los empleados y explicando de forma clara el peligro y el coste asociado a una mala práctica o dejadez. Seleccionar contraseñas débiles o reutilizadas es en sí un hecho peligroso, pero podría ser potencialmente peor si los empleados, por falta de opciones, recurren a guardar sus contraseñas en el bloc de notas o en un post-it en su escritorio.

El estudio también ha demostrado que los usuarios reutilizan contraseñas que han sido filtradas en una brecha de datos, incluso años después de la filtración inicial. Por lo tanto, los usuarios tardan en cambiar sus claves – ya utilizadas y filtradas – en otros servicios y aplicaciones, poniendo en riesgo toda su información personal. Más del 70% de los usuarios utiliza contraseñas ya comprometidas en otros servicios hasta 1 año después de la filtración. Peor aún, el 40% de los usuarios reutiliza contraseñas filtradas hace más de 3 años. Esto indica que existe un gran peligro en los datos filtrados y el retraso en la reacción y protección del usuario puede ser un incentivo para el atacante.

Consejos para mantener la seguridad de las contraseñas corporativas

En Panda Security nos preocupamos por la privacidad de tus datos empresariales y personales. Por lo tanto, para hacer frente a la dificultad de memorizar infinitas contraseñas, hemos confeccionado una lista de consejos para manteneros a salvo:

  1. Existe una gran necesidad de educar a los empleados sobre las políticas de contraseñas. Mediante una concienciación del personal, podemos asegurarnos de que:
    • No se agreguen combinaciones de caracteres predecibles (como 012345 o qwerty) para modificar una contraseña ya existente.
    • Las claves de acceso a distintos servicios profesionales sean siempre diferentes, no duplicadas.
    • No se utilicen claves de acceso personales para servicios empresariales, y viceversa.
  1. Existen páginas web como Have I been Pwned que permiten verificar la seguridad de las contraseñas y direcciones de correo, y pueden servir de recurso añadido a los profesionales de seguridad. En caso de que el usuario o la empresa haya sido parte de una brecha, conviene reestablecer las contraseñas cuanto antes y asegurarse de que no se repiten para cualquier otro servicio.
  2. Los gestores de contraseñas como LastPass o el mismo DashLane pueden ser buenos aliados en esta difícil tarea y permiten que el equipo informático mantenga el control de las políticas de seguridad. Los gestores no solo se encargan de recordar las contraseñas sino también de almacenarlas, mantenerlas seguras e indicar su grado de dificultad.
  3. Las soluciones de ciberseguridad avanzada como Panda Adaptive Defense permiten analizar los sistemas para detectar keyloggers y otros tipos de malware de forma continua y completa, evitando cualquier intento de robo de unas credenciales de acceso.