Este año, el Día Mundial de la Contraseña es el 4 de mayo; o que “May the 4th Be With You!” para aquellos que también reconocen esta fecha como la celebración anual del Día de Star Wars. Para la celebración de este último en 2023, los fans de todo el mundo (entre los que me incluyo) se alegrarán de que Carrie Fisher (alias «Princesa Leia») sea honrada con una estrella póstuma en el Paseo de la Fama de Hollywood. Y aunque no se puede restar importancia a esta dedicatoria, el día de la semana del calendario que estas dos fiestas anuales comparten en 2023 también ilumina una conexión más oscura, una que también merece nuestra atención como profesionales y expertos en ciberseguridad. ¿Qué tienen en común Star Wars y las contraseñas? Si R2-D2 no está disponible, puedes simplemente preguntar a ChatGPT, que te dirá que cientos de miles de personas siguen utilizando referencias a Star Wars como parte de sus contraseñas hoy en día (por ejemplo, Yoda, Chewbacca, Han Solo, Darth Vader, Boba Fett, ewok, etc.).
Año tras año, estudios como el Verizon Data Breach Investigations Report (Informe anual de Verizon sobre investigaciones de filtraciones de datos) sitúan sistemáticamente al elemento humano como uno de los principales factores de las filtraciones, con un 82% de las filtraciones relacionadas con el elemento humano, según los últimos resultados de este año. Ya sea por el uso de credenciales robadas, phishing, uso indebido o simplemente un error, las personas (y sus contraseñas) siguen desempeñando un papel muy importante en los incidentes y las brechas de seguridad por igual. Pero por más que a muchos de nosotros nos gustara deshacernos por completo de las contraseñas, estas no van a ser cosa del pasado en un futuro próximo. Incluso con empresas como Microsoft, Apple y Google anunciando su compatibilidad con soluciones de autenticación sin contraseña, las aplicaciones, servicios y sistemas tardarán muchos años en adoptar y modernizarse a los nuevos protocolos. Por esta razón, en este Día Mundial de la Contraseña, todos deberíamos pararnos a pensar en cómo podemos adoptar una mejor higiene de contraseñas, acabar con las prácticas anticuadas de gestión de contraseñas y aprovechar las tecnologías modernas de autenticación para mantener nuestras cuentas e información de identidad más seguras en Internet.
En primer lugar, es hora de acabar con las contraseñas fáciles y reutilizadas. (Son mejores las contraseñas seguras (al menos 16 caracteres aleatorios) o las frases largas, y deben ser únicas para cada inicio de sesión. Aunque esto pueda parecer complicado y tedioso, nos lleva a mi segunda recomendación: empieza a utilizar un gestor de contraseñas. Los gestores de contraseñas facilitan mucho la autogeneración y el almacenamiento seguro de contraseñas complejas. Además, con un gestor de contraseñas, sólo tendrás que recordar una contraseña: la contraseña maestra de tu almacén. En tercer lugar, y quizás lo más importante, utiliza la autenticación multifactor (MFA) siempre que sea posible. Ahora mismo, MFA es la mejor forma de frenar a un atacante. Al combinar múltiples factores de autenticación, como algo que eres (huella dactilar biométrica o escáner facial), algo que tienes (como una llave hardware o un teléfono móvil) y algo que sabes (como una contraseña), incluso si un atacante consigue acceder a una contraseña con una técnica como el phishing de correo electrónico, tendrá que emplear una segunda técnica para poder hacerse con la cuenta. Ningún sistema de autenticación es completamente resistente a las herramientas y técnicas que un atacante muy motivado tiene a su disposición, pero MFA es un importante elemento disuasorio frente a una contraseña única, adivinable o comprometida.
Esperemos que algún día -en nuestra galaxia, en un futuro no muy lejano- podamos mirar atrás con asombro (y quizá incluso con un poco de confusión) y preguntarnos cómo hemos podido conmemorar el Día Mundial de la Contraseña… Hasta entonces, que la Fuerza y el 4 te acompañen en 2023.
Carla Roncato, Vicepresidenta de Identidad, WatchGuard Technologies