Un mensaje a través de un servicio de mensajería o un correo electrónico a un colega puede ser la forma más rápida de compartir contraseñas. Pero es un camino inseguro y arriesgado que pone a toda la organización en alto riesgo de ataques cibernéticos.
Muchas empresas, especialmente aquellas involucradas en tecnología y digital, requieren una comunicación continua y el intercambio de archivos en línea. Por lo tanto, compartir cuentas a menudo se requiere en un entorno de trabajo colaborativo. Esto significa que los empleados deben encontrar una manera fácil de compartir el acceso y las contraseñas entre sí, si es posible sin el riesgo de exponer a la empresa a un ataque cibernético.
La forma segura de intercambiar contraseñas
Im Informe del Censo de Seguridad Cibernética 2022 Keeper Security descubrió que solo el 13 por ciento de las empresas encuestadas en Alemania están bien equipadas con un sistema de control de identidad. El 56 por ciento les da a sus empleados al menos algunas instrucciones y el 31 por ciento deja el control de identidad, incluido el manejo de contraseñas, a sus empleados. O no todo el mundo parece ser consciente del riesgo o se acepta.
La forma más segura de almacenar y compartir contraseñas es con un administrador de contraseñas en un dispositivo protegido por contraseña. Los administradores de contraseñas a menudo ofrecen varias capas de cifrado, lo que hace que sea prácticamente imposible para los atacantes cibernéticos encontrar lo que buscan de manera legible. Con el cifrado de conocimiento cero, nadie más que el usuario puede ver los datos, ni siquiera el proveedor del administrador de contraseñas y ni siquiera un atacante.
Algunas herramientas de administración de contraseñas, especialmente para uso corporativo, ofrecen funciones de uso compartido seguro. Estos facilitan el otorgamiento de acceso compartido a los empleados sin revelar los detalles del nombre de usuario y la contraseña. La autenticación multifactor (2FA/MFA), que se puede aplicar a nivel de rol, también es deseable para los administradores de contraseñas. En general, se recomienda habilitar 2FA/MFA en todas las plataformas para mejorar la postura de seguridad de la organización y los equipos.
Métodos riesgosos para las contraseñas
El uso compartido de contraseñas es común entre los usuarios de Internet, tanto dentro como fuera del lugar de trabajo. Una encuesta realizada por The Zebra, NBC News y Pew Research Center encontró que el 79 por ciento de los usuarios admitió haber compartido contraseñas con alguien fuera de su hogar.
Las organizaciones que no usan un administrador de contraseñas pueden estar usando métodos inseguros para almacenar y compartir contraseñas. Esto puede conducir a pérdidas financieras y un mayor riesgo de un ataque cibernético. En el Informe del Censo de Ciberseguridad 2022, el impacto de un ciberataque en Alemania estuvo entre 10.000 y 49.999 euros.
Los métodos más arriesgados de divulgación de contraseñas
Los usuarios que no usan las funciones de un buen administrador de contraseñas usan muchos métodos diferentes para intercambiar datos de acceso secretos entre ellos. En estas circunstancias, una empresa no puede garantizar que solo aquellos que están autorizados a acceder a las contraseñas tendrán acceso a la misma, y apenas hay seguridad de que los datos secretos de acceso no caigan en manos de terceros no autorizados. Seis de los métodos más populares y riesgosos son:
Distribución a través de documentos en línea
En el Informe de malas prácticas de contraseñas en el lugar de trabajo de Keeper de 2021, el 49 % de los encuestados confirmó que almacenaba contraseñas relacionadas con el trabajo en un documento en la nube. El 51 por ciento almacena contraseñas en un documento en su computadora y el 55 por ciento almacena contraseñas relacionadas con el trabajo en sus teléfonos móviles.
correos electrónicos con contraseñas
El correo electrónico es una de las formas más populares de comunicación en el lugar de trabajo. Suelen enviarse en texto plano y sin cifrar. Si una bandeja de entrada de correo electrónico se ve comprometida, las personas no autorizadas tienen acceso completo a las contraseñas enviadas por correo electrónico.
Mensajes de texto/SMS con contraseña
Similar a los servicios de correo electrónico, no hay seguridad en la mensajería de texto. El mensaje de texto es legible por cualquiera que pueda interceptarlo.
Contraseñas a través de messenger en línea
WhatsApp, Slack y Microsoft Teams son herramientas populares para la comunicación entre empleados para actualizaciones rápidas de proyectos o conversaciones informales. Aunque muchos de estos servicios en la nube están encriptados, las aplicaciones en los dispositivos generalmente permanecen abiertas o se ejecutan en segundo plano.
Documentos físicos
Escribir las contraseñas en un cuaderno o en una hoja de papel puede disuadir a los ciberdelincuentes de acceder a las credenciales de inicio de sesión. Sin embargo, los datos de acceso pueden ser fácilmente robados por una persona no autorizada en el mundo fuera de línea.
Compartir verbalmente las contraseñas
Incluso si una conversación cara a cara con un colega elimina el clásico papel y el peligro en línea, alberga riesgos porque los datos de inicio de sesión se pueden hablar en voz alta y, por lo tanto, se pueden escuchar.
Más información en KeeperSecurity.com[Guardián]