¿Las contraseñas siguen siendo adecuadas para su propósito?

En medio del aumento de los problemas de ciberseguridad que han acompañado a la pandemia de coronavirus, el principal medio de piratear un sistema sigue siendo el resultado de una seguridad de contraseña débil. La humilde contraseña ha estado a la vanguardia de la ciberseguridad desde los primeros dispositivos digitales y sigue siendo el baluarte de nuestras defensas en la actualidad.

Esto se debe en gran parte a que las contraseñas son muy fáciles de usar e, incluso si están comprometidas, pueden reemplazarse fácilmente. Además, no sufren problemas de compatibilidad y no necesita ningún hardware adicional para usarlos. También son increíblemente baratos de implementar, por lo que a las organizaciones de todo el mundo les encanta usarlos. El problema es que las contraseñas pueden verse comprometidas de diferentes maneras, lo que las convierte en una primera línea de defensa bastante porosa contra los piratas informáticos.

Sin embargo, esto no parece disuadirnos de usarlos, como revelan los datos del Índice de gestión de acceso Thales 2020. Su estudio de alrededor de 400 altos responsables de la toma de decisiones de TI de toda Europa y Oriente Medio reveló que casi 1 de cada 3 organizaciones todavía ven el humilde nombre de usuario y la contraseña como una de sus herramientas de seguridad más eficaces.

Casado con un método fallido

Es más, a pesar de que el fallecido Fernando Corbato, el creador de la contraseña estática, declara regularmente en los últimos años que las contraseñas son un enfoque deficiente para la seguridad, los datos de Thales encontraron que el 67% de las organizaciones es probable que aumente el uso de nombres de usuario y contraseñas en los años venideros. Para muchos administradores de TI, esto se debe a que la combinación de nombre de usuario y contraseña es muy conocida a nivel de directorio, lo que hace que sea mucho más fácil de vender que cualquier otro método más complejo, pero efectivo.

La encuesta continúa revelando que las preocupaciones por la seguridad están creciendo en la región de EMEA, y la mayoría de los gerentes de TI destacan que la infraestructura desprotegida era su principal preocupación. Como resultado, Thales cree que cualquier organización que confíe en contraseñas para mantener segura una infraestructura tan importante se está volviendo extremadamente vulnerable.

“A medida que más y más empresas adoptan servicios basados ​​en la nube para CRM, correo electrónico, colaboración de empleados e infraestructura de TI como parte de sus estrategias de transformación digital, la lucha por extender las viejas soluciones, diseñadas para proteger los recursos internos, al mundo exterior se convierte en muy problemático ”, dice Francois Lasnier, vicepresidente de gestión de acceso de Thales. “A menudo, en un esfuerzo por adaptarse a los nuevos hábitos de trabajo de los usuarios que se conectan desde cualquier lugar, lo que es cada vez más pertinente en este momento y se convertirá en un estándar en el futuro, las empresas tienden a volver a los antiguos inicios de sesión basados ​​en contraseñas para los servicios en la nube desesperados. Esto está aumentando a sabiendas su exposición de seguridad al relleno de credenciales y ataques de phishing “.

Seguridad versus conveniencia

Con el coronavirus obligando a muchos de nosotros a trabajar desde casa, a menudo con sistemas bastante ad hoc, existe un claro deseo entre muchas organizaciones de optar por la conveniencia sobre la seguridad para garantizar que su fuerza laboral pueda permanecer conectada. Esto se refleja en el Thales datos, y casi el 70% de los gerentes de TI revelaron que habían sido presionados para garantizar que se brindara a los empleados un acceso conveniente a las aplicaciones y los servicios en la nube. El hecho de que también fueran presionados para garantizar que este acceso se brindara de manera segura subraya los desafíos que enfrentan.

Una solución común a este enigma parece ser una sólida autenticación y soluciones de administración de acceso, que casi todos los encuestados revelaron que estaban usando para facilitar la adopción de la nube de manera segura. Más de las tres cuartas partes de los gerentes de TI también pensaban que la autenticación de los empleados necesitaba hacer más para respaldar el acceso seguro a una amplia gama de servicios, ya sea en la nube o en redes privadas virtuales.

El fuerte apoyo a las contraseñas había llevado a muchos administradores de TI a intentar hacerlas más sólidas. Por ejemplo, casi todos habían actualizado sus políticas de seguridad en torno a la gestión de acceso el año pasado, y alrededor de la mitad había proporcionado al personal formación específica sobre gestión de acceso. Si bien esto tiene sus raíces en una mejor seguridad, también existe un fuerte ángulo de cumplimiento, y casi todos los gerentes de TI europeos citan el cumplimiento de GDPR como un factor clave en sus intentos de reforzar los procedimientos de administración de acceso.

Sin embargo, es probable que sea una batalla continua, y los gerentes de TI esperan que una mayor conciencia de la ciberseguridad y, de hecho, la presencia de ejecutivos de TI en los consejos de administración de la empresa, fomente una mayor inversión en cosas como la autenticación biométrica y el SSO inteligente. A pesar del optimismo general hacia estas tecnologías, muchos todavía creen que el uso de nombres de usuario y contraseñas continuará en los próximos años.

“Durante mucho tiempo, la batalla más grande que han enfrentado los líderes de TI es aumentar la conciencia de la junta sobre tomar en serio la amenaza de la seguridad”, concluye Lasnier. “Ahora que tienen esa aceptación, el enfoque debe estar en resaltar la importancia que juega la administración de acceso en la implementación de una política de seguridad de confianza cero para su administración ejecutiva. Con esto en su lugar, los profesionales de la gestión de riesgos podrán implementar un enfoque de ‘Proteger en todas partes – No confiar en nadie’ a medida que se expanden en la nube “.

Ir arriba