Las contraseñas corporativas todavía se violan a un ritmo alarmante, y muchas empresas continúan utilizando las cadenas más fáciles de piratear imaginables.
En su informe anual de contraseñas débiles (se abre en una pestaña nueva)la empresa de administración de contraseñas Specops Software analizó más de 800 millones de contraseñas violadas y descubrió que «siguen siendo el eslabón más débil en la red de una organización».
Como era de esperar, el 88 % de los que se descifraron tenían 12 caracteres o menos, siendo las frases más comunes ‘contraseña’, ‘administrador’, ‘bienvenido’ y ‘p@ssw0rd. Casi el 20% también contenía exclusivamente caracteres en minúsculas.
No suficientemente fuerte
Lo que quizás sea más sorprendente es que incluso las contraseñas consideradas seguras de acuerdo con estándares como NIST y PCI constituyeron el 83% de las comprometidas.
«Esto demuestra que, si bien las organizaciones están haciendo esfuerzos concertados para seguir las mejores prácticas de contraseñas y los estándares de la industria, es necesario hacer más para garantizar que las contraseñas sean seguras y únicas», señaló el gerente de productos de Specops, Darren James.
«Con la sofisticación de los ataques de contraseña modernos, siempre se requieren medidas de seguridad adicionales para proteger el acceso a datos confidenciales», agregó.
Los ataques de fuerza bruta eran comunes para los actores de amenazas, pasando por contraseñas comunes y violadas y usándolas en combinación con un correo electrónico comercial hasta que finalmente obtuvieron acceso a la cuenta de una empresa.
El informe incluso encontró que las contraseñas antiguas, como la que se filtró en una violación de MySpace en 2016, todavía estaban siendo empleadas con éxito por los piratas informáticos.
También menciona la violación de Nvidia en abril de 2022, donde muchos empleados habían asegurado sus cuentas con contraseñas débiles como ‘Nvidia’, ‘qwerty’ y ‘nvidia3d’, lo que demuestra que incluso las empresas grandes y prominentes son culpables de malas prácticas de contraseñas.
Para abordar el problema, James recomienda que las empresas primero protejan «Active Directory, la solución de autenticación universal para redes de dominio de Windows». Luego, se debe usar software de terceros, como administradores de contraseñas y generadores de contraseñas, para crear y garantizar el uso de contraseñas seguras y únicas.