www.pwc.

com/ve

Inicio

Boletín de Consultoría Gerencial
El Password: Factor crítico de éxito para proteger la información contra los Hackers
Boletín Digital No. 15 - 2011

Espiñeira, Sheldon y Asociados

Boletín Consultoría Gerencial - No. 15 - 2011
Contenido Cerrar Imprimir

Página anterior

Página siguiente

Contenido
Haga click en los enlaces para navegar a través del documento
4Introducción 4Definición de contraseñas seguras 4Programa de concientización y cultura 4Controles complementarios al uso de contraseñas seguras 4Controles en la transmisión y almacenamiento de contraseñas 4Conclusiones 4Créditos / Suscribirse

No. 15 - 2011
Contenido Cerrar Imprimir

Página anterior

Página siguiente

Boletín de Consultoría Gerencial
Introducción
“El conflicto entre la necesidad de construir contraseñas de difícil deducción y la necesidad para mantenerlas fáciles de recordar, ha hecho de la seguridad de la contraseña un problema complejo” M. M. King1 La definición de contraseñas seguras (Strong Password) es una necesidad imperativa para habilitar accesos seguros tanto a la información personal en las redes sociales, cuentas de correo, Internet Banking, así como los sistemas y recursos de red empresarial. La definición de contraseñas seguras reduce los riesgos asociados al acceso no autorizado, manipulación y destrucción de información de forma accidental o deliberada y la protege de una posible divulgación no autorizada.

El Password: Factor crítico de éxito para proteger la información contra los Hackers
Definición de contraseñas seguras
Sin embargo, el uso de contraseñas seguras no reemplaza la necesidad de otros controles de seguridad, los cuales deben actuar en conjunto para proteger la información de manera eficaz. La eficacia de los controles de acceso viene dada por cuatro (4) factores: • Definición de contraseñas seguras o complejas • Educación y cultura de seguridad en la protección de contraseñas • Controles complementarios al uso de contraseñas seguras Muchas personas son de la opinión que la definición de contraseñas seguras no es funcional dado el número de contraseñas que manejan, la dificultad que tienen para construirlas y recordarlas, sobre todo ahora con el crecimiento de las redes sociales y el uso de smartphones. Esta situación, trae consigo mayores probabilidades de generar brechas de seguridad, como por ejemplo escribir las contraseñas y ubicarlas en lugares no seguros, tales como debajo de los teclados, en archivos planos en sus computadores e incluso en el sitio de trabajo visibles a cualquier persona.

1

Maria M. King es la autora de “Rebus passwords”, trabajo presentado en la Séptima Conferencia Anual de Aplicaciones de Seguridad Infórmatica (Computer Security Applications). Editado por IEEE Press, 1991.

No obstante, la situación mencionada puede ser • Controles en la transmisión y almacenamiento solventada empleado técnicas para la definición de contraseñas de contraseñas seguras y estableciendo esquemas de educación y concientización de usuarios, cuyo objetivo es eliminar el uso de contraseñas de fácil deducción mientras permite al usuario la definición de las mismas de manera robustas y fácilmente memorizables.

No. 15 - 2011
Contenido Cerrar Imprimir

Página anterior

Página siguiente

Boletín de Consultoría Gerencial
Definición de contraseñas seguras
Para alcanzar el objetivo planteado, es importante considerar los siguientes aspectos entorno a la definición correcta de contraseñas seguras: • Deben poseer un mínimo de ocho (8) caracteres, constituida por letras mayúsculas, minúsculas, números y al menos un (1) carácter no alfanumérico (puntuación y/o símbolos) • No usar palabras en ningún idioma, dialecto, argot, o que puedan estar presentes en diccionarios • No usar información personal como nombres (familiares, mascotas, etc) o fechas como cumpleaños y aniversarios • No usar acrónimos, palabras o frases relacionadas con la universidad o el trabajo (Go Bulls!!!, Hacer más con menos, Do not smoking!!!)

El Password: Factor crítico de éxito para proteger la información contra los Hackers

• No usar términos de computación, comandos, sites o nombre de aplicaciones o software (Delete, Windows, etc) • No usar patrones de palabras o números (“aaabbb”, “qwerty”, “123456”, “abc123”, “zyxwvuts”, etc)

• No anteponer o agregar ante un cambio de contraseña caracteres adicionales (“gteks”#67”, “gteks”#678”, “gteks”#679” o “1gteks”#67”, “2gteks”#67”, “3gteks”#67”, etc.)

A continuación se describe una técnica que permite definir contraseñas seguras y fáciles de recordar por su propietario:
Descripción Escribir una frase Transformar la frase en una secuencia de letras Incrementar la complejidad Incorporar números intercalados Incorporar marcas de puntuación y símbolos Sugerencia Pensar en algo útil o significativo para usted Usar la primera letra de cada palabra y números (si aplica) Colocar en Mayúsculas la mitad de las letras Sustituir letras por números o intercalarlos Colocar una marca de puntuación al inicio y un símbolo al final o viceversa. Ejemplo • Hacer ejercicios treinta minutos diarios y comer sano es salud • hetmdycses (10 caracteres) • HETMDycses (10 caracteres) • HE30MDycses (11 caracteres) • *HE30MDycses¿ (13 caracteres)

No. 15 - 2011
Contenido Cerrar Imprimir

Página anterior

Página siguiente

Boletín de Consultoría Gerencial
Programa de concientización y cultura
Las técnicas para la definición de contraseñas seguras, no es suficiente para proteger la confidencialidad e integridad de la información, por ello es necesario incurrir en un programa de concientización y cultura que contemple los siguientes aspectos: • No compartir o revelar las contraseñas a ninguna persona, lo cual incluye familiares, amigos, compañeros de trabajo, jefes o supervisores, entre otros • Las contraseñas no deben ser mostradas, almacenadas, escritas ni transmitidas en texto claro • No hablar de la técnica para definir sus contraseñas en presencia de otros

El Password: Factor crítico de éxito para proteger la información contra los Hackers

• No revelar las contraseñas en ningún cuestionario o formato físico ni on-line • No delegar o compartir contraseñas durante vacaciones o permisos • Las contraseñas no deben ser almacenadas en ninguna localidad donde individuos no autorizados puedan descubrirlas u obtenerlas (Contraseñas escritas en papel, ubicar contraseñas debajo del teclado, en archivos no cifrados en sus computadores, tablets o smartphones, entre otros) • Definir contraseñas distintas para cada sistema. Principalmente, las contraseñas a emplear en redes sociales (twitter®, facebook®, Linkedin®, etc), sistemas de correo electrónicos, aplicaciones corporativas, internet banking, entre otros

• Al sospechar que una cuenta de usuario está comprometida, debe ser reportado inmediatamente al personal responsables de atender este tipo de solicitudes, se debe bloquear la cuenta de usuario relacionada para investigaciones si es requerido y forzar la definición de una nueva contraseña que cumpla con las mejores prácticas

No. 15 - 2011
Contenido Cerrar Imprimir

Página anterior

Página siguiente

Boletín de Consultoría Gerencial
Controles complementarios al uso de contraseñas seguras
Aún cuando el usuario tiene consigo la responsabilidad de definir contraseñas seguras y protegerlas de su divulgación, es necesario contar con controles complementarios al uso de contraseñas para reforzar la disponibilidad, integridad y confidencialidad de la información. Estos controles, son definidos en su mayoría en los ambientes tecnológicos (páginas web, servidores, bases de datos, aplicaciones, equipos de red, correos electrónicos corporativos y personales, redes sociales, smartphones, entre otros), hacia donde los usuarios se autentican empleando sus credenciales de acceso. En este sentido, a continuación se definen los controles complementarios mínimos que deben ser tomados en cuenta entorno al uso adecuado de contraseñas y su protección:

El Password: Factor crítico de éxito para proteger la información contra los Hackers

Longitud. Una contraseña debe contar con un mínimo de ocho (8) caracteres, donde su longitud máxima y complejidad debe estar basada en el riesgo inherente Complejidad. Evaluar con base al riesgo inherente, la activación o configuración de controles automáticos para “forzar complejidad de contraseñas”, lo cual puede ser definido principalmente en sistemas operativos, aplicaciones comerciales o desarrollo internos en ambiente web Caducidad. Basado en el riesgo a la información, la caducidad de contraseñas en días puede ser definida de la siguiente manera por tipo de información: Pública Uso Interno Confidencial 120 días 60 días 45 días Secreta 30 días

Intentos fallidos. Se refiere al bloqueo de contraseñas por intentos fallidos de conexión. El mismo debe ser definido en tres (3) como valor máximo. Este control automático es aplicado por el sistema que autentica y autoriza las credenciales de acceso de los usuarios Bloqueo. Se refiere al tiempo en que permanecerá bloqueada una cuenta de usuario por superar los intentos fallidos de conexión. Para sistemas que poseen información confidencial y secreta, el bloqueo debe ser indefinido hasta que el administrador del sistema habilite la cuenta nuevamente Historial de contraseñas. Es recomendable que este control esté configurado en diez (10) lo cual evita la reutilización de las últimas diez contraseñas definidas por su propietario

No. 15 - 2011
Contenido Cerrar Imprimir

Página anterior

Página siguiente

Boletín de Consultoría Gerencial
Controles complementarios al uso de contraseñas (cont.)
Verificación preventiva de contraseñas. Se refiere al uso de mecanismos que actúan al momento que un usuario define su contraseña, los cuales pueden comprobar si la misma cumple con los lineamientos de seguridad en cuanto longitud y complejidad, previo a que dicha contraseña sea aceptada por el sistema destino Verificación correctiva de contraseñas. Es un control basado en el uso de herramientas o desarrollos internos, donde por parte de la unidad de Seguridad de la Información, se realizan verificaciones recurrentes a la robustez de las contraseñas. Cualquier brecha detectada deberá ser acompañada por el bloqueo de la cuenta de usuario comprometida, definición de una contraseña segura y hacer el llamado de atención correspondiente al propietario de la cuenta.

El Password: Factor crítico de éxito para proteger la información contra los Hackers
Controles en la transmisión y almacenamiento de contraseñas
Considerando que las contraseñas sean definidas de forma robusta y estén configurados controles de acceso complementarios para su protección en los ambientes tecnológicos, aún queda por cubrir dos (2) puntos críticos que suelen ser utilizados por atacantes para obtener credenciales de acceso. Estos puntos son, el protocolo de transmisión de contraseñas y el lugar donde las mismas son almacenadas. En cuanto al medio de transmisión de contraseñas en un esquema cliente-servidor, deben ser utilizados protocolos seguros (SSH, NTLMV2, https, etc) para que las credenciales de acceso (usuario y contraseña) sean cifradas y transmitidas de manera confiable, evitando de esta forma que un intruso mediante técnicas de hacking (“sniffing”, “man-in-the-middle”, etc) logre capturarlas de manera legible y hacer uso indebido de los activos de información. Con respecto al esquema de almacenamiento de contraseñas, las mismas deben ser cifradas empleando algoritmos robustos (AES, MD5, etc) y almacenadas con accesos restringidos. De esta manera, aún cuando un intruso logre tener acceso a los repositorios donde se encuentran las contraseñas, estas se encontrarán cifradas y no podrán ser utilizadas de manera indebida. Es importante destacar, que una persona pudiera tener más de quince (15) contraseñas que recordar en un momento dado y aún cuando sean definidas empleando técnicas para su robustez y ser fácilmente memorizadas, puede se requiera un repositorio seguro para almacenarlas, para lo cual se sugiere utilizar herramientas comerciales y certificadas (“password keeper”, “password manager”, etc) tanto para Smartphone, tablets, desktops, entre otros.

No. 15 - 2011
Contenido Cerrar Imprimir

Página anterior

Página siguiente

Boletín de Consultoría Gerencial
Conclusiones
Lo más apetecible por un intruso dado el factor determinante para un acceso efectivo a la información, son las contraseñas. Por ello, deben ser distintas para cada ambiente tecnológico, definidas con una longitud apropiada y de manera robusta. Adicionalmente, se debe contar con una adecuada educación y conciencia de seguridad para los usuarios, controles de accesos complementarios al uso de la contraseña operando efectivamente en los sites o sistemas destinos y el uso adecuado de protocolos seguros de transmisión y esquemas de cifrado para el almacenamiento de contraseñas.

El Password: Factor crítico de éxito para proteger la información contra los Hackers

Sin embargo, cada día las amenazas son mayores y difíciles de controlar, por lo que las vulnerabilidades y riesgos de acceso no autorizado a la información son mayores, considerando el auge que ha representado las redes sociales, el uso de smartphones y trabajo remoto en nuestra vida cotidiana. En este sentido, los controles de seguridad para la protección de la información catalogada como “crítica” o “secreta”, tienden a ir más allá de la contraseña o “algo que conoces”. Se incorporan, mecanismos de seguridad adicionales basados en “algo que posees” (token, tarjeta de coordenadas, etc), “algo que te identifica” (huella dactilar, lectura de retina, etc), “algo único que haces” (firmas, símbolos, etc) o “desde donde te autenticas” (dirección física, dirección IP, etc).

No. 15 - 2011
Contenido Cerrar Imprimir

Página anterior

Página siguiente

Créditos
El presente Boletín es publicado por la Línea de Servicios de Consultoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PwC. El presente boletín es de carácter informativo y no expresa opinión de la Firma. Si bien se han tomado todas las precauciones del caso en la preparación de este material, Espiñeira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daños y perjuicios resultantes del uso de la información contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueños. PwC niega cualquier derecho sobre estas marcas

Para suscribirse al Boletín
Consultoría Gerencial

Síganos en

Editado por Espiñeira, Sheldon y Asociados Depósito Legal pp 1999-03CS141 Teléfono master: (58-212) 700 6666
© 2011 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a Espiñeira, Sheldon y Asociados. A medida que el contexto lo exija “PricewaterhouseCoopers” puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J-00029977-3

Sign up to vote on this title
UsefulNot useful