Tecnología

Consejos a la hora de crear una política de contraseñas para una empresa

Publicado

Hace 2 años

13 mayo, 2023

Por

Gabriela Suniaga

En estos días una persona promedio tiene hasta 100 contraseñas para recordar, el número creció a un ritmo acelerado en los últimos años (aunque, de hecho, algunas personas usaron alrededor de 50 contraseñas).

De hecho, estudios han encontrado que las personas generalmente recuerdan hasta cinco contraseñas y toman atajos para crear contraseñas fáciles de adivinar y luego reciclarlas en varias cuentas en línea.

Algunos en realidad sustituyen números y caracteres especiales por letras (por ejemplo, «password» se convierte en «P4??WØrd»), pero esto sigue siendo una contraseña que es fácil de descifrar.

Por su parte, compañías tecnológicas como Microsoft y Google están alentando a todos a deshacerse de las contraseñas y dejar de usarlas por completo.

Sin embargo, si una pequeña o mediana empresa aún no está lista para deshacerse de las contraseñas, ESET, compañía líder en detección proactiva de amenazas, comparte una guía que puede ser de ayuda:

Dejar de imponer reglas innecesarias para crear contraseñas complejas:

Las reglas para crear contraseñas que son extremadamente complejas (como exigir a los usuarios que incluyan caracteres en mayúsculas y minúsculas, al menos un número y un carácter especial) ya no son obligatorias.

Las mismas no alientan a los usuarios a establecer contraseñas más seguras, sino que impulsan a actuar de manera predecible y generar contraseñas débiles y difíciles de recordar.

Cambiar a frases de contraseña: En lugar de contraseñas cortas pero difíciles, buscar frases de contraseña.

Son más largas y más complejas, pero aun así son fáciles de recordar.

Por ejemplo, puede ser una oración completa, salpicada de mayúsculas, caracteres especiales y emojis.

Si bien no es súper compleja, las herramientas automatizadas tardarán años en descifrarla.

Como mínimo deberían tener 12 caracteres y como máximo 64 caracteres después de combinar varios espacios.

“Hace unos años, la longitud mínima para una buena contraseña era de ocho caracteres, que consistían en mayúsculas y minúsculas, signos y números. Hoy en día, las herramientas automatizadas para descifrar contraseñas pueden adivinar dicha contraseña en minutos, especialmente si está protegida con la función de hash MD5″.

«Esto es según las pruebas realizadas por Hive Systems y publicadas en abril de 2023. Por el contrario, una contraseña simple que contiene solo caracteres en mayúsculas y minúsculas, pero que tiene 18 caracteres, requiere de mucho, mucho más tiempo para ser descifrada”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: Hive Systems

Utilizar una variedad de caracteres: A la hora de establecer una contraseña los y las usuarias deben tener la libertad de elegir entre todos los caracteres, incluidos los emojis.

También deberían tener la opción de usar espacios, que son una parte natural de las frases utilizadas como contraseña, una alternativa muy recomendada para evitar las contraseñas tradicionales.

Una recomendación: implementar un generador de contraseñas.

Evitar la reutilización de contraseñas:

Una filtración de las claves de acceso de una cuenta puede llevar fácilmente al compromiso de otras cuentas.

Sin embargo, alrededor de la mitad de los encuestados en un estudio realizado por el Instituto Ponemon de 2019 admitió haber reutilizado un promedio de cinco contraseñas para acceder a sus cuentas comerciales y/o personales.

No utilizar fecha de expiración para contraseñas: El NIST recomienda no solicitar cambios regulares de contraseña a menos que haya evidencia de un compromiso.

La razón es que las personas usuarias tienen una paciencia limitada para tener que pensar constantemente en nuevas contraseñas razonablemente seguras.

Como resultado, solicitar cambios de contraseña de forma regular puede hacer más daño que bien.

“Tener en cuenta que esto es solo un consejo general. Si la contraseña protege una aplicación que es crucial para el negocio y atractiva para los atacantes, aún puede se puede configurar para que los colaboradores tengan que cambiar las contraseñas de forma periódica”, agrega Gutiérrez Amaya de ESET.

Lista negra de contraseñas comunes: Crear una «lista negra» con las contraseñas más comunes o que anteriormente fueron comprometidas y comparar las nuevas contraseñas con esta lista para rechazar aquellas que tengan coincidencia.

En 2019, Microsoft escaneó las cuentas de sus usuarios comparando los nombres de usuario y las contraseñas con una base de datos de más de tres mil millones de conjuntos de credenciales filtradas.

Encontró 44 millones de usuarios que utilizaban contraseñas que habían sido comprometidas y forzó el restablecimiento de contraseña.

Soporte para administradores de contraseñas y herramientas:

Asegurarse de que la funcionalidad de «copiar y pegar», el administrador de contraseñas del navegador y también los administradores de contraseñas externos estén al alcance para gestionar la molestia de crear y proteger las contraseñas de los usuarios.

Los usuarios también deben optar por ver temporalmente la contraseña enmascarada completa o ver temporalmente el último carácter escrito de la contraseña.

De acuerdo con las pautas de OWASP, la idea es mejorar la usabilidad de las credenciales, particularmente en torno al uso de contraseñas más largas, frases de contraseña y administradores de contraseñas.

Notificar a los usuarios los cambios de contraseñas: Cuando los usuarios cambian sus contraseñas, se les debe pedir que primero ingresen su contraseña anterior e, idealmente, habiliten la autenticación en dos pasos, también conocida como autenticación de dos factores o 2FA (por sus siglas en inglés).

Una vez hecho esto, deberían recibir una notificación.

Utilizar CAPTCHA y otros controles no automatizados: Utilizar controles no automatizados para mitigar ataques de fuerza bruta en los que se prueban credenciales filtradas y el bloqueo de cuentas.

Dichos controles incluyen el bloqueo de las contraseñas más comunes, límite de intentos, uso de CAPTCHA, restricciones de direcciones IP o restricciones basadas en riesgos, como ubicación, primer inicio de sesión en un dispositivo, intentos recientes de desbloqueo de una cuenta o similar.

De acuerdo con los estándares actuales de OWASP, debe haber como máximo 100 intentos fallidos por hora en una sola cuenta.

No apoyarse solamente en contraseñas: Independientemente de cuán fuerte y única sea una contraseña, sigue siendo una única barrera que separa a un atacante de sus datos valiosos.

Al apuntar a cuentas seguras, se debe considerar una capa de autenticación adicional como una necesidad absoluta.

Es por eso que debe usar la autenticación de dos factores (2FA) o la autenticación multi factor (MFA) siempre que sea posible.

“Sin embargo, no todas las opciones de 2FA son iguales. Utilizar mensajes SMS como para la verificación en dos pasos es mejor que no tener activada esta capa de seguridad adicional, pero también es un mecanismo susceptible a numerosas amenazas».

«Las alternativas más seguras implican el uso de dispositivos de hardware dedicados y generadores de contraseñas de un solo uso (OTP) basados en software, como aplicaciones seguras instaladas en dispositivos móviles”, concluye Camilo Gutiérrez de ESET.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/episode/7369TdwSZRTmZRC7PikhXd

Nota de prensa

No dejes de leer

La salsa vuelve a Caracas reúne a los más grandes en un solo escenario

Únete a nuestro canal de Telegram NoticiasAC

WhatsApp permitirá editar mensajes enviados durante 15 minutos

Movistar promueve el acceso a la red 4G+ en zonas remotas

Tecnología

Marcas chinas concentran más de 50% del mercado de dispositivos móviles en Venezuela

Publicado

2 horas ago

5 junio, 2025

Miguel Sanchez

Mercado de móviles chinos en Venezuela - Agencia Carabobeña de Noticias

Mercado de móviles chinos en Venezuela concentra más de 50%. Las marcas chinas Tecno y Xiaomi dominan el mercado de dispositivos móviles en Venezuela con una participación combinada de 50,6%, con un crecimiento acelerado de la primera de 12,6 puntos porcentuales para alcanzar el liderazgo con una cuota de 31,6% en mayo de 2025, según datos de StatCounter.

Samsung se ubica en el tercer puesto con 14%, luego de haber logrado una participación de 27% del mercado a finales de 2022, de acuerdo con una publicación del portal especializado Telecomuniciones360.

Fuentes del mercado señalan que las marcas chinas se han posicionado como dominantes en Venezuela debido a sus precios competitivos, fundamentalmente, aparte de ventajas para la importación de estos equipos.

También puede leer: Conoce XChat, el nuevo servicio de mensajería instantánea de X

Mercado de móviles chinos en Venezuela

En el segmento de marcas tradicionales el nombre fundamental es Samsung que viene haciendo esfuerzos consistentes para posicionar equipos de avanzada tecnología, a pesar de las condiciones complejas que tiene el mercado venezolano.

Ante la ralentización de los datos de recambio de equipos, las marcas han recurrido a diferentes modelos de promociones y acuerdos de financiamiento para incrementar las ventas.

El mercado de teléfonos móviles pasó de una colocación de 20 millones a 22,5 millones de unidades entre 2023 y 2024, un crecimiento de 12,5% interanual, una expansión relativamente modesta en términos históricos.

Las ventas totales de equipos podrían ubicarse en alrededor de 3 millones de unidades anuales, una cifra que representa 20% de la venta de móviles en el país en épocas de auge, cuando se llegaron a vender 15 millones de unidades en 2015, según Telecomunicaciones365.

ACN/MAS/ByN

No deje de leer: Google cambiará la forma de buscar información con el Modo IA

Infórmate al instante únete a nuestros canales

WhatsApp ACN – Telegram NoticiasACN – Instagram acn.web – TikTok _agenciacn – X agenciacn