21 de junio de 2007

CONTRASEÑAS DE USUARIOS

Se supone que la mayoría de los usuarios seleccionan sus contraseñas para acceder a las máquinas y a la red de forma bastante aleatoria, pero estudios recientes demuestran que en realidad la mayor parte siguen patrones bastante definidos, que facilitan a hackers e intrusos el introducirse en redes corporativas, empresariales y académicas.

Para determinar la frecuencia de repetición de las contraseñas y obtener alguna luz sobre como se escogen por operadores, ejecutivos, empleados y usuarios en general, la entidad británica Pentasafe Security Technologies encuestó más de 15 mil personas en 600 organizaciones de Estados Unidos y Europa, y sus resultados afirman que varias no toman las medidas adecuadas para proteger bien las informaciones confidenciales, ya sean propias o de la empresa.

Según el sondeo anónimo, el 60% de los empleados sabía muy poco sobre las medidas de seguridad que debía tomar, y el 90% por ciento admitió haber abierto o ejecutado por lo menos un archivo “peligroso” en computadoras de la compañía.

Asimismo, el 25% eligió como contraseña una palabra tan simple como “Banana”, a pesar de que un pirata informático apenas tardaría segundos en descifrarla y entrar en las bases de datos de una empresa. ENTRENAMIENTO Por otro lado casi un 50% de los encuestados dijo no haber recibido entrenamiento sobre las medidas de seguridad mínimas, mientras que un tercio de las organizaciones no exige a sus trabajadores leer sus políticas de seguridad. Esto concuerda con los resultados de otra encuesta realizada entre gerentes de seguridad, en la cual el 66% creen que el nivel de conocimiento promedio de los empleados sobre la seguridad del sistema es insuficiente, cuando no peligrosamente insuficiente. Curiosamente, de los sectores entrevistados, el de las comunicaciones ofreció los peores resultados, sin embargo, las instituciones financieras, empresas de salud y organizaciones del sector público se desempeñaron un poco mejor. Según expertos, esto se debe a que en las entidades informáticas y de comunicación, las computadoras e Internet son moneda corriente diaria, y en la confianza excesiva está el peligro.

FRAUDE INFORMÁTICO Otro problema que producen las contraseñas mal escogidas es la proliferación del fraude informático, que puede ir desde robar tiempo de conexión en Internet a usuarios legítimos, hasta el de las compras con tarjeta de crédito, cuentas bancarias e información confidencial.

TRIVIALIDAD DE LOS “PASSWORDS” Otros estudios demuestran que muchos usuarios casi nunca cambian sus contraseñas, suelen apegarse a determinados tipos, o simplemente tienen el hábito de escribirlas en papeles pegados al interior de las gavetas, debajo de los teclados de las máquinas, y aún en los monitores, para horror de los agentes de seguridad informática, demostrando una vez más que el mayor riesgo de seguridad en un sistema son sus propios usuarios.

En pruebas realizadas durante auditorías de seguridad informática en el Reino Unido, se aplicó el tipo de ataque denominado “fuerza bruta”, con programas que prueban en pocos minutos todas las combinaciones de contraseñas con seis o siete caracteres, experimentando también con listados de nombres, equipos deportivos, caracteres de ficción y personalidades de la vida real.

Como ejemplo, podemos citar que en una gran empresa europea, una auditoría informática detectó que casi un 50% de las compañías que utilizaban Windows, un 30-40% de todas las contraseñas de Windows, fueron determinadas en los primeros 20 minutos y el resto de ellas en 5-8 horas.

SECRETOS En contraste, las organizaciones militares, tan apegadas al tema de los secretos, suelen tener políticas más elaboradas para el caso. Por ejemplo, la guía para crear contraseñas del Departamento de Defensa de Estados Unidos tiene 30 páginas de extensión.... y aún así han sido atacados.

Entre las empresas y corporaciones se registran otros fenómenos, pues con el incremento de sitios WEB, muchas personas tienden a utilizar la misma una y otra vez para diferentes servicios de pago, facilitando la tarea al hacker. Estudios de la facultad de computación de la Universidad de California plantean que la mayor parte de los ejecutivos utiliza un rango medio de 5-8 contraseñas, y todas son variaciones sobre el mismo tema.

En fin, que si las contraseñas son el “Abrete Sésamo” de esta era de la informática, si no se escogen y protegen con cuidado, también pueden abrir la puerta a ladrones, saboteadores e intrusos de todo tipo.