Cada vez las empresas utilizan más infraestructuras informáticas para el desarrollo de su actividad. Esto hace que se dispare el número de contraseñas usadas para proteger uno de sus activos más importantes: su información. Debido a esto, es prioritario que exista una política respecto a la creación, uso y ciclo de vida de las contraseñas corporativas independientemente del tamaño de la empresa.
Para ello, es muy importante tener en cuenta las características que debe cumplir cualquier contraseña que se quiera considerar segura. En este sentido, el Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT), entidad pública del Gobierno de España que ofrece información gratuita a las empresas en materia de seguridad de la información, da una serie de recomendaciones.
Existen programas que tratan de acceder a los sistemas de información o aplicaciones web probando automáticamente cientos de miles de las contraseñas más comunes. Por ello, una contraseña para ser segura debe tener al menos ocho caracteres y debe ser lo menos «regular» posible (hay que evitar el uso de palabras del diccionario o expresiones del tipo «qazwsx» o «1234») fomentando la inclusión de caracteres especiales -como |, @, #, ¬-, números y el uso alterno de mayúsculas y minúsculas.
Además, no se deben utilizar palabras o fechas que identifiquen a la empresa o a sus miembros. Por ello, desde INTECO-CERT se recomienda excluir fechas de nacimiento, nombres personales, etc., ya que se trata de información que algún atacante podría conocer previamente o sacar de Internet.
Asimismo, tampoco es recomendable usar la misma contraseña para diferentes servicios (web, correo electrónico, foros, etc.) con el fin de evitar, en caso de robo, que puedan entrar en más de uno de los sitios de la empresa.
Un buen método para crear una contraseña sólida es pensar en una frase fácil de memorizar y acortarla aplicando alguna regla sencilla. Una manera sería seleccionando la primera letra de cada palabra y convirtiendo algunas de las letras en números que sean similares. Por ejemplo, «La seguridad es como una cadena, es tan fuerte como el eslabón más débil» podría convertirse en «Lsec1cetfceemd».
Una vez que la empresa posee contraseñas seguras, éstas se deben gestionar correctamente. Una de las medidas a aplicar es que han de cambiarse periódicamente o cuando se piensa que pueden haber sido comprometidas. Nunca se deben enviar ni por correo electrónico ni por sms y, si se proporcionan en un soporte físico, éste debe poder destruirse. Los miembros de una empresa jamás deben anotar las contraseñas en papeles que estén a la vista o a los que se tenga fácil acceso. Si hay que utilizar un alto número de contraseñas, es mejor usar un programa para su gestión.
Otra cuestión importante es no utilizar contraseñas corporativas en ordenadores de los que se desconozca el nivel de seguridad porque estos equipos pueden tener instalados programas que capturen las contraseñas. Además, la empresa debe cambiar las contraseñas que vienen por defecto en el hardware y software.
Por último, hay que tener en cuenta que cuanto más valioso o vulnerable sea un sistema de la información, más seguras han de ser sus contraseñas y su política de gestión.
Estas pautas son las que desde el Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT) invitan a cumplir para lograr más seguridad en los sistemas de las empresas protegiendo los datos y la información.
