Un informe reciente revel\u00f3 que el proveedor de comercio electr\u00f3nico, Shopify, utiliza pol\u00edticas de contrase\u00f1a particularmente d\u00e9biles en la parte de su sitio web orientada al cliente. Seg\u00fan el informe, Shopify requiere que sus clientes usen una contrase\u00f1a que tenga al menos cinco caracteres y que no comience ni termine con un espacio. <\/p>\n
Seg\u00fan el informe, los investigadores de Specops analizaron una lista de mil millones de contrase\u00f1as que se sab\u00eda que hab\u00edan sido violadas y descubrieron que el 99,7% de esas contrase\u00f1as cumplen con los requisitos de Shopify. Si bien esto no pretende sugerir que se hayan violado las contrase\u00f1as de los clientes de Shopify, el hecho de que tantas contrase\u00f1as violadas conocidas se adhieran a los requisitos m\u00ednimos de contrase\u00f1a de Shopify subraya los peligros asociados con el uso de contrase\u00f1as d\u00e9biles.<\/p>\n
El peligro de las contrase\u00f1as d\u00e9biles en tu Active Directory <\/h2>\n
Un estudio reciente de Hive Systems<\/a> hace eco de los peligros de usar contrase\u00f1as d\u00e9biles. El estudio examina la cantidad de tiempo que se requerir\u00eda para descifrar por fuerza bruta contrase\u00f1as de varias longitudes y con diferentes niveles de complejidad. Seg\u00fan la infograf\u00eda de Hive Systems, una contrase\u00f1a de cinco caracteres se puede descifrar instant\u00e1neamente, independientemente de su complejidad. Dada la facilidad con la que se pueden descifrar contrase\u00f1as m\u00e1s cortas utilizando la fuerza bruta, lo ideal es que las organizaciones requieran contrase\u00f1as complejas que tengan al menos 12 caracteres de longitud.<\/p>\n Incluso si dejara de lado las implicaciones de seguridad asociadas con el uso de una contrase\u00f1a de cinco caracteres, existe un problema potencialmente mayor: el cumplimiento normativo.<\/p>\n Es tentador pensar en el cumplimiento normativo como el tipo de cosas por las que solo las grandes empresas tienen que preocuparse. Como tal, muchos peque\u00f1os vendedores independientes que abren cuentas de Shopify pueden desconocer felizmente los requisitos regulatorios asociados con hacerlo. Sin embargo, la industria de tarjetas de pago requiere que cualquier negocio que acepte pagos con tarjeta de cr\u00e9dito adherirse a los est\u00e1ndares oficiales de seguridad PCI<\/a>. <\/p>\n Una de las cosas buenas de usar Shopify o una plataforma de comercio electr\u00f3nico similar es que los minoristas no tienen que operar sus propias pasarelas de pago con tarjeta. En cambio, Shopify maneja el procesamiento de transacciones en nombre de sus clientes. Esta subcontrataci\u00f3n del proceso de pago protege a los propietarios de negocios de comercio electr\u00f3nico de muchos de los requisitos de PCI. <\/p>\n Por ejemplo, los est\u00e1ndares PCI requieren que los comerciantes protejan los datos almacenados del titular de la tarjeta. Sin embargo, cuando una empresa de comercio electr\u00f3nico subcontrata su procesamiento de pagos, normalmente no estar\u00e1 en posesi\u00f3n de los datos de la tarjeta de cr\u00e9dito del cliente. Como tal, el propietario de la empresa puede evitar efectivamente el requisito de proteger los datos del titular de la tarjeta si, en primer lugar, nunca est\u00e1 en posesi\u00f3n de esos datos.<\/p>\n Sin embargo, un requisito de PCI que podr\u00eda ser m\u00e1s problem\u00e1tico es el requisito de identificar y autenticar el acceso a los componentes del sistema<\/a> (Requisito 8). Aunque los est\u00e1ndares de seguridad de PCI no especifican la longitud requerida de la contrase\u00f1a, la Gu\u00eda de referencia r\u00e1pida de PCI DSS establece en la p\u00e1gina 19 que “Todos los usuarios deben tener una contrase\u00f1a segura para la autenticaci\u00f3n”. Dada esta declaraci\u00f3n, ser\u00eda dif\u00edcil para un minorista de comercio electr\u00f3nico justificar el uso de una contrase\u00f1a de cinco caracteres.<\/p>\n Esto, por supuesto, plantea la pregunta de qu\u00e9 pueden hacer las empresas de comercio electr\u00f3nico para mejorar la seguridad general de sus contrase\u00f1as. Quiz\u00e1s la recomendaci\u00f3n m\u00e1s cr\u00edtica ser\u00eda reconocer que los requisitos m\u00ednimos de contrase\u00f1a asociados con un portal de comercio electr\u00f3nico pueden ser inadecuados. Desde el punto de vista de la seguridad y el cumplimiento, suele ser recomendable utilizar una contrase\u00f1a que sea m\u00e1s larga y m\u00e1s compleja de lo que se requiere m\u00ednimamente.<\/p>\n Otra cosa que deben hacer los minoristas de comercio electr\u00f3nico es analizar seriamente lo que se puede hacer para mejorar la seguridad de las contrase\u00f1as en sus propias redes. Esto es especialmente cierto si los datos de los clientes se almacenan o procesan en su red. De acuerdo a un estudio de 2019<\/a>, el 60% de las peque\u00f1as empresas cierran dentro de los 6 meses de haber sido pirateadas. Como tal, es extremadamente importante hacer todo lo posible para evitar un incidente de seguridad y una gran parte de eso implica asegurarse de que sus contrase\u00f1as sean seguras. <\/p>\n El sistema operativo Windows contiene configuraciones de pol\u00edticas de cuenta que pueden controlar los requisitos de longitud y complejidad de la contrase\u00f1a. Si bien tales controles son indudablemente importantes, la Pol\u00edtica de contrase\u00f1as de Specops puede ayudar a las organizaciones a crear pol\u00edticas de contrase\u00f1as a\u00fan m\u00e1s s\u00f3lidas de lo que es posible utilizando solo las herramientas nativas integradas en Windows.<\/p>\n Una de las capacidades m\u00e1s convincentes que ofrece Specops Password Policy es su capacidad para comparar las contrase\u00f1as utilizadas dentro de una organizaci\u00f3n con una base de datos de miles de millones de contrase\u00f1as que se sabe que han sido comprometidas. De esa manera, si se descubre que un usuario est\u00e1 usando una contrase\u00f1a comprometida, la contrase\u00f1a se puede cambiar antes de que se convierta en un problema.<\/p>\n La pol\u00edtica de contrase\u00f1as de Specops tambi\u00e9n permite a las organizaciones crear una lista de palabras o frases prohibidas que no deben incluirse en las contrase\u00f1as. Por ejemplo, un administrador puede crear una pol\u00edtica para evitar que los usuarios utilicen el nombre de su empresa como parte de su contrase\u00f1a. <\/p>\n Adem\u00e1s, las organizaciones pueden usar la pol\u00edtica de contrase\u00f1as de Specops para bloquear las t\u00e9cnicas que los usuarios usan com\u00fanmente para eludir los requisitos de complejidad de las contrase\u00f1as. Esto podr\u00eda incluir el uso de caracteres repetidos consecutivos (como 99999) o el reemplazo de letras con s\u00edmbolos de aspecto similar (como $ en lugar de s). <\/p>\n La conclusi\u00f3n es que la Pol\u00edtica de contrase\u00f1as de Specops puede ayudar a su organizaci\u00f3n a crear una pol\u00edtica de contrase\u00f1as que sea mucho m\u00e1s segura, lo que dificultar\u00e1 que los ciberdelincuentes obtengan acceso a sus cuentas de usuario. Puede probar la pol\u00edtica de contrase\u00f1as de Specops en su Active Directory de forma gratuita, en cualquier momento. <\/p>\n <\/p>\n<\/div>\nEvitar los requisitos de PCI con un sistema de pago de terceros <\/h2>\n
Comience a reforzar la seguridad de TI internamente <\/h2>\n