Este Día Mundial de la Contraseña consideren deshacerse de las contraseñas por completo
Mayo 5, 2022
Vasu Jakkal
¿Sabían que el 5 de mayo de 2022 es el Día Mundial de la Contraseña?1 Creado por profesionales de la ciberseguridad en 2013 y designado como el primer jueves de cada mayo, el Día Mundial de la Contraseña tiene como objetivo fomentar buenos hábitos de contraseña que ayuden a mantener segura nuestra vida en línea. Puede parecer extraño tener un día reservado para honrar algo con lo que casi nadie quiere lidiar, como tener un día feriado para presentar sus impuestos (en realidad, eso podría ser una buena idea). Pero en el mundo actual de trabajo, escuela, compras, atención médica y casi todo lo demás en línea, mantener nuestras cuentas seguras es más importante que nunca. Las contraseñas no solo son difíciles de recordar y rastrear, sino que también son uno de los puntos de entrada más comunes para los atacantes. De hecho, hay 921 ataques de contraseña cada segundo, casi el doble de frecuencia en los últimos 12 meses.
Pero ¿y si no tuvieran que lidiar con las contraseñas en absoluto? El otoño pasado, se anunció que cualquiera puede eliminar por completo la contraseña de su cuenta Microsoft.. Aun así, sabemos que no todo el mundo está listo para decir adiós a las contraseñas, y no es posible para todas sus cuentas en línea.
Libérense con el inicio de sesión sin contraseña
Sí, ahora pueden disfrutar de un acceso seguro a su cuenta de Microsoft sin contraseña. Al usar la aplicación Microsoft Authenticator, Windows Hello, una clave de seguridad o un código de verificación enviado a su teléfono o correo electrónico, pueden utilizar cualquiera de sus aplicaciones y servicios de Microsoft sin contraseña. Solo sigan estos cinco pasos:
- Descarguen e instalen Microsoft Authenticator (vinculado a su cuenta personal de Microsoft).
- Inicien sesión en su cuenta Microsoft.
- Elijan Seguridad. En Opciones de seguridad avanzadas, verán Cuenta sin contraseña en la sección titulada Seguridad adicional.
- Seleccionen Activar.
- Aprueben la notificación de Authenticator.
Una vez que aprueben la notificación, ya no necesitarán una contraseña para acceder a sus cuentas de Microsoft. Si deciden que prefieren usar una contraseña, siempre pueden regresar y desactivar la función sin contraseña. Aquí en Microsoft, casi el 100 por ciento de nuestros empleados usan opciones sin contraseña para iniciar sesión en sus cuentas corporativas.
Reforzar la seguridad con la autenticación multifactor
Un paso simple que todos podemos tomar para proteger nuestras cuentas hoy es agregar autenticación multifactor, que bloquea el 99.9 por ciento de los ataques de compromiso de cuentas. La aplicación Microsoft Authenticator es gratuita y ofrece múltiples opciones de autenticación, incluidos códigos de acceso de un solo uso basados en tiempo (TOTP, por sus siglas en inglés), notificaciones automáticas e inicio de sesión sin contraseña, todo lo cual funciona para cualquier sitio que admita la autenticación multifactor. El autenticador está disponible para Android e iOS y les brinda la opción de activar o desactivar la verificación en dos pasos. Para su cuenta de Microsoft, la autenticación multifactor por lo general solo se necesita la primera vez que inician sesión o después de cambiar su contraseña. Una vez que se reconozca su dispositivo, solo necesitarán su inicio de sesión principal.
Asegúrense de que su contraseña no sea el eslabón débil
En lugar de mantener alejados a los atacantes, las contraseñas débiles a menudo brindan una forma de entrar. Usar y reutilizar contraseñas simples en diferentes cuentas puede facilitar nuestra vida en línea, pero también deja la puerta abierta. Los atacantes revisan de manera regular las cuentas de las redes sociales en busca de fechas de nacimiento, lugares de vacaciones, nombres de mascotas y otra información personal que saben que la gente usa para crear contraseñas fáciles de recordar. Un estudio reciente encontró que el 68 por ciento de las personas usa la misma contraseña para diferentes cuentas.3 Por ejemplo, una vez que se ha comprometido una combinación de contraseña y correo electrónico, a menudo se vende en la web oscura para usarla en ataques adicionales. Como le gusta decir a mi amigo Bret Arsenault, nuestro director de seguridad de la información (CISO) aquí en Microsoft, “los piratas informáticos no entran, inician sesión”.
Algunos conceptos básicos para recordar: asegúrense de que su contraseña sea:
- Al menos de 12 caracteres de largo.
- Una combinación de letras, números y símbolos en minúsculas y minúsculas.
- Ni una palabra que se pueda encontrar en un diccionario, ni el nombre de una persona, producto u organización.
- Diferente por completo de sus contraseñas anteriores.
- Cambiada de inmediato si sospechan que pudo haber sido comprometida.
Consejo: Consideren usar un Administrador de contraseñas. Microsoft Edge y Microsoft Authenticator pueden crear (y recordar) contraseñas seguras a través del generador de contraseñas (Password Generator), y luego completarlas de manera automática al acceder a sus cuentas. Además, tengan en cuenta estos otros consejos:
- Sólo compartan información personal en tiempo real, en persona o por teléfono. (Cuidado con las redes sociales).
- Sean escépticos con los mensajes con enlaces, en especial de aquellos que solicitan información personal.
- Estén atentos a los mensajes con archivos adjuntos, incluso de personas u organizaciones en las que confían.
- Habiliten la función de bloqueo en todos sus dispositivos móviles (huella digital, PIN o reconocimiento facial).
- Asegúrense de que todas las aplicaciones en su dispositivo sean legítimas (solo de la tienda de aplicaciones oficial de su dispositivo).
- Mantengan su navegador actualizado, naveguen en modo incógnito y habiliten el Bloqueador de elementos emergentes.
- Usen Windows 11 y activen la Protección contra manipulaciones (Tamper Protection) para proteger su configuración de seguridad.
Consejo: cuando respondan preguntas de seguridad, proporcionen una respuesta no relacionada. Por ejemplo, P: “¿Dónde naciste? R: “Verde”. Esto ayuda a alejar a los atacantes que podrían usar información extraída de sus cuentas de redes sociales para piratear sus contraseñas. (Solo asegúrense de que las respuestas no relacionadas sean algo que recordará).
La autenticación sin contraseña comienza a volverse común
Como parte de una colaboración histórica, FIDO Alliance, Microsoft, Apple y Google han anunciado planes para ampliar la compatibilidad con un estándar común de inicio de sesión sin contraseña. Conocidas de manera común como claves de acceso, estas credenciales FIDO para múltiples dispositivos ofrecen a los usuarios una forma nativa de la plataforma para iniciar sesión de forma segura y rápida en cualquiera de sus dispositivos sin una contraseña. Casi imposible de sufrir phishing y disponible en todos sus dispositivos, una clave de acceso les permite iniciar sesión tan sólo autenticándose con su rostro, huella digital o PIN del dispositivo.
Además de una experiencia de usuario consistente y seguridad mejorada, estas nuevas credenciales ofrecen otros dos atractivos beneficios:
- Los usuarios pueden acceder de manera automática a sus claves de acceso en muchos de sus dispositivos sin tener que volver a inscribirse para cada cuenta. Sólo autentíquense con su plataforma en su nuevo dispositivo y sus claves de acceso estarán allí listas para usar, protegiéndolos contra la pérdida del dispositivo y simplificando los escenarios de actualización del dispositivo.
- Con las claves de acceso en su dispositivo móvil, pueden iniciar sesión en una aplicación o servicio en casi cualquier dispositivo, sin importar la plataforma o el navegador que el dispositivo ejecute. Por ejemplo, los usuarios pueden iniciar sesión en un navegador Google Chrome que se ejecuta en Microsoft Windows, a través de una clave de acceso en un dispositivo Apple.
Se espera que estas nuevas capacidades estén disponibles en las plataformas de Microsoft, Apple y Google a partir del próximo año. Este tipo de credencial de autenticación web (WebAuthn) representa una nueva era de autenticación, y estamos encantados de unirnos a FIDO Alliance y a otros en la industria para respaldar un estándar común para una experiencia de autenticación segura y consistente. Obtengan más información sobre esta colaboración de estándares abiertos y las emocionantes capacidades sin contraseña que vienen para Microsoft Azure Active Directory en una publicación de blog de Alex Simons, vicepresidente de administración de programas de identidad.
Ayudándoles a mantenerse seguros durante todo el año
Obtengan más información sobre la jornada de Microsoft para proporcionar autenticación sin contraseña en una publicación de blog de Joy Chik, vicepresidenta corporativa de identidad. También pueden leer la guía completa para configurar su cuenta sin contraseña con Microsoft, que incluye preguntas frecuentes y enlaces de descarga. Y asegúrense de visitar Security Insider para revisar entrevistas con líderes de pensamiento en seguridad cibernética, noticias sobre las amenazas cibernéticas más recientes y mucho más.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Día Mundial de la Contraseña, Calendario del Día Nacional.
2Según los datos de registro de autenticación de Microsoft Azure Active Directory (Azure AD). 2022.
3Hábitos de contraseñas de Estados Unidos 2021, Security.org. 1 de octubre de 2021.