{"id":1372892,"date":"2024-09-23T15:08:24","date_gmt":"2024-09-23T15:08:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/por-que-las-contrasenas-que-nunca-caducan-pueden-ser-una-decision-arriesgada\/"},"modified":"2024-09-23T15:08:28","modified_gmt":"2024-09-23T15:08:28","slug":"por-que-las-contrasenas-que-nunca-caducan-pueden-ser-una-decision-arriesgada","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/por-que-las-contrasenas-que-nunca-caducan-pueden-ser-una-decision-arriesgada\/","title":{"rendered":"Por qu\u00e9 las contrase\u00f1as que nunca caducan pueden ser una decisi\u00f3n arriesgada"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 de septiembre de 2024<\/span>\ue804<\/i>Las noticias de los hackers<\/span><\/span>Gesti\u00f3n de contrase\u00f1as \/ Violaci\u00f3n de datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El restablecimiento de contrase\u00f1as puede ser frustrante para los usuarios finales. A nadie le gusta que lo interrumpa la notificaci\u00f3n “Es hora de cambiar su contrase\u00f1a”, y menos a\u00fan cuando las nuevas contrase\u00f1as que crea son rechazadas por la pol\u00edtica de contrase\u00f1as de su organizaci\u00f3n. Los equipos de TI comparten el dolor, ya que restablecer contrase\u00f1as a trav\u00e9s de tickets de soporte t\u00e9cnico y llamadas de soporte es una carga diaria. A pesar de esto, se acepta com\u00fanmente que todas las contrase\u00f1as deben caducar despu\u00e9s de un per\u00edodo de tiempo determinado. <\/p>\n

\u00bfPor qu\u00e9 es as\u00ed? \u00bfEs necesario que las contrase\u00f1as caduquen? Descubre por qu\u00e9 existen las caducidades y por qu\u00e9 configurar las contrase\u00f1as para que “nunca caduquen” puede ahorrarte algunos dolores de cabeza, pero no ser la mejor idea para la ciberseguridad. <\/p>\n

\u00bfPor qu\u00e9 tenemos vencimientos de contrase\u00f1as?<\/h2>\n

La pol\u00edtica tradicional de restablecimiento de contrase\u00f1a de 90 d\u00edas surge de la necesidad de protegerse contra ataques de fuerza bruta<\/a>Las organizaciones suelen almacenar las contrase\u00f1as como hashes, que son versiones codificadas de las contrase\u00f1as reales creadas mediante funciones hash criptogr\u00e1ficas (CHF). Cuando un usuario introduce su contrase\u00f1a, se codifica y se compara con el hash almacenado. Los atacantes que intentan descifrar estas contrase\u00f1as deben adivinar la correcta ejecutando las contrase\u00f1as potenciales a trav\u00e9s del mismo algoritmo hash y comparando los resultados. El proceso puede complicarse a\u00fan m\u00e1s para los atacantes mediante t\u00e9cnicas como el salting, donde se agregan cadenas aleatorias a las contrase\u00f1as antes de codificarlas.<\/p>\n

Los ataques de fuerza bruta dependen de varios factores, entre ellos la potencia computacional disponible para el atacante y la solidez de la contrase\u00f1a. El per\u00edodo de restablecimiento de 90 d\u00edas se consider\u00f3 un enfoque equilibrado para superar los ataques de fuerza bruta sin cargar a los usuarios con cambios demasiado frecuentes. Sin embargo, los avances tecnol\u00f3gicos han reducido el tiempo necesario para descifrar contrase\u00f1as, lo que ha motivado una reevaluaci\u00f3n de esta pol\u00edtica. A pesar de esto, el vencimiento de 90 d\u00edas sigue siendo una recomendaci\u00f3n en muchas normas de cumplimiento, incluida la PCI.<\/p>\n

\u00bfPor qu\u00e9 algunas organizaciones han eliminado los vencimientos?<\/h2>\n

Uno de los principales argumentos en contra de la caducidad habitual de las contrase\u00f1as es que puede dar lugar a la reutilizaci\u00f3n de contrase\u00f1as d\u00e9biles. Los usuarios suelen realizar peque\u00f1os cambios en sus contrase\u00f1as existentes, como cambiar “Contrase\u00f1a1!” por “Contrase\u00f1a2!”. Esta pr\u00e1ctica socava los beneficios de seguridad de los cambios de contrase\u00f1a. Sin embargo, el verdadero problema aqu\u00ed no es el acto de restablecer las contrase\u00f1as, sino m\u00e1s bien la pol\u00edtica de la organizaci\u00f3n que permite las contrase\u00f1as d\u00e9biles en primer lugar.<\/p>\n

La raz\u00f3n principal por la que las organizaciones han optado por contrase\u00f1as que “nunca caducan” es la reducci\u00f3n de la carga de TI y de la mesa de ayuda. El costo y la carga de los restablecimientos de contrase\u00f1as en las mesas de ayuda de TI son significativos. Gartner estima que entre el 20 y el 50 % de las llamadas a la mesa de ayuda de TI est\u00e1n relacionadas con el restablecimiento de contrase\u00f1as, y que cada restablecimiento Cuesta alrededor de $70 en mano de obra<\/a> Seg\u00fan Forrester, esto se acumula, especialmente cuando los usuarios olvidan con frecuencia sus contrase\u00f1as despu\u00e9s de verse obligados a crear otras nuevas.<\/p>\n

Por lo tanto, algunas organizaciones pueden verse tentadas a obligar a los usuarios finales a crear una contrase\u00f1a muy segura y luego configurarla para que “nunca caduque” a fin de reducir la carga de TI y los costos de restablecimiento.<\/p>\n

\u00bfCu\u00e1les son los riesgos de las contrase\u00f1as que nunca caducan? <\/h2>\n

Tener una contrase\u00f1a segura y no cambiarla nunca puede dar a alguien una falsa sensaci\u00f3n de seguridad. Una contrase\u00f1a segura no es inmune a las amenazas; puede ser vulnerable a esquemas de phishing, filtraciones de datos u otros tipos de incidentes cibern\u00e9ticos sin que el usuario se d\u00e9 cuenta. El informe Specops Breached Password Report descubri\u00f3 que el 83 % de las contrase\u00f1as que se vieron comprometidas cumpl\u00edan con los est\u00e1ndares regulatorios de longitud y complejidad.<\/p>\n

Una organizaci\u00f3n puede tener una pol\u00edtica de contrase\u00f1as seguras en la que cada usuario final se ve obligado a crear una contrase\u00f1a segura que sea resistente a ataques de fuerza bruta. Pero, \u00bfqu\u00e9 sucede si el empleado decide reutilizar su contrase\u00f1a para Facebook, Netflix y todas las dem\u00e1s aplicaciones personales? El riesgo de que la contrase\u00f1a se vea comprometida aumenta mucho, independientemente de las medidas de seguridad internas que tenga implementadas la organizaci\u00f3n. Una encuesta de LastPass<\/a> Se descubri\u00f3 que el 91% de los usuarios finales comprend\u00eda el riesgo de reutilizar contrase\u00f1as, pero el 59% lo hac\u00eda de todos modos. <\/p>\n

Otro riesgo de las contrase\u00f1as que “nunca caducan” es que un atacante podr\u00eda utilizar un conjunto de credenciales comprometidas durante un largo per\u00edodo de tiempo. El Instituto Ponemon descubri\u00f3 que, por lo general, una organizaci\u00f3n tarda aproximadamente 207 d\u00edas para identificar una infracci\u00f3n<\/a>Si bien imponer la caducidad de las contrase\u00f1as puede ser beneficioso en este caso, es probable que un atacante ya haya logrado sus objetivos cuando caduque la contrase\u00f1a. En consecuencia, el NIST y otras directrices recomiendan a las organizaciones que configuren contrase\u00f1as que nunca caduquen solo si tienen mecanismos para identificar las cuentas comprometidas.<\/p>\n

C\u00f3mo detectar contrase\u00f1as comprometidas<\/h2>\n

Las organizaciones deben adoptar una estrategia integral de contrase\u00f1as que vaya m\u00e1s all\u00e1 de la caducidad habitual. Esto incluye orientar a los usuarios para que creen contrase\u00f1as seguras de al menos 15 caracteres. Una pol\u00edtica de este tipo puede reducir significativamente la vulnerabilidad a los ataques de fuerza bruta. Tambi\u00e9n se puede alentar a los usuarios finales a crear contrase\u00f1as m\u00e1s largas mediante el envejecimiento basado en la longitud, en el que se permite el uso de contrase\u00f1as m\u00e1s largas y seguras durante per\u00edodos prolongados antes de que caduquen. Este enfoque elimina la necesidad de un tiempo de caducidad \u00fanico para todos, siempre que los usuarios respeten la pol\u00edtica de contrase\u00f1as de la organizaci\u00f3n.<\/p>\n\n\n\n\n
\"Gesti\u00f3n<\/a><\/td>\n<\/tr>\n
Presentaci\u00f3n de im\u00e1genes con creaci\u00f3n de contrase\u00f1as m\u00e1s seguras y envejecimiento basado en la longitud<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Sin embargo, incluso las contrase\u00f1as seguras pueden verse comprometidas y es necesario implementar medidas para detectarlo. Una vez que se han visto comprometidas, el tiempo de descifrado de una contrase\u00f1a que aparece en la parte inferior derecha de la tabla anterior pasa a ser “instant\u00e1neo”. Las organizaciones necesitan una estrategia coordinada para asegurarse de que est\u00e1n protegidas tanto de las contrase\u00f1as d\u00e9biles como de las comprometidas.<\/p>\n

Si est\u00e1 interesado en gestionar todo lo anterior de forma automatizada desde una interfaz sencilla de usar dentro de Active Directory, Specops Password Policy podr\u00eda ser una herramienta valiosa en su arsenal de ciberseguridad. A trav\u00e9s de su servicio de protecci\u00f3n de contrase\u00f1as vulneradas, Specops Password Policy puede comprobar y bloquear de forma continua el uso de m\u00e1s de 4 mil millones de contrase\u00f1as \u00fanicas conocidas que han sido comprometidas. Compru\u00e9belo usted mismo con una demostraci\u00f3n en vivo. <\/p>\n

<\/p>\n

\u00bfTe result\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n