Alert icon Keyboard navigation enabled.
Alert icon TAB or Shift+TAB to navigate across. Down ↓ to open menu. ESC to close menu.
Alert icon Down ↓ to select section. Right → to activate. Up ↑ / Down ↓ / Tab to traverse all. ESC to exit.
BeyondTrust
Skip to content Use space or enter to skip.

¿En qué podemos ayudarte hoy?

Resultados instantáneos
  • Resultados del sitio web
  • Documentacion tecnica

Opciones de filtro

Refina tu búsqueda

Filtrando por

Tus búsquedas recientes:

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
  • Home
  • Recursos
  • Blog
  • ¿ERES PRESA FÁCIL PARA LOS LADRONES DE CONTRASEÑAS? current page
Link copied

¿ERES PRESA FÁCIL PARA LOS LADRONES DE CONTRASEÑAS?

25 ene 2019
Author:
Morey Haber Headshot 2024
Morey J. Haber
Chief Technology Officer, BeyondTrust
Blog banner default
¿ERES PRESA FÁCIL PARA LOS LADRONES DE CONTRASEÑAS?
Morey Haber Headshot 2024
Morey J. Haber
Chief Technology Officer, BeyondTrust

Si fueras (¿eres?) un actor de amenazas cibernéticas, ¿qué harías con un caché de contraseñas robadas durante una violación? Podrías ser lo suficientemente astuto para realizar un ataque de fuerza bruta contra la fuente, o intentar monetizar su lista vendiéndola en la Dark Web. Los más subversivos podrían vincular los datos con otras fuentes y construir un depósito más grande con la esperanza de que las identidades comprometidas reutilizasen las contraseñas entre varias cuentas y servicios. Ya los más diabólicos podrían convertirse en ladrones persistentes a punto de comprometer sus cuentas basadas en la web. Si cree que esto no es posible, lea este artículo de ZDNet acerca de los ataques cibernéticos en el sector financiero.

Otro método engañoso que los actores de amenazas utilizan para obtener acceso a las cuentas financieras es extraer de forma masiva los fondos de los cajeros automáticos al mismo tiempo y ofrecer muy poco tiempo para responder antes de que se completen las transacciones. Harvard Business Review tiene un buen artículo acerca de este tipo de amenazas. Pueden ocurrir a partir de vulnerabilidades y explotaciones, o contraseñas que se han robado. Básicamente, tienes un vector de ataque privilegiado y estás robando dinero de todos a la vez. Si crees que este tipo de vector de ataque cibernético no sucede en los días de hoy, estás equivocado.

Comprender y mitigar las amenazas de robo de contraseñas

En cualquier momento en que un individuo o grupo sepa la (s) contraseña (s) de otro grupo de personas o recursos, podría ocurrir un ataque de carterista. El incidente más famoso en los últimos años involucró a Edward Snowden (y sí, todos en el gobierno y la industria de la seguridad de EEUU están absolutamente hartos de escuchar su nombre). Snowden obtuvo credenciales de sus compañeros de trabajo ilegalmente para robar información usando contraseñas y estaciones de trabajo autorizadas. Los usuarios desconocían el robo, las contraseñas no se rotaban y la información se robaba pieza por pieza para evitar la detección. Este tipo de robo de datos lento y siniestro también le sucedió a Yahoo y Starwood, aunque a través de formas de ataque con privilegios ligeramente diferentes, y no todos a la vez.

Desafortunadamente, esto solo no es suficiente para comprender completamente las amenazas, que pueden ser internas o externas. Pueden suceder en nuestras vidas personales y en cualquier empresa, organización o gobierno. La amenaza se basa realmente en el concepto de una entidad que tiene demasiadas credenciales y contraseñas bajo su gestión. Las credenciales se han obtenido de manera ilícita y el autor tiene intenciones maliciosas de reutilizarlas.

Así que nos quedamos con un dilema de seguridad, cómo mitigar este tipo de amenaza. Aquí hay algunas estrategias que deberíamos adoptar para minimizar el riesgo:

1. Nunca reutilice una contraseña en ninguno de los dos recursos. Cada aplicación y recurso debe tener una contraseña única. Nunca, nunca use las mismas credenciales en el hogar y en el trabajo. Para las empresas, considere un administrador de contraseñas que pueda almacenar, rotar automáticamente y proporcionar contraseñas a individuos apropiados por rol o persona. Esto evita que cualquier ladrón acumule contraseñas ya que ellas cambian constantemente y siguen un modelo de derechos.

2. Si la solución es compatible con MFA o 2FA, úsala. Si su contraseña alguna vez se creó alas, la tecnología de factores múltiples y factores múltiples puede ayudar a salvaguardar los intentos de autenticación no autorizados si un ladrón los ha obtenido. Además, el uso de esta tecnología con información sensible al contexto (como la IP de origen) solo reforzará el modelo de seguridad para evitar el acceso a geolocalizaciones no autorizadas.

3. Cambia frecuentemente tus contraseñas. O, para decirlo de otra manera, nunca deje que sus contraseñas permanezcan iguales y se vuelvan obsoletas. Esto se alinea con la primera recomendación. Muchas veces, incluso cuando gestionamos contraseñas con un administrador, no forzamos la rotación de contraseñas con la frecuencia suficiente; especialmente en nuestras vidas personales. Considere cambiar las contraseñas frecuentemente (al menos dos veces al año). Ahora, si es un curioso profesional de la ciberseguridad, puede argumentar que la guía del NIST indica que no necesita rotar las contraseñas de un usuario con frecuencia. Esto es cierto para los usuarios que nunca comparten o ingresan credenciales repetidamente en varios sistemas. Sin embargo, esta no es una práctica recomendada para cuentas de servicio, con privilegios o cualquier otro par de credenciales / contraseñas que puedan ser conocidas por más de un individuo. Esto se relaciona con nuestra premisa de por qué las contraseñas y el conocimiento de ellas son una amenaza.

A medida que los vectores de ataque de privilegios continúan evolucionando, todas las organizaciones deben ser conscientes de la amenaza de los ladrones de contraseñas. Cualquier persona interna o externa de la compañia, que tenga un vasto conocimiento de las contraseñas obtenidas ilegalmente, es un potencial carterista.

Si necesita resolver este problema de seguridad de la contraseña dentro de su empresa, consulte BeyondTrust Password Safe.

Últimas publicaciones
  • Principales Predicciones de Tendencias de Ciberseguridad para 2024
    oct 30, 2023 Principales Predicciones de Tendencias de Ciberseguridad para 2024
    Blog
    1m
  • Cómo una importante recomendación de seguridad ayuda a resolver un problema antiguo
    may 4, 2023 Cómo una importante recomendación de seguridad ayuda a resolver un problema antiguo
    Blog
    1m
  • BeyondTrust es nombrada líder en el Cuadrante Mágico™ de Gartner® de 2022 para la Gestión de Accesos Privilegiados
    sept 1, 2022 BeyondTrust es nombrada líder en el Cuadrante Mágico™ de Gartner® de 2022 para la Gestión de Accesos Privilegiados
    Blog
    1m
  • Tendencias de ciberseguridad de BeyondTrust para los próximos años
    oct 19, 2021 Tendencias de ciberseguridad de BeyondTrust para los próximos años
    Blog
    1m
  • Seguridad SCADA e IoT: ¿Qué está fallando y se puede arreglar?
    may 28, 2021 Seguridad SCADA e IoT: ¿Qué está fallando y se puede arreglar?
    Blog
    1m
Relacionado
  • Cómo una importante recomendación de seguridad ayuda a resolver un problema antiguo
    may 4, 2023 Cómo una importante recomendación de seguridad ayuda a resolver un problema antiguo
    Blog
    1m
  • Diga sí a las sinergias de gestión de accesos privilegiados, integrando la administración de contraseñas y privilegios en sistemas Unix / Linux
    ene 17, 2019 Diga sí a las sinergias de gestión de accesos privilegiados, integrando la administración de contraseñas y privilegios en sistemas Unix / Linux
    Blog
    1m
Compartir este artículo
  • Link
Mantente actualizado
Recibe las últimas noticias, ideas y tácticas de BeyondTrust. Puedes darte de baja en cualquier momento.

Manténgase actualizado

Atención al cliente Contáctese con Ventas
  • LinkedIn
  • X
  • Facebook
  • Instagram
  • Add BeyondTrust as a preferred source on Google
  • Privacidad
  • Security
  • Administrar toda la configuración de cookies
  • Do Not Sell My Data
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.

Prefers reduced motion setting detected. Animations will now be reduced as a result.