“POLITICA DE CONTRASEÑAS Y SEGURIDAD DE LA INFORMACION”

...

Así, el “phishing”, uno de los fraudes más extendidos últimamente por la Red, precisamente centra su objetivo en conseguir las claves y contraseñas del usuario, para usarlas con fines espurios. Así, en el caso más habitual se suplanta la página web de una entidad bancaria o financiera (aunque pueden ser también páginas de la administración, buscadores, subastas) para de este modo, robar los datos del usuario y realizar operaciones y transacciones económicas en su cuenta bancaria.

Consecuencias de la sustracción o revelación de nuestras contraseñas

El objetivo de la sustracción de nuestras contraseñas para con ellas apropiarse de información sensible para el usuario con una finalidad de tipo económico o bien realizar otras acciones dañinas o delictivas como borrado de toda información, chantaje, espionaje industrial, etc. Las consecuencias son diversas y varían según el valor que cada usuario haya establecido para la información.

Por ejemplo, si la contraseña corresponde a la de un servicio bancario podrían sustraernos dinero de la cuenta o efectuar otras operaciones con perjuicio económico para el usuario.

En el ámbito laboral, las consecuencias pueden llegar a ser catastróficas si un tercero suplanta nuestra identidad utilizando nuestro usuario y contraseña. Así, podría acceder a los sistemas corporativos con nuestro usuario y, bien sustraer todo tipo de información del trabajador y/o la empresa, o bien utilizar esta entrada para modificar o incluso eliminar archivos, con las consecuencias económicas, de responsabilidad jurídica y pérdidas de imagen que ello supondría.

Métodos por los que nuestras contraseñas quedan al descubierto

Los métodos para descubrir las contraseñas de un usuario son variados. En primer lugar, se basan en la utilización de la “ingeniería social”, por ejemplo utilizando el teléfono o un correo electrónico para engañar al usuario para que éste revele sus contraseñas. Dentro de este grupo destaca el fraude conocido como “phishing”. En este tipo de estafa online el objetivo consiste en obtener las contraseñas o número de la tarjeta de un usuario, mediante un e-mail, sms, fax, etc. que suplanta la personalidad de una entidad de confianza y donde se le insta al usuario que introduzca sus contraseñas de acceso.

También es posible que el usuario se la comunique o ceda a un tercero y, por accidente o descuido, quede expuesta al delincuente, por ejemplo, al teclearla delante de otras personas. Puede ser que el atacante conozca los hábitos del usuario y deduzca el sistema que éste tiene para crear contraseñas (por ejemplo, que elige personajes de su libro favorito) o que asigne la misma contraseña a varios servicios (correo electrónico, código PIN de las tarjetas de crédito o teléfono móvil, contraseña de usuario en su ordenador, etc.).

Otro método, consiste en que el atacante pruebe contraseñas sucesivas hasta encontrar la que abre el sistema, lo que comúnmente se conoce por “ataque de fuerza bruta”. Hoy en día un atacante, con un equipo informático medio de los que hay en el mercado, podría probar hasta 10.000.000 de contraseñas por segundo. Esto significa que una contraseña creada con sólo letras minúsculas del alfabeto y con una longitud de 6 caracteres, tardaría en ser descubierta, aproximadamente, unos 30 segundos. Igualmente, se aplican técnicas más sofisticadas para realizar la intrusión. Se trata de métodos avanzados que en consiguen averiguar la contraseña cifrada atacándola con un programa informático (“crackeador”) que la descodifica y deja al descubierto.

Recomendaciones de INTECO en relación a la gestión y establecimiento de contraseñas.

Para gestionar correctamente la seguridad de las contraseñas, desde el Instituto Nacional de Tecnologías de la Comunicación (INTECO) se recomienda a los usuarios tener en cuenta las siguientes pautas para la creación y establecimiento de contraseñas seguras:

Política y acciones para construir contraseñas seguras:

1. Se deben utilizar al menos 8 caracteres para crear la clave. Según un estudio de la Universidad de Wichita, el número medio de caracteres por contraseña para usuarios entre 18 y 58 años habituales de Internet es de 7.

2. Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres especiales.

3. Es recomendable que las letras alternen aleatoriamente mayúsculas y minúsculas. Hay que tener presente el recordar qué letras van en mayúscula y cuáles en minúscula. Según el mismo estudio, el 86% de los usuarios utilizan sólo letras minúsculas, con el peligro de que la contraseña sea descubierta por un atacante casi instantáneamente.

4. Elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda escribirse rápidamente, preferiblemente, sin que sea necesario mirar el teclado.

5. Las contraseñas hay que cambiarlas con una cierta regularidad. Un 53% de los usuarios no cambian nunca la contraseña salvo que el sistema le obligue a ello cada cierto tiempo.

6. Utilizar signos de puntuación si el sistema lo permite. P. ej.: “Tr-.3Fre”. En este caso de incluir otros caracteres que no sean alfa-numéricos en la contraseña, hay que comprobar primero si el sistema permite dicha elección y cuáles son los permitidos. Dentro de ese consejo se incluiría utilizar símbolos como: ! " # $ % & ' ( ) * + , - . / : ; ? @ [ \ ] ^ _ ` { | } ~

7. Existen algunos trucos para plantear una contraseña que no sea débil y se pueda recordar más fácilmente. Por ejemplo se pueden elegir palabras sin sentido pero que sean pronunciables, etc. Nos podemos ayudar combinando esta selección con números o letras e introducir alguna letra mayúscula. Otro método sencillo de creación de contraseñas consiste en elegir la primera letra de cada una de las palabras que componen una frase conocida, de una canción, película, etc. Con ello, mediante esta sencilla mnemotecnia es más sencillo recordarla.

Acciones que deben evitarse en la gestión de contraseñas seguras:

1. Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios. Por ejemplo, si se utilizan varias cuentas de correo, se debe recurrir a contraseñas distintas para cada una de las cuentas. Un 55% de los usuarios indican que utilizan siempre o casi siempre la misma contraseña para múltiples sistemas, y un 33% utilizan una variación de la misma contraseña.

2.