La etapa inicial de incorporación es un paso crucial tanto para los empleados como para los empleadores. Sin embargo, este proceso a menudo implica la práctica de compartir contraseñas temporales del primer día, lo que puede exponer a las organizaciones a riesgos de seguridad.
Tradicionalmente, los departamentos de TI se han visto obligados a compartir contraseñas en texto simple por correo electrónico o SMS, o a concertar reuniones en persona para comunicar verbalmente estas credenciales. Ambos métodos conllevan riesgos inherentes, desde ataques de intermediarios hasta el simple error humano de la mala gestión de las contraseñas. Esta vulnerabilidad crea oportunidades para los piratas informáticos, que intentarán utilizar contraseñas débiles o interceptadas para obtener acceso no autorizado a los sistemas corporativos.
En esta publicación, analizamos los inconvenientes de los métodos tradicionales de distribución de contraseñas durante la incorporación de empleados y presentamos una solución que mejora la seguridad sin comprometer la facilidad de acceso para los nuevos empleados. Las organizaciones pueden proteger sus entornos digitales desde el principio, lo que garantiza una transición segura y sin problemas para los nuevos miembros del equipo.
¿Las contraseñas temporales siguen siendo temporales?
Las contraseñas temporales plantean riesgos de seguridad importantes, principalmente porque los usuarios finales no suelen cambiarlas, a pesar de su uso previsto a corto plazo. Por lo general, estas contraseñas están configuradas para que el usuario las reemplace después de su primer inicio de sesión; sin embargo, este paso crucial puede pasarse por alto o no realizarse debido a diversas razones, como negligencia del usuario o problemas técnicos durante el proceso de incorporación. Cuando las contraseñas temporales no se actualizan, siguen siendo vulnerables a los ataques porque suelen ser más débiles y más predecibles.
Los riesgos asociados a las contraseñas temporales se ven agravados por el hecho de que suelen ser simples o seguir patrones predecibles, lo que las convierte en blancos fáciles para ataques de fuerza bruta o de diccionario. La investigación de Specops encontró decenas de miles de credenciales robadas por malware con términos básicos como “bienvenido”, “invitado”, “usuario” y “cambio” solo en el último año. Es posible que los usuarios finales no cambien estas contraseñas debido a la falta de conocimiento sobre las prácticas de seguridad o simplemente porque el sistema no exige un cambio de contraseña en el primer inicio de sesión. Además, si estas contraseñas se comparten en texto sin formato, pueden ser interceptadas por terceros no autorizados.
Un ejemplo real de una violación resultante del uso indebido de contraseñas temporales es el incidente que involucró a Empresa de software SolarWindsLos atacantes pudieron acceder a la plataforma Orion de la empresa utilizando una contraseña sencilla y conocida públicamente: “solarwinds123”. Esta contraseña debía ser temporal, pero nunca se actualizó, lo que dio lugar a un ciberataque masivo e infame que afectó a muchas organizaciones.
Riesgos del uso compartido tradicional de contraseñas
Tradicionalmente, las organizaciones han recurrido a dos métodos principales para compartir las contraseñas del primer día con los nuevos empleados, cada uno de los cuales conlleva su propio conjunto de riesgos de seguridad. El primer método implica compartir las contraseñas en texto sin formato, normalmente por correo electrónico o SMS. Este enfoque es sencillo y se utiliza a menudo debido a su simplicidad y comodidad. Sin embargo, plantea importantes riesgos de seguridad. Los ciberdelincuentes pueden interceptar la comunicación en texto sin formato mediante ataques de intermediario. Una vez interceptadas, estas credenciales se pueden utilizar para obtener acceso no autorizado a los sistemas corporativos, lo que puede dar lugar a violaciones de datos y otros incidentes de seguridad.
El segundo método tradicional es compartir las contraseñas verbalmente el día de inicio de la relación laboral del empleado. Esto puede hacerse en persona o por teléfono. Si bien este método reduce el riesgo de interceptación en comparación con las comunicaciones digitales en texto simple, aún presenta vulnerabilidades. El intercambio verbal depende en gran medida de la disponibilidad y la coordinación entre el personal de TI y el nuevo empleado, lo que puede ser un desafío logístico y propenso a errores. Además, si la contraseña se comparte a través de un tercero, como un gerente, se introduce otra capa de riesgo en caso de que la contraseña se manipule incorrectamente o se divulgue inadvertidamente.
Ambos métodos, aunque se practican habitualmente, no proporcionan un medio seguro y confiable para manejar información confidencial, como contraseñas. Exponen a las organizaciones a posibles violaciones de seguridad y no se ajustan a las mejores prácticas para la gestión de la seguridad de la información.
Incorpore nuevos usuarios de forma segura sin contraseñas temporales
La incorporación de nuevos usuarios de una manera más segura es fundamental para proteger los datos de la organización desde el principio. Specops Software ahora ofrece su función First Day Password como parte de Specops uReset para abordar las brechas de seguridad inherentes a los métodos tradicionales de distribución de contraseñas durante el proceso de incorporación de empleados.
Esta herramienta revoluciona la forma de gestionar las contraseñas, ya que elimina la necesidad de compartir las contraseñas iniciales directamente con los nuevos usuarios. En lugar de recibir una contraseña temporal que podría ser interceptada o manipulada de forma insegura, los nuevos empleados tienen la posibilidad de configurar sus propias contraseñas a través de un sistema seguro.
Así es como funciona: al unirse, los nuevos empleados reciben un enlace de inscripción por mensaje de texto, correo electrónico personal o mediante un enlace para “restablecer mi contraseña” en su dispositivo unido al dominio. Este enlace los lleva a una pantalla de verificación donde confirman su identidad utilizando su correo electrónico personal o número de teléfono móvil. Una vez verificados, pasan a una pantalla de comentarios dinámicos donde pueden crear su propia contraseña de conformidad con la política de contraseñas de la organización.
Este método no solo protege el proceso de creación de contraseñas, sino que también se integra perfectamente con otros productos de Specops, como Specops Password Policy con Breached Password Protection. Esta herramienta mejora aún más la seguridad al fomentar la creación de contraseñas más largas y bloquear el uso de más de 4 mil millones de contraseñas comprometidas conocidas. Este enfoque integral garantiza que, desde el primer día, los usuarios finales tengan contraseñas seguras y compatibles, lo que reduce significativamente el riesgo de amenazas cibernéticas.
Al utilizar First Day Password de Specops y sus funciones de seguridad integradas, las organizaciones pueden brindar una experiencia de incorporación más segura que proteja tanto al nuevo usuario como a los activos digitales de la empresa. Hable con un experto para saber cómo First Day Password podría adaptarse a su organización.