Claves débiles abren la puerta a hackers.

Anuncio
Claves débiles abren la puerta a hackers.
Claves débiles abren la puerta a hackers.
Usar contraseñas sencillas como Password te vuelve
vulnerable a los ataques cibernéticos; hacerlas complejas y con muchos caracteres es la protección más efectiva para
tus equipos.
Los atacantes pueden estar dentro las redes de las víctimas por meses o años antes de ser descubiertos: Verizon.
(Foto: Thinkstock) Por: Stacy Cowley SAN FRANCISCO — El principal método que utilizan los hackers para
entrar a sistemas protegidos no es una complicada proeza técnica, es adivinando la contraseña. Adivinarla no es
nada difícil, considerando que la contraseña o clave más común en los sistemas empresariales es "Password1."
Existe una razón técnica para la popularidad de esa contraseña: tiene una letra en mayúscula, un número y nueve
caracteres. Eso satisface las reglas de complejidad de muchos sistemas, incluyendo la configuración de serie del muy
usado software de gestión de identidad Active Directory, de Microsoft. La firma de servicios de seguridad Trustwave
subrayó el problema del "Password1" en su informe más reciente "2012 Global Security Report", que compendia los
hallazgos de la firma en casi 2 millones de revisiones de vulnerabilidad de redes y 300 investigaciones de violaciones a
la seguridad. Alrededor del 5% de las contraseñas involucraba una variación de la palabra "password", descubrieron los
investigadores de la compañía. La subcampeona fue la palabra "welcome", usada en más del 1% de los casos.
Contraseñas fácilmente adivinables o en blanco fueron las debilidades más frecuentes descubiertas por la unidad
SpiderLabs de Trustwave el año pasado, luego de aplicar pruebas de penetración en los sistemas de sus clientes. La
firma aplicó una variedad de herramientas de descifrado de contraseñas sobre 2.5 millones de claves, y pudo decodificar
con éxito más de 200,000. Verizon ofreció resultados parecidos en su reporte anual "2012 Data Breach Investigations
Report", uno de los estudios más comprensivos de la industria de la seguridad. El informe completo será difundido
dentro de unos meses, pero Verizon adelantó algunos de sus descubrimientos en la conferencia RSA celebrada la
semana pasada en San Francisco. El año pasado, aprovechar las contraseñas adivinables o poco complejas fue el
principal método usado por los atacantes para acceder a los sistemas. Esa estrategia jugó un papel en el 29% de las
violaciones de seguridad investigadas por el equipo de Verizon. El hallazgo más aterrador hecho por Verizon es que
los atacantes suelen estar dentro de las redes de las víctimas por meses o años antes de ser descubiertos. Menos del
20% de las intrusiones investigadas por la empresa fueron detectadas en días, ya no digamos horas. Más aterrador
aún es que pocas compañías detectaron por su cuenta la violación de seguridad. Más de dos tercios supieron que
habían sido atacadas luego de que un tercero se los notificara (por ejemplo, una autoridad judicial). Las conclusiones del
reporte de Trustwave son casi idénticas: solamente el 16% de los casos estudiados el año pasado se detectaron de
forma interna. Entonces, si la contraseña es algo que puede adivinarse, ¿cuál es la mejor manera de hacerla más
segura? Alargarla. Hacerla más compleja (por ejemplo, sustituir "password" por "p@S$w0rd") protege contra los
llamados ataques de diccionario, que introducen automáticamente una lista de palabras estándar. Pero dado que los
atacantes usan cada vez más recursos para explorar cualquier combinación de caracteres posible... la longitud es la
única protección efectiva. Una contraseña de siete caracteres tiene 70 billones de combinaciones posibles; una de ocho
tiene más de 6 trillones. Con todo, las opciones de varios trillones no asustan a las máquinas modernas. Trustwave
usó una computadora de 1,500 dólares hecha de partes ensambladas, y tardó sólo 10 horas para cosechar 200,000
contraseñas descifradas. "Tenemos que usar cosas que superen la capacidad de la memoria humana," señaló el
experto en seguridad Dan Kaminsky durante su ponencia en la conferencia RSA. Reconoció que es una dura batalla. La
autenticación biométrica, las tarjetas inteligentes, los generadores de claves de una única vez y otras soluciones pueden
aumentar la seguridad, pero a costa de incrementar la complejidad. "La ventaja fundamental de la contraseña sobre
cualquier otra tecnología de autenticación es su absoluta simplicidad sobre cualquier dispositivo. Desde luego, esa es
también su falla fundamental," resumió Kaminsky.
http://www.rosenblueth.mx/sitio - Fundación Arturo Rosenblueth
Powered by Mambo
Generated:1 December, 2016, 14:26
Descargar