En la actualidad, las contraseñas son la puerta de acceso a la mayoría de los sistemas informáticos. El correo electrónico, el sistema operativo, el chat, el Home Banking e incluso las redes sociales están generalmente protegidos por un usuario y contraseña.
Estos métodos de protección de datos preservan la confidencialidad de todo tipo de información. Por lo tanto, vulnerar las contraseñas de un usuario es una acción de alto valor para un atacante.
La aparición del gusano Conficker en octubre de 2008, con sus altos índices de propagación, puso en alerta nuevamente sobre los perjuicios de la utilización de contraseñas débiles. Algunas de las variantes de este archivo malicioso intentan propagarse a través del recurso compartido ADMIN$, que existe por defecto en los sistemas operativos Windows y ofrece acceso a directorios del sistema desde equipos remotos, hacia el resto de la red.
Para poder acceder, el gusano prueba un listado de más de 200 contraseñas comúnmente utilizadas, para verificar si alguna de estas funciona. En caso afirmativo, copia el archivo malicioso en el equipo remoto. Algunas de las contraseñas utilizadas son "123456", "admin", "password", "login" o "default". Para conocer todas las contraseñas del listado, consultar el informe oficial de Microsoft (pestaña Analysis).
Medidas de Prevención: usar contraseñas fuertes
Para la rápida prevención ante las variantes de Conficker y otras amenazas que utilizan y utilizarán el mismo método, se recomienda modificar cualquier contraseña débil, específicamente aquellas que figuren en el listado antes mencionado.
De todas formas siguen vigentes las principales medidas para prevenir variantes de este tipo de gusanos: actualizar el sistema operativo y tener instalado una solución que detecte proactivamente todo tipo de malware, como ESET NOD32.
Asimismo, es recomendable mantener una correcta conducta de utilización de contraseñas, de forma tal de mitigar cualquier tipo de amenaza, además del malware, que quiera sacar provecho de este tipo de vulnerabilidades. Para ello, es importante utilizar siempre contraseñas no comunes y que cumplan ciertos requisitos de complejidad.
Una contraseña se considera fuerte cuando:
- Tiene más de 6 caracteres (preferentemente, más de 8).
- Posee al menos dos tipos de los siguientes caracteres (recomendable, 3):
- Letras en minúsculas (de la a a la z)
- Letras en mayúsculas (de la A a la Z)
- Números (del 0 al 9)
- Caracteres especiales (por ej. !, $, #, o %)
- Mencionando algunos ejemplos, podríamos decir que:
"jose", "contraseña" o "111111" son contraseñas débiles. "JoseEntr@", "Contraz3na#" o "UNOuno1-" son contraseñas fuertes. "Jp3t?xi9-", "4ApEKzqK" o "L@#nt67nx" también son contraseñas fuertes.
La utilización de contraseñas fuertes acarrea para el usuario una dificultad básica: suelen ser más complejas de recordar que las simples. Para mitigar este inconveniente, existen dos alternativas:
- Utilizar contraseñas fuertes y recordables. En este caso, la dificultad para recordarlas es moderada respecto a una contraseña débil, especialmente si el usuario es ingenioso al elegirlas (ver ítem 2 de los ejemplos). Esta opción es particularmente válida cuando la cantidad de contraseñas a utilizar no es muy grande, y si estas no deben ser compartidas con otros grupos de usuarios.
- En el caso que se deban utilizar contraseñas no recordables (ver ítem 3 de los ejemplos), existen aplicaciones para almacenarlas de forma cifrada, pudiendo el usuario definir una contraseña maestra (fuerte y recordable) que le permita visualizar todas las contraseñas almacenadas.
Como se puede observar, la utilización de contraseñas fuertes no es una tarea compleja para el usuario y, de esta forma, con medidas sencillas y básicas, puede prevenir gran cantidad de problemas y minimizar considerablemente un vector de ataque muy utilizado.
Comentarios
Publicar un comentario