Uno de los más comunes es reutilizar el mismo ID de usuario/dirección de correo electrónico y contraseña en varios sitios y dispositivos. “Las contraseñas son una de las primeras barreras críticas entre una persona, un ciberdelincuente y un ataque exitoso. La reutilización de contraseñas se ve exacerbada por el creciente volumen y las tasas de éxito que los atacantes están cosechando con campañas avanzadas de phishing de credenciales, que utilizan sitios web falsos semejantes a la página de inicio de sesión de un servicio online legítimo para robar nombres de usuario y contraseñas”, explica Manuela Muñoz, Named Account Manager de Proofpoint.
Proofpoint ofrece a los usuarios un generador de contraseñas aleatorias gratuito, además de recomendaciones para tener en cuenta siempre como las siguientes:
- Usar contraseñas diferentes, especialmente en cuentas financieras y de datos críticos. Si se utiliza una frase para la contraseña, el usuario debe asegurarse de evitar palabras o expresiones comunes, nombres o fechas sobre sí mismo o sus familiares.
- Activar la autenticación multifactor (MFA) para tantas cuentas como sea posible. Este enfoque frustra los sistemas automatizados que los ciberdelincuentes utilizan para adivinar contraseñas o cuando introducen claves robadas.
- Si no es una opción, habría que utilizar un administrador de contraseñas que cree claves aleatorias que se almacenen, encripten y sean accesibles de forma segura en todos los dispositivos personales. Esto reduce la carga de intentar recordar credenciales de inicio de sesión complicadas en varios sitios web y hace que los usuarios se inclinen por contraseñas más largas y robustas.
- Cambiar todas las contraseñas unas dos veces al año, pero si son contraseñas de cuentas comerciales o empresariales, es mejor hacerlo cada tres meses. Se puede establecer una política automatizada del sistema que establezca una fecha límite para actualizar esas contraseñas, determinando los requisitos de esas claves y evitando que se utilicen contraseñas recientes.
- Todos los empleados de una empresa, ya sea que trabajen en remoto o en la oficina, deben recibir formación sobre las mejores prácticas básicas de ciberseguridad, incluyendo cómo identificar un intento de phishing de credenciales y cómo administrar contraseñas de forma segura.