En los últimos años los sistemas informáticos han aumentado mucho sus niveles básicos de seguridad, los antivirus y firewalls se han hecho cada vez más eficaces, y por supuesto los sistemas de seguridad física se han vuelto más sofisticados.
Muchas empresas gastan miles de dólares al año en estas tecnologías para asegurar que su información este a salvo. Irónicamente numerosos estudios indican que el mayor hueco de seguridad no está en las tecnologías utilizadas para aumentar la seguridad, si no en los mismos empleados. Es por esta razón que en los últimos años han aumentado la cantidad de ataques basados en ingeniería social. Phishing, vishing, smishing, son sólo algunos de los muchos métodos utilizados por los atacantes para obtener información confidencial que les permita burlar los sistemas de seguridad de la empresa objetivo.
Sin embargo, no toda la culpa es de los empleados. La mayoría de las empresas (a pesar de conocer las implicaciones) tienen deficientes políticas de acceso, inadecuada protección de datos y en general falta de sensibilización al problema de seguridad.
Hace poco me topé con un paper, que publicó la firma de seguridad Imperva, en el que dejan al descubierto las peores prácticas usadas para la selección de contraseñas (Consumer Password Worst Practices). Este paper muestra el resultado de un análisis hecho sobre la base de datos de contraseñas de un famoso sitio Web, cuya seguridad quedo gravemente comprometida. Entre las muchas cosas interesantes que se pueden encontrar en el paper destacan las siguientes:
Muchas empresas gastan miles de dólares al año en estas tecnologías para asegurar que su información este a salvo. Irónicamente numerosos estudios indican que el mayor hueco de seguridad no está en las tecnologías utilizadas para aumentar la seguridad, si no en los mismos empleados. Es por esta razón que en los últimos años han aumentado la cantidad de ataques basados en ingeniería social. Phishing, vishing, smishing, son sólo algunos de los muchos métodos utilizados por los atacantes para obtener información confidencial que les permita burlar los sistemas de seguridad de la empresa objetivo.
Sin embargo, no toda la culpa es de los empleados. La mayoría de las empresas (a pesar de conocer las implicaciones) tienen deficientes políticas de acceso, inadecuada protección de datos y en general falta de sensibilización al problema de seguridad.
Hace poco me topé con un paper, que publicó la firma de seguridad Imperva, en el que dejan al descubierto las peores prácticas usadas para la selección de contraseñas (Consumer Password Worst Practices). Este paper muestra el resultado de un análisis hecho sobre la base de datos de contraseñas de un famoso sitio Web, cuya seguridad quedo gravemente comprometida. Entre las muchas cosas interesantes que se pueden encontrar en el paper destacan las siguientes:
- Top 5 de contraseñas: “123456”, “12345”, “123456789”, “Password”, “iloveyou”.
- A un atacante le hubiese tomado tan sólo un segundo descubrir la contraseña de un usuario del sitio Web.
- Recomendaciones para los usuarios: Tome una oración y conviértala en una contraseña. Ej. “la mesa de la casa tiene una pata rota” puede convertirse en “l4mdlKSAt1pr”.
- Recomendaciones para los administradores: Mejore las políticas de seguridad. Si se le da la opción, es muy probable que los usuarios elijan contraseñas débiles.
No hay comentarios:
Publicar un comentario