Establecer contraseñas sencillas y fáciles de adivinar facilita a los cibercriminales acceder a los perfiles de distintos servicios como el correo electrónico o las redes sociales
El correo electrónico, las redes sociales, cuentas en servicios de pago… todas estas plataformas requieren el uso de un usuario y contraseña para acceder. Check Point Software Technologies Ltd señala que, a pesar de ser un nivel básico de seguridad, es frecuente que no se preste la atención necesaria a la hora de establecer una contraseña de garantías, por lo que sigue siendo uno de los puntos más débiles en materia de seguridad. Por ello, la compañía alerta de que los cibercriminales emplean técnicas como el Password Spraying para averiguar la contraseña de los usuarios y acceder a sus perfiles sin que estos sean conscientes de este hecho.
¿Qué es y cómo funciona el Password Spraying?
A la hora de configurar una contraseña, es fundamental que esta sea lo más robusta y compleja posible para dificultar al cibercriminal que pueda descifrarla. Sin embargo, muchas veces los usuarios no tienen en cuenta este hecho y crean contraseñas sencillas como enumeraciones (123456) o la propia palabra “password” que, por su facilidad para ser memorizadas, se repiten. El Password Spraying es una técnica de ataque que justamente aprovecha este hecho, contraseñas débiles o comúnmente utilizadas.
El cibercriminal detrás de este ataque lleva a cabo una estrategia conocida como fuerza bruta. Cuenta con un listado de las claves de acceso más utilizadas y se dedica, empleando software para ello, a probar cada una de estas contraseñas en el servicio al que quiera acceder. Contrariamente a lo que pueda parecer, esta es una práctica muy habitual. De hecho, según una encuesta del Centro Nacional de Ciberseguridad de Reino Unido, el 75% de las empresas emplea contraseñas catalogadas entre las 1.000 más utilizadas y fácilmente hackeables, un gran riesgo para la seguridad de la información.
¿Cómo protegerse frente a esta amenaza?
Conscientes de este hecho, desde Check Point señalan algunas claves para protegerse frente al Password Spraying y dificultar la tarea a los cibercriminales:
- Evitar las contraseñas adivinables: Es necesario dejar de lado nombres, fechas o palabras comunes. En su lugar, lo más recomendable es crear una contraseña única de al menos ocho caracteres que combine letras (tanto mayúsculas como minúsculas), números y símbolos.
- Utilizar un gestor de contraseñas: También es fundamental evitar utilizar la misma contraseña para varios perfiles. Para ello, se puede utilizar un gestor de contraseñas, que permiten tanto administrar como generar claves de acceso robustas para cada servicio basadas en las pautas que el usuario decida.
- Habilitar la autenticación en dos pasos: Si tenemos una contraseña débil y no queremos cambiarla, e incluso aunque sea robusta, es recomendable optar por habilitar la autenticación de dos pasos. Esta capa de seguridad extra, que algunos servicios como Gmail o Outlook ya ofrecen a sus usuarios, pide al usuario que introduzca una segunda clave, que por lo general llega a través de un SMS. De esta forma, se evita el acceso a nuestra cuenta incluso aunque tengan el usuario y la contraseña.
“A la hora de garantizar los máximos niveles de ciberseguridad, es tan importante contar con las tecnologías más avanzadas como evitar riesgos tan fácilmente evitables como las contraseñas”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal. “El Password Spraying es un tipo de ciberataque que puede remediarse fácilmente configurando contraseñas robustas de 8 caracteres como mínimo que intercalen letras, símbolos y signos de puntuación. De esta forma, los cibercriminales tendrán mucho más difícil adueñarse de las claves y garantizaremos un primer nivel de ciberseguridad óptimo”, concluye Nieva.
