Ciberseguridad

Qué es la fatiga de contraseñas

La fatiga de contraseñas es la saturación que experimentamos al gestionar una gran cantidad de claves distintas para las cuentas de nuestras aplicaciones y servicios. Esto no es solo tedioso para la gran mayoría de la gente, sino que también puede convertirse en un riesgo de seguridad que las empresas deben desafiar.

Existen ocasiones en las que, debido a la fatiga de contraseñas, tendemos a bajar la guardia y cometer errores de seguridad: sea por prisa o pereza en el momento de crear una cuenta o actualizar la contraseña, reutilizamos una, utilizamos información pública para crearla, o hacemos una leve variación de una que ya hemos utilizado.

Por qué es un problema creciente

Con la inmensidad de plataformas online que utilizamos al día (correo electrónico, servicios bancarios, redes sociales, plataformas de streaming, herramientas de trabajo, etc.), cada vez sumamos más contraseñas. El resultado es que terminamos con decenas de contraseñas que, a menudo, no recordamos o gestionamos de forma insegura.

Esta situación facilita el uso de contraseñas débiles o su reutilización, aumentando el riesgo de ataques de fuerza bruta, phishing o ser víctimas de filtraciones; lo que puede desencadenar en perder el acceso a nuestras valiosas cuentas.

En esta imagen podemos ver el tiempo que se necesita para hackear una contraseña, con datos de 2024.

Fuente: hivesystems.com/password

Causas comunes

La fatiga de contraseñas se debe a diversos factores internos y externos. A continuación, conocerás las causas más frecuentes.

Demasiadas cuentas y credenciales

Por mucha organización y constancia, a lo largo de los años se pierde la cuenta de la inmensidad de lugares donde nos hemos registrado. Cada nueva aplicación nos pide un correo o un usuario junto a una clave.

Cuando tenemos que manejar decenas de cuentas, se hace casi imposible administrarlas correctamente si no usamos una herramienta de gestión para nuestras claves, como un gestor de contraseñas o una llave FIDO.

Políticas de contraseñas complejas

Muchas empresas y plataformas exigen contraseñas que incluyan letras mayúsculas, minúsculas, números y caracteres especiales. Esta complejidad, que está pensada para aumentar la seguridad, a veces puede terminar siendo contraproducente si el usuario olvida su clave, ya que necesitará restaurarla y causará frustración, aunque sea por un bien mayor.

Esto conlleva a que muchas veces, se parta de una base para crear la contraseña y las nuevas se generen con pequeñas variaciones de la anterior, volviéndose fáciles de adivinar e inseguras. O incluso peor, que acaben anotándose de forma insegura si debe cambiarlas con demasiada frecuencia.

Reutilización de contraseñas

Por no pensar unos segundos en una nueva contraseña y guardarla en nuestro lugar de preferencia, otra opción suele ser reutilizar una contraseña (o crear una muy similar) para varios portales. Este hábito es muy arriesgado, ya que con que un atacante descubra tu contraseña o se produzca una filtración de datos en un sitio vulnerado para que cientos prueben el mismo patrón en otras plataformas.

Por ejemplo, si un sitio web sufre un ciberataque donde se vulneran los usuarios y contraseñas para posteriormente venderlos en la dark net, podrían probar el mismo usuario y contraseña en cientos de portales web diferentes para comprobar si alguno coincide de nuevo.

Contraseñas débiles o predecibles

Si la política de contraseñas no es muy compleja, hay gente que opta por crear contraseñas sencillas o fáciles de adivinar, lo que realmente es un error y facilita el objetivo a los ciber criminales. En un intento de simplificar las cosas, recurrimos a contraseñas fáciles de recordar, como “123456”, “Contraseña1”, “Qwerty1!” o similares.

Estas contraseñas son de las primeras que prueban los ciberdelincuentes que utilizan bases de datos de contraseñas como el repositorio “Rockyou2024” que contiene cerca de diez mil millones de contraseñas recopiladas de diferentes filtraciones a lo largo de los años, lo que supone un peligro claro y constante.

Es posible que no sean tan sencillas, e incluso únicas, pero siguen siendo fáciles de adivinar mediante un ataque de fuerza bruta si no tienen una complejidad elevada, pudiéndose descubrir en segundos o minutos.

Gestión ineficiente

Ya sea apuntando contraseñas en las notas del móvil, en post-its en el escritorio o en un chat de mensajería sin cifrar, muchas personas no gestionan sus contraseñas de forma organizada y segura. Otros prefieren utilizar un documento de texto o una hoja de cálculo, lo que conllevaría que un ciber atacante obtuviese todas las contraseñas si el equipo fuese infectado por algún virus.

Esto no sólo afecta a la seguridad inmediata de nuestras cuentas, sino que es un mal hábito de cyber hygiene, que busca mantener nuestros datos y dispositivos libres de fallos de seguridad a través de buenas prácticas fáciles de implementar.

Soluciones para un acceso seguro sin contraseñas

Afortunadamente, existen alternativas y métodos que reducen la dependencia de contraseñas tradicionales, ofreciendo una capa de seguridad adicional y enriqueciendo la experiencia de los usuarios con uno de los aspectos que a veces suele ser más indeseable de manejar.

Autenticación multifactor (MFA)

La autenticación multifactor combina dos o más métodos de verificación: contraseña, token, huella dactilar o SMS. Esto significa que, incluso si alguien descubriese tu clave, necesitaría un factor adicional para acceder a la cuenta.

Por ejemplo, activar la autenticación multifactor puede solicitarte un código adicional recibido a través de un canal diferente, como un SMS o correo electrónico de confirmación. De esta forma, se previenen los accesos no autorizados, confirmando que el usuario que está iniciando sesión es poseedor de la cuenta de correo o de la línea de móvil asociada a la cuenta.

La autenticación multifactor robusta combina:

• Algo que sabes (la contraseña al iniciar sesión).
• Algo que tienes (una llave de seguridad, un teléfono con la línea de SMS, o un correo electrónico).
• Algo que eres (biometría como una huella dactilar o reconocimiento facial).

Sistemas de inicio de sesión único (SSO)

El SSO (Single Sign-On) proporciona acceso a múltiples aplicaciones con un único inicio de sesión centralizado en una plataforma. Esto reduce la necesidad generar usuarios para cada aplicación y una contraseña diferente. Eliminando la contraseña, se elimina el riesgo de olvidarla y mantenerla, y mejora la seguridad de los accesos centralizando la identificación en un mismo sistema.

Por ejemplo, si inicias sesión con tu cuenta de Google o Microsoft, puedes vincular múltiples plataformas que sean disponibles con este tipo de inicio de sesión sin tener que introducir tu usuario y contraseña una y otra vez. En los entornos corporativos el SSO es una solución perfecta para el acceso a recursos, simplificando las operaciones del usuario y los problemas de gestión de acceso para el departamento TI.

Gestores de contraseñas

Los gestores de contraseñas son herramientas que permiten almacenar todos los accesos bajo una contraseña maestra. Existen gestores que almacenan la información en el dispositivo, y otros que permiten sincronizarse en tiempo real entre distintos equipos gracias a su almacenamiento en la nube. Ambas opciones son siempre mucho mejor que anotarlas en un documento en tu dispositivo si no la información no se encuentra cifrada y protegida mediante una contraseña robusta.

Los gestores de contraseñas tienen funcionalidades que ayudan a mantener tus contraseñas seguras:

• Permiten crear usuarios y contraseñas automáticamente, lo que reduce la carga mental de crear una contraseña. Utilizar diferentes usuarios que no ofrezcan información personal mejorará tu privacidad en línea.
• Permiten el auto completado de credenciales haciendo que no sea necesario ni siquiera copiar y pegar las contraseñas, ya que lo hacen automáticamente o si detectan que estás registrado en el sitio web, si tienes una extensión en tu navegador o móvil.
• La sincronización (en el caso de los gestores online) o el almacenamiento local (en el caso de los offline) aseguran que las contraseñas se encuentren protegidas de forma robusta gracias a su cifrado, lo que las protege en caso de que tus dispositivos se rompan, pierdan o sean robados.

Los gestores de contraseñas en las empresas pueden facilitar la gestión de un gran enemigo: las cuentas compartidas. Es fácil encontrar en cualquier empresa una cuenta que sea utilizada por más de un usuario. En vez de compartirla a través de correos o notas de papel, el uso de un gestor de contraseñas facilitará la gestión de estos escenarios, mejorando la seguridad de las operaciones.

Autenticación biométrica

La huella dactilar, el reconocimiento facial o incluso el escaneo de iris se usan cada vez más para validar la identidad a la hora de acceder a aplicaciones críticas. Esta tecnología que avanza a grandes pasos es especialmente práctica en dispositivos móviles, donde un simple toque en el panel táctil o mirar a la pantalla basta para desbloquear aplicaciones. Al no depender de contraseñas, reduces el riesgo de robo de credenciales tradicionales.

Passkeys y autenticación sin contraseñas

Las passkeys son “llaves digitales” que aprovechan la criptografía para sustituir el rol de las contraseñas. Compañías como Google, Microsoft y Apple, junto a grandes organizaciones, trabajan para que en el futuro iniciar sesión sea tan sencillo como aprobar un acceso en tu móvil sin necesidad de recordar ni escribir ninguna contraseña, como si de una llave maestra se tratase. Además, existen herramientas muy populares como Google Authenticator y Microsoft Authenticator, que generan códigos de un solo uso y ayudan a reforzar la protección de tus cuentas.

Con estas soluciones, el proceso de iniciar sesión se vuelve más fluido, reduciendo la necesidad de recordar contraseñas y aumentando la protección de las cuentas al no existir esa dependencia. El futuro apunta a un escenario en el que las contraseñas clásicas ya no sean necesarias.

Ventajas de implementar soluciones avanzadas

Implementar sistemas de autenticación modernos no sólo te protege de las ciber amenazas a las que nos exponemos a diario, sino que también mejoran la experiencia del usuario y la productividad

Mejor experiencia de usuario

A través del SSO, se reduce la necesidad de recordar y mantener contraseñas para cada portal. Esto supone una mejora en la experiencia del usuario, ya que evita la frustración de olvidar la contraseña; o que haya caducado y no sepas qué poner como nueva contraseña.

Cuando en un entorno de trabajo se aplican estas soluciones, el equipo consigue mediante un único inicio de sesión acceso a correos corporativos, herramientasy plataformas internas sin las molestias de introducir credenciales a cada paso. Al final, se traduce en menos complicaciones y un entorno de trabajo más fluido.

Mayor seguridad

La implementación de la autenticación multifactor y/o métodos biométricos añade capas de seguridad adicionales que complican a los ciber criminales sus ataques, ya que no les bastaría con conseguir la contraseña a través de fuerza bruta, o si la contraseña estuviese siendo reutilizada. Junto a los gestores de contraseñas, disminuyendo la reutilización, reduce la posibilidad de sufrir un fallo de seguridad.

Productividad empresarial

Implementar la autenticación multifactor y el SSO en nuestros sistemas reduce significativamente el número de intrusiones e incidencias de accesos a las aplicaciones, lo que resulta beneficioso tanto para los usuarios como para el equipo de TI. La reducción del tiempo dedicado a incidencias por cuentas bloqueadas o accesos olvidados proporciona al personal de TI la posibilidad para el desarrollo de proyectos y mejoras en los sistemas, y evita que los usuarios pierdan tiempo por tener un usuario bloqueado, así como su frustración.

Si quieres aprender a proteger la información de tus sistemas, la Ruta formativa de Ciberseguridad en la Empresa de OpenWebinars. En este plan de formación obtendrás las habilidades necesarias para gestionar la seguridad de los sistemas y dominar la gestión de riesgos de ciberseguridad.

Cómo comenzar a combatir la fatiga de contraseñas

Si quieres comenzar ahora mismo a combatir la fatiga de contraseñas, aquí tienes algunos pasos que puedes aplicar en tus cuentas y aplicaciones, tanto personales como profesionales.

Educación y concienciación

La divulgación de buenas prácticas es fundamental para conseguir buenos hábitos de cyber hygiene. El primer paso para concienciar acerca de la fatiga de contraseñas consiste en concienciar a compañeros y familiares sobre los riesgos de utilizar contraseñas débiles o reutilizarlas.

Mostrar ejemplos de ataques reales y centrarse en el valor de la información que pueden contener las cuentas puede ayudar a que comprendan la importancia de combatir la fatiga de contraseñas.

Adopción de tecnologías sin contraseñas

Para luchar contra la fatiga de contraseñas, cada vez más organizaciones y usuarios están optando por soluciones sin contraseñas en las aplicaciones que implementan este tipo de autenticación. Si es así, habilítala y selecciona un método de verificación alternativo (token físico, biometría o passkey). Cada vez que inicies sesión, en vez de introducir una contraseña, solo tendrás que aprobar un aviso o utilizar tu huella dactilar.

Integración de gestores de contraseñas

El uso de un gestor de contraseñas es altamente recomendable independientemente de las demás soluciones y herramientas que utilices. Por eso, es indispensable escoger el que más se adapte a tus necesidades para comenzar a utilizarlo cuanto antes. Sea un gestor de contraseñas offline o basado en la nube, será tu herramienta base para crear unos hábitos de cyber hygiene que reducirán los riesgos de recibir un ciberataque.

Para entornos corporativos existen gestores que además del almacenamiento de claves permiten generar accesos directos, comprobar cuándo fue el último uso de la cuenta, establecer diferentes políticas para las contraseñas generadas, e incluso la gestión de certificados.

Conclusiones

La fatiga de contraseñas es un problema que no para de crecer a medida que creamos más cuentas en diferentes portales y aplicaciones. Desde la autenticación multifactor hasta los nuevos sistemas de passkeys, que nos prometen un mundo sin contraseñas, estas alternativas están diseñadas para reducir los riesgos de nuestras cuentas y, sobre todo, hacernos la vida más sencilla.

Independientemente de la solución que escojas para iniciar sesión, el uso de un gestor de contraseñas siempre es recomendable para evitar tener cuentas escritas en una libreta, hojas de cálculo o en las notas del móvil.

En las empresas, la gestión de los accesos y las credenciales resulta más crítico debido a la información que puede manejarse, y se suma el riesgo de que algunas cuentas pueden ser compartidas por múltiples usuarios. Para elevar la seguridad de los usuarios y dispositivos, el Curso de Onboarding en Ciberseguridad enseña los fundamentos para la prevención de los riesgos cibernéticos más comunes.