En esta entrega, las contaseñas ocupan el puesto de honor por la importancia que se les concede en el acceso a los sistemas informáticos y el hecho de que las presiones sobre los usuarios de los ciberdelincuentes para apropiarlas son cada ver mas sofisticados y variados. Este comentario se acompañará de varias imágenes obtennidas de una agencia gubernamental española, INCIBE, que desarrolla un trabajo muy destacado en materia de ciberseguridad.
Los sistemas informáticos para dar acceso a las personas autorizadas a utilizar sus servicios utilizan diversos métodos para garantizar que quien intentan entrar al mismo es quien dice ser, para ello el uso de credenciales es una de las vías más utilizadas, aunque no se descartan algunos más sofisticados basados en técnicas biométricas como son la huella dactilar o el control a través de retina.
Se han creado mecanismos para reforzar el control de las entradas como es el caso del llamado “segundo factor de autenticación” conocido por la sigla “2FA”. En fin, que los controles y verificaciones pueden ser múltiples.
En los sistemas informáticos para la entrada pueden señalarse tres momentos básicos: la identificación, la autenticación y la autorización y en este proceso es vital la existencia de contraseñas.
La entrada del nombre de usuario y la contraseña para este, es la que hace posible, si es legítima la combinación, que se autorice la entrada al sistema informático.
Es importante que se tenga en cuenta que la combinación de nombre de usuario y contraseña es personal e intransferible, pues solo así se garantiza que al sistema informático penetren las personas que están autorizadas a utilizar sus recursos. Esta combinación de credenciales garantiza la confidencialidad, la integridad y la disponibilidad de la información y los datos.
Tanto en la legislación cubana como en las buenas prácticas sobre ciberseguridad se establece que las contraseñas son de uso personal e intransferible y deben ser protegidas por el usuario, ya que al resquebrajarse estas condiciones se facilita el acceso legítimo a un posible atacante.
Los ciberdelincuentes antes de intentar la entrada por la “fuerza” a un sistema informático intentan múltiples subterfugios, entre los tienen un sitio destacado el phishing y la ingeniería social, como métodos de engaño a los usuarios.
De esto se deduce que por ningún motivo se deben entregar las credenciales de usuario a nadie que las solicite, aunque se informe que se perderá la posibilidad de entrar al sistema informático.
Por otra parte, es importante atender la cuestión de la fortaleza de las contraseñas, donde con mucha frecuencia se utilizan nombres y/o fechas de nacimiento de seres queridos y otros que son fáciles de detectar por los atacantes, que siempre desarrollarán un “estudio de factibilidad” para quebrar las defensas del usuario. Es importante saber que en los servidores las contraseñas, por razones de seguridad y también por ley, se guardan encriptadas, por lo que nunca un administrador de red solicitará contraseñas de usuarios, ya que las credenciales administrativas lo proveen de permisos para cumplimentar las acciones que le son necesarias a sus funciones y además porque las credenciales de usuario garantizan la confidencialidad, integridad y disponibilidad de los datos y la información como se ha apuntado antes. Todo lo que se ha mencionado hasta aquí es aplicable a todos los sistemas donde se entrega una contraseña, por ende, en el caso de la banca, los llamados PIN cumplen similar función y por ende deben ser protegidos, lo que incluye también ekl número de la cuenta y tarjeta.
De esto se desprende que en el manejo de las credenciales de usuarios existen cuestiones que son inviolables, por ello, existen consejos que no es ocioso repetir:
1. Las contraseñas no se comparten, son personales e intransferibles.
2. Solo se utilizan en ambientes seguros, cuando se recibe una alerta sobre la seguridad en el terminal no deben ser utilizadas, en especial en sistema multiusuarios.
3. Nunca debe seleccionarse la opción de “recordar” que proponen algunas aplicaciones.
4. Las contraseñas se forman con combinaciones no menos de 8 caracteres, que incluyan letras mayúsculas y minúsculas, símbolos y números.
5. Es conveniente utilizar contraseñas diferentes para cada servicio que disponga el usuario, ante el inconveniente de memorizar múltiples contraseñas, se puede utilizar un administrador de contraseñas.