Fortaleciendo la Seguridad Digital: Estrategias Efectivas para la Gestión de Contraseñas

Gestión de contraseñas

Hoy día, la forma más común de autenticación en un sistema consiste en proporcionar un nombre de usuario y una contraseña. El problema con las contraseñas es que una vez que se pierden o se revelan dejan de ser seguras. En cualquier servicio técnico son muy habituales los incidentes de acceso no autorizado causados por problemas relacionados con la gestión de contraseñas: incidentes en los que las contraseñas fueron reutilizadas en otros sistemas más débiles y se filtraron, contraseñas fácilmente adivinadas debido a información personal disponible en Internet o contraseñas y patrones comúnmente utilizados, contraseñas con el valor predeterminado cuando se instaló el software (o el firmware) inicialmente o contraseñas almacenadas en ficheros de texto plano a los que tuvo acceso un atacante. En esta estadística no entran ya las contraseñas vulneradas por estar escritas en un soporte físico a la vista de todos porque ha pasado a la categoría de accidentes de personas con necesidades especiales.

 

Gestionando el acceso y la identidad

El control de acceso y la gestión de la identidad (AIM) es una de las medidas de seguridad primordiales, aquellas sobre las que pivotan todo el sistema de seguridad. Es muy importante utilizar la herramienta adecuada. Y aquí es donde entra el gestor de contraseñas, probablemente la solución más eficaz que permitirá a nuestro personal trabajar con contraseñas únicas y fuertes. Es una herramienta de bajo coste que puede tener un alto impacto y valor siempre y cuando se implemente correctamente.

La correcta utilización de un gestor de contraseñas, combinada con la autenticación multi factor (MFA), evitará la inmensa mayoría de los incidentes de acceso no autorizado, reduciendo las posibilidades de suplantación de identidad o robo de credenciales.

 

Seleccionando el gestor de contraseñas

En primer lugar, debemos seleccionar cuidadosamente la herramienta que vamos a utilizar, y lo haremos equilibrando las necesidades funcionales del usuario final con los requisitos de seguridad de la organización.

Nuestra recomendación es comenzar preseleccionando un reducido grupo de productos con las funcionalidades de seguridad que necesitas y, posteriormente, escoger el gestor de contraseñas de la preselección que mejor se adapte a las necesidades funcionales de los compañeros.

 

¿Local o en la nube?

La primera gran decisión a la que te enfrentas es si el gestor almacena las contraseñas en la nube o en tu propia infraestructura. Como siempre, la nube nos ofrecerá mayor accesibilidad, sencillez de configuración y mantenimiento. La instalación en local evita tener que depositar la confianza en un tercero, mayor libertad (y complejidad) en la configuración y una menor accesibilidad (lo que no tiene por qué ser negativo), por ejemplo, para trabajadores remotos.

 

Requisitos de seguridad

Decidido el alojamiento, seguimos con los requisitos de seguridad propiamente dichos:

  • Los algoritmos de encriptación utilizados y si se utilizan en varias capas del servicio.
  • El diseño del sistema de protección de las contraseñas. Aquí es primordial que sólo el usuario sea capaz de desencriptar sus propias contraseñas. Si un gestor de contraseñas cloud se guarda la posibilidad de acceso «en caso de emergencia» o te ofrece una copia de seguridad de tu contraseña maestra «por si la pierdes» deberías descartarlo inmediatamente. Si tampoco está muy claro cómo implementan la protección, deberíamos descartarlo también.
  • Autenticación multi factor para acceder a las contraseñas.
  • No existe posibilidad de resetear la contraseña maestra.
  • Envío seguro de contraseñas y secretos a terceros que no comparten la herramienta.
  • Registro de toda la actividad de acceso a las contraseñas (logs). Especialmente útil si utilizas contraseñas compartidas.
  • Registro de todos los intentos de autenticación, exitosos y fallidos.

 

Necesidades funcionales de usuario final

No sería extraño que estos requisitos funcionales elevasen el riesgo, simplemente por el aumento de la superficie de ataque de la herramienta, pero estas funcionalidades también facilitarán su adopción, que es el objetivo final. De ahí que antes hablásemos de equilibrio entre las necesidades funcionales del usuario final y los requisitos de seguridad. Algunas de las necesidades funcionales más habituales suelen ser:

  • Una aplicación con versión de escritorio, aplicación para el móvil y un plugin para el navegador.
  • Posibilidad de compartir contraseñas y espacios privados. Si necesitamos compartir contraseñas únicas (RRSS, por ejemplo) necesitaremos una aplicación que registre las visitas y accesos para mantener la trazabilidad.
  • Generador de contraseñas.

 

El equipo de seguridad debería probar varios gestores de contraseñas con esto en mente y luego realizar una prueba de validación con un grupo de usuarios antes de imponer una herramienta para todos.

 

En resumen:

  1. Decide si quieres almacenar las contraseñas en la nube o en tu infraestructura.
  2. Valida los requisitos de seguridad.
  3. Valida los requisitos funcionales de tus compañeros.
  4. Identifica el producto que cubre todas tus necesidades.
  5. Realiza una prueba de validación.

 

Implantando el gestor de contraseñas

Podríamos pensar que una vez seleccionada la herramienta ya está hecho lo más difícil, pero no; en realidad, ahora comienza lo divertido 🙂 Implantar un gestor de contraseñas no consiste en distribuir un software acompañado de un mandato divino. El proyecto de implantación implica instalarlo y configurarlo correctamente, bastionarlo, definir y ejecutar una política de actualización, formar y acompañar a todos los empleados de la compañía que, por su parte, deben entenderlo, dominarlo y utilizarlo ampliamente. Empezamos:

 

Opciones de configuración

En lo que respecta a la configuración, las opciones más interesantes suelen ser:

  • ¿En qué momento requerimos la autenticación multi factor? ¿En el login? ¿al acceder a contraseñas o espacios específicos? ¿En todos los casos?
  • Política de complejidad de la contraseña maestra: esta es la contraseña que desbloquea la base de datos de contraseñas del usuario, por lo que es crítico que sea larga, fuerte y ÚNICA. ¿Dónde vamos a aconsejar que se almacene?
  • Política de contraseñas estándar para las contraseñas generadas automáticamente: con un gestor de contraseñas de apoyo podemos aspirar a los más altos niveles de robustez (longitud, aleatoriedad y juegos de caracteres).
  • ¿Integración con SSO (single-sign on – inicio de sesión único)? Puede que nos interese permitir la autenticación en el gestor de contraseñas con las credenciales de la organización. O puede que no. En cualquier caso, está totalmente desaconsejado para las cuentas de administrador.
  • Requisitos de actualización. Podemos forzar que la aplicación se ejecute siempre en su última versión o incluso que el navegador utilizado también deba ejecutar su última versión antes de permitirle desbloquear la base de datos.
  • Registrar en logs los eventos de usuario y auditoría. Esto nos permite rastrear los intentos de acceso (exitosos y fallidos) a las bóvedas, de visualización de contraseñas y las aprobaciones de acceso compartido.
  • Reglas de firewall y control de acceso. Denegar el acceso a la herramienta desde ciertas IPs, rangos o, directamente, regiones geográficas.
  • Crear una estructura de grupos y bóvedas teniendo en cuenta el acceso compartido.
  • Activar las notificaciones de brechas de servicio. Esto nos informa si un sistema o sitio web que tenemos entre nuestras contraseñas ha sido vulnerado, lo cual debería traducirse en un cambio inmediato de esa contraseña.

 

Guía y acompañamiento

Necesitaremos guías de referencia con toda la información que ayude a comprender cómo instalar, configurar y utilizar la herramienta. Estas guías también deben explicar el propósito de nuestras decisiones. También es muy importante que estas guías estén redactadas con un lenguaje y formato amigable para su audiencia. Esto probablemente nos obligue a elaborar varios documentos que, de distinta forma, transmitan el mismo mensaje, las mismas ideas clave.

 

Sin embargo, no podemos quedarnos en las guías de referencia. Si bien son necesarias y debemos incentivar su consulta, va a ser necesario acompañar a los usuarios en el proceso de adopción. La gestión de contraseñas puede ser intimidante, con el añadido de que es un proceso muy sensible. Deberíamos planificar sesiones individualizadas, o al menos con grupos reducidos, que incluyan a todo el personal. Debemos estar muy presentes en el proceso de instalación, configuración e importación de claves, momento en el que podemos adoptar una posición más reactiva.

 

Métricas del éxito de la implantación

Independientemente de la herramienta utilizada, el proceso de implantación de un gestor de contraseñas es muy similar en la mayoría de las organizaciones, al igual que su evaluación. Los siguientes hitos se pueden adoptar con pequeños ajustes:

  • Existe una herramienta de administración de contraseñas aprobada para su uso en su organización y se proporciona a todo el personal.
  • Esta herramienta es conocida y se anima a todo el personal a usarla, a través de un proceso de adopción generalizado.
  • La organización puede controlar el acceso de los usuarios a la herramienta, invitar o denegar el acceso a la misma y establecer políticas en toda la organización.
  • Se establecen y comunican políticas para generar automáticamente contraseñas largas y únicas.
  • Hay guías y soporte para que todo el personal sepa cómo establecer una contraseña maestra y cómo utilizar la herramienta de administración de contraseñas.
  • Se configuran niveles de acceso a las contraseñas almacenadas compartidas.
  • La herramienta de contraseñas aprobada fuerza la autenticación multi-factor, al menos el doble factor (2FA).
  • Se planifican (y realizan) chequeos periódicos de la frecuencia de uso de la herramienta y de la fortaleza de las contraseñas utilizadas.

 

Si cumplimos todos estos hitos y registramos una mejora en los chequeos periódicos (aumenta paulatinamente el número de contraseñas junto al porcentaje de contraseñas robustas) podemos afirmar que la implantación del gestor de contraseñas en la organización ha sido un éxito.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *