Nuestros sondeos indican que 61% de los usuarios tiene una “única password” y el 55% admite que utiliza contraseñas débiles u obvias. Las contraseñas más largas no están a salvo de esfuerzos de descripción mediante el empleo de herramientas veloces y potentes.
El nombre de tu perro, loro o gato, tu club de futbol, marca de auto, el nombre de tu hijo o tu número de teléfono. Las contraseñas, siguen siendo el método principal de autenticación, la necesidad de mejorar la construcción de las mismas permanece, las técnicas de hacking mejoran mucho más rápido que las habilidades de los usuarios y de la industria, las passwords “fuertes” de entre 12 y 16 caracteres son capturadas y robadas por ciberdelincuentes continuamente. «admin» y “123456” permanecen como las más comprometidas y comunes, al igual que “contraseña”, “password”, “pass@123”, “p@ssw0rd”. La posibilidad de reutilización de contraseñas en organizaciones que no implementan controles de contraseñas estrictos es una constante.
Las contraseñas más largas son más difíciles de adivinar y descifrar mediante ataques de fuerza bruta y del uso de técnicas de diccionario híbrido. Las passwords o llaves de acceso siguen siendo un problema y un punto de debilidad en las estrategias de ciberseguridad de muchas organizaciones.
Una cantidad importante de los ciberdelitos todavía se nutren de una materia prima fundamental, robar y traficar contraseñas es un nuevo negocio, venderlas y utilizarlas como punto de acceso inicial para las organizaciones infractoras. En nuestra experiencia de campo el 80% de los incidentes de ciberseguridad son provocados por errores humanos y cerca del 41% se vinculan con passwords robadas.
El 32% dijo que solo realizaba un pequeño cambio en una contraseña anterior, como por ejemplo cambiar el mes o el año y el 25% nos dijo que simplemente reutiliza una contraseña antigua.
Las formas en que generalmente se obtienen contraseñas débiles incluyen básicamente dos modelos; Ataque de fuerza bruta, utilizan software para intentar todas las combinaciones posibles de caracteres hasta encontrar la contraseña o clave de descifrado correcta, es decir; «contraseña» podría ser el término base de una lista de diccionario. Un ataque de fuerza bruta probará todas las variaciones posteriores, como “contraseña, Contraseña, Contraseña1, Contraseña2”. etcétera. Mask attack, es una forma de fuerza bruta, en la que los atacantes utilizan elementos conocidos y pre-armados de construcción de contraseñas comunes y pueden reducir la cantidad de combinaciones que necesitarán para acertar, el delincuente asume que muchas contraseñas tienen ocho caracteres, comienzan con una letra mayúscula y terminan con varios caracteres de puntuación, como «¡Bienvenido1!». Por lo tanto, es posible que solo prueben combinaciones que coincidan con este patrón, lo que reduce la cantidad de contraseñas a intentar.
Dictionary attack, utiliza «listas de diccionarios» predefinidas de posibles posibilidades para adivinar contraseñas o claves de descifrado. Estos podrían variar desde contraseñas de uso frecuente y frases comunes hasta términos comunes en industrias específicas, explotando la tendencia humana a optar por la simplicidad y la familiaridad al crear contraseñas. Los piratas informáticos utilizan las plataformas de redes sociales para recopilar información sobre usuarios específicos y sus organizaciones, obteniendo información de inteligencia sobre los posibles nombres de usuario y contraseñas que pueden elegir.
Un paseo por el teclado, donde los caracteres están uno al lado del otro en un teclado, es una constante, la gente elige estos ‘paseos con los dedos’ como contraseñas, ya que son rápidos de escribir y fáciles de recordar al mirar un teclado. Si bien el resultado no es una palabra real, los delincuentes saben que deben incluir estos patrones comunes en su diccionario y en sus ataques de fuerza bruta. Los patrones de teclado más utilizados son “qwerty”, «qwert» y «werty».
Los ciberdelincuentes buscarán elevar los privilegios de una cuenta de usuario básico, por lo que es recomendable proteger todas las cuentas, pero mecánicamente buscarán comprometer una cuenta de administrador, ya que tendrá más opciones después de obtener acceso no autorizado.
Solo 2 de cada 10 usuarios utiliza una contraseña segura.
EL 22% las anota en papel o en un medio digital en su celular o computadora.
Es necesario tener una política de contraseñas que impida que los usuarios finales creen contraseñas débiles pero aún las contraseñas seguras pueden verse comprometidas mediante filtraciones de datos, técnicas de phishing e intrusiones sobre medios en donde los usuarios resguardan sus passwords.