Serg Nvns - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

¿Qué tan fácil es cambiar las contraseñas frecuentemente en los corporativos?

Los ataques actuales consiguen las contraseñas y las usan casi de inmediato para continuar o concretar el ataque, o al menos hacen uso de la contraseña robada antes de que el dueño la cambie.

Debería de ser sencillo: cambiémos la contraseña con frecuencia, cada tres o seis meses. Tomamos la decisión de cada cuándo sustituirla, la arrojamos a una política y cerrado el tema, que cada área lo haga y así de fácil.

Un momento. Parece que no es así de sencillo. Cuando llega la hora de poner el asunto sobre la mesa, los administradores oponen resistencia: “No mi amigo, usted no puede simplemente llegar con esa actitud y pedir que la cambiemos un par de veces al año. Y todavía peor, con esa longitud propuesta. Vaya y medite lo que pide porque no entiende la operación”. Y uno piensa, “pero solo pedí un cambio cada 6 meses y una longitud obviamente mayor a los 8 caracteres. ¿Estoy pidiendo algo descabellado?

En una empresa tenemos diferentes tipos de contraseñas, entre ellas las de los administradores; son aquellas utilizadas por un empleado para administrar algún sistema (servidores, switches, firewalls, bases de datos, etc.). Deben de ser más robustas que las que usan los empleados para acceder a una computadora personal o laptop. Por robustez me refiero a la cantidad de caracteres que la forman, y luego cómo debe de estar conformada (una mezcla de mayúsculas, minúsculas, caracteres especiales, etc.). Los administradores tienen este tipo de cuentas con altos privilegios que deben de ser creadas y resguardadas con mayor seguridad. Tienen poderes extraordinarios en la infraestructura de TI y son altamente preciadas por los delincuentes.

Pero, ¿también hay contraseñas con altos privilegios para administrar pero que no son usadas por un humano (o solo ocasionalmente)? Sí: son aquellas usadas por un proceso automatizado (un script o una consola de un software, por ejemplo) para autenticarse con un sistema. O son las típicas que exige una nueva instalación de un software “porque si no, no funciona”; a veces ni sabemos para qué será usada pero el fabricante lo demanda. Tal vez nunca más la vayamos a modificar o usar, o su utilización será poco frecuente. Es cuando hablamos de una contraseña automatizada. Tiene la característica de tener privilegios pero no ser realmente usada por una persona de manera cotidiana. También deben de ser robustas, inclusive más que las contraseñas de administración usadas por personas. Nos podemos dar el lujo de que el sistema esté a cargo de guardarla y usarla.

Los administradores son los primeros en ponerle gasolina al asunto. Dicen que las contraseñas son difíciles de recordar y acabarán apuntadas en un “post-it”. La respuesta es que harán campañas para informar de cómo generar contraseñas robustas pero fáciles de recordar. Y por otro lado, estarán disponibles (si no es que ya deberían de estarlo) los famosos gestores de contraseñas. Aunque las contraseñas sean fáciles de recordar, todos entendemos: un administrador usará decenas de ellas y no es tarea fácil recordarlas todas. La mejor decisión es apoyarse de un gestor de contraseñas.

Una vez resuelto ese problema, arranca otro: las contraseñas automatizadas. Más de una no tienen un “dueño” porque “se crearon durante la instalación”. Otras más de plano no las pueden cambiar, inclusive por mandato del fabricante, ya que su producto dejaría de funcionar; tienen que quedarse así por siempre. En otras ocasiones todos temen cambiarla, porque es un sistema “legacy” y podría tener resultados desastrosos, un apocalipsis. Existen algunas que no las podemos hacer robustas porque de igual manera ese cambio podría repercutir en la adecuada operación del software y habría que hacer pruebas y más pruebas antes de ejecutar el cambio.

No pueden faltar las que están incrustadas dentro del código fuente: las creó un desarrollador en la empresa. Solo pensó ¡Es buena idea! y así lo hizo, sin más. Y cambiarla implica modificar el código, compilar, pasar por las pruebas correspondientes y planear la actualización en producción, etc. Tanto esfuerzo que la mejor respuesta es: “¿Las dejamos así y luego le damos otra pensada?”.

Los lineamientos de desarrollo de software deben de ser de ayuda en estos casos para tratar de evitar estas situaciones.

Y dos últimas reflexiones.

La primera: algunos fabricantes de software hacen que sea una verdadera pesadilla cambiar las contraseñas en su producto. Eso debería de cambiar porque no me refiero a las “pequeñas” marcas sino que algunas grandes compañías lo hacen. Lo anterior dificulta cumplir con las políticas de cambio de contraseña del corporativo.

La segunda: ya hay voces en los círculos de seguridad que en serio no ven utilidad en el frecuente cambio de contraseñas. Los ataques actuales consiguen las contraseñas y las usan casi de inmediato para continuar o concretar el ataque, o al menos seguro harán uso de la contraseña robada antes de que el dueño la cambie. Los ataques modernos comprometen un sistema y de ahí se mueven lateralmente a otros sistemas, consiguiendo así más equipos bajo su poder. Y para cuando un usuario o administrador cambia su contraseña, es muy tarde. El atacante ya “saltó” a otras ubicaciones en las TI desde donde puede continuar su fechoría.

Por otro lado, los malosos hacen uso de exploits para elevar privilegios y saltarse cualquier exigencia de contraseñas. Lo sé: es un asunto polémico porque desde hace décadas existe la noción y buena práctica de que cambiarlas es un “must”, que ni si quiera vale la pena discutirlo porque es tan azul como el cielo. Otros dicen: cambiarla con frecuencia es mejor que no hacerlo: es otra capa de seguridad más. Tal vez falta sentarse a reflexionar en este asunto y ver cómo operan los ataques modernos.

En conclusión, pareciera fácil cambiar la contraseña con frecuencia como lo marcan “las buenas prácticas”. Lo podemos hacer como usuarios en casa al cambiar la de la red social o el correo. Pero otra historia es en un corporativo donde a veces es un verdadero reto hercúleo.

Este artículo se actualizó por última vez en enero 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close