Actualmente las ciberamenazas se han posicionado como uno de los delitos de mayor prevalencia en empresas de todo tipo y aquellas con enfoque a la atención a la salud no son la excepción.
En este escenario, ninguna organización está exenta de sufrir ciberataques, por lo cual, es importante incluir dentro de las prácticas cotidianas pequeñas, pero importantes acciones con el fin de limitar al máximo las posibles intrusiones en nuestros sistemas operativos. En México, solo cuatro de cada diez empresas (41%) aseguran contar con un programa integral de prevención, detección y respuesta ante potenciales casos de ciberfraude, mientras que dos de cada diez (21%) ni siquiera cuentan con alguna medida formal en materia de prevención de delitos.
Por estas razones, queremos compartir algunos consejos para el buen uso y manejo de contraseñas.
1. Las contraseñas: Son parte fundamental de la seguridad de una empresa, ya que permiten el acceso a información, aplicaciones o sistemas. Las contraseñas son utilizadas por los trabajadores para poder acceder desde sus dispositivos y realizar su trabajo, por lo que es importante que la empresa disponga de un protocolo de contraseñas seguras que permita garantizar la seguridad de los accesos, impidiendo que ninguna persona no autorizada se conecte a la red y disponga de acceso a sistemas e información.
2. Protocolos: Todo protocolo de contraseña segura debe incluir una serie de reglas para generar una contraseña sólida y robusta que dificulte los intentos de crackear por parte de terceros. Para ello es necesario que la organización establezca políticas y procedimientos a cumplir a la hora de crear o modificar una contraseña como la longitud de la misma, el uso de números y letras, el uso de símbolos, etc.
3. Control de acceso: La mejor forma de controlar el primer acceso de un trabajador a la red es proporcionándole una primera contraseña segura. Para ello la empresa debe disponer de un sistema de generación de claves seguras aleatorias que serán proporcionadas a los usuarios para su primer acceso.
4. Rotación de credenciales: Un solo acceso no autorizado a un sistema puede poner en riesgo a toda la organización. Por eso es importante disponer de un sistema de rotación que obligue a los usuarios a modificar sus contraseñas cada cierto tiempo. Con esta acción se reducirán las amenazas ocasionadas por crackers, keyloggers y otros métodos habituales para el robo de contraseñas por parte de ciberdelincuentes.
5. Permisos o privilegios: La rotación de credenciales es una herramienta muy útil, sobre todo para algunos tipos de cuentas con altos privilegios, como es el caso de administradores de TI.
6. Tamaño de contraseña: La contraseña debe ser larga para que programas de descifrado y crackeo de contraseñas necesiten más tiempo para poder descifrarla. A mayor número de caracteres tenga una contraseña más difícil será de averiguar, por lo que es importante no utilizar una sola palabra y recurrir a una combinación de varias o incluso a una frase.
7. Contenido: Utilización de caracteres, número y símbolos como parte de la contraseña incluyendo letras mayúsculas y minúsculas: La contraseña debe tener una combinación de letras, números y símbolos que se encuentren distribuidos a lo largo de la misma. Esta combinación hará que los programas de fuerza bruta lo tengan más difícil que necesitarán probar todas las combinaciones posibles utilizando todos estos elementos. Así mismo, Toda contraseña debe incluir letras en mayúsculas y minúsculas porque así multiplicará las posibles combinaciones que deba buscar un programa de descifrado de contraseñas.
8. Evitar contraseñas obvias: A la hora de crear una contraseña segura es importante no cometer ciertos errores habituales como son: Serie de números o letras como 123 o qwerty, no incluir fechas como el año de nacimiento, o utilizar datos personales, como nombre, apellidos, nombre de mascotas, ciudades, direcciones, etc., no generar contraseñas similares a otras ya utilizadas anteriormente.
9. Reducir el número de intentos de acceso: Si el sistema en cuestión lo permite, fijar un número de tentativas para poder acceder de forma correcta y, en caso contrario, se podrá optar por bloquear el acceso temporal o incluso de forma permanente, por lo que el trabajador deberá ponerse en contacto con el departamento TI para poder desbloquear el usuario y recibir una nueva password.