www.pwc.

com/ve

Inicio

Boletn de Consultora Gerencial

El Password: Factor crtico de xito para proteger la informacin contra los Hackers
Boletn Digital No. 15 - 2011

Espieira, Sheldon y Asociados

Boletn Consultora Gerencial - No. 15 - 2011

Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Contenido
Haga click en los enlaces para navegar a travs del documento
4Introduccin 4Definicin de contraseas seguras 4Programa de concientizacin y cultura 4Controles complementarios al uso de contraseas seguras 4Controles en la transmisin y almacenamiento de contraseas 4Conclusiones 4Crditos / Suscribirse

No. 15 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Introduccin
El conflicto entre la necesidad de construir contraseas de difcil deduccin y la necesidad para mantenerlas fciles de recordar, ha hecho de la seguridad de la contrasea un problema complejo M. M. King1 La definicin de contraseas seguras (Strong Password) es una necesidad imperativa para habilitar accesos seguros tanto a la informacin personal en las redes sociales, cuentas de correo, Internet Banking, as como los sistemas y recursos de red empresarial. La definicin de contraseas seguras reduce los riesgos asociados al acceso no autorizado, manipulacin y destruccin de informacin de forma accidental o deliberada y la protege de una posible divulgacin no autorizada.

El Password: Factor crtico de xito para proteger la informacin contra los Hackers
Definicin de contraseas seguras
Sin embargo, el uso de contraseas seguras no reemplaza la necesidad de otros controles de seguridad, los cuales deben actuar en conjunto para proteger la informacin de manera eficaz. La eficacia de los controles de acceso viene dada por cuatro (4) factores: Definicin de contraseas seguras o complejas Educacin y cultura de seguridad en la proteccin de contraseas Controles complementarios al uso de contraseas seguras Muchas personas son de la opinin que la definicin de contraseas seguras no es funcional dado el nmero de contraseas que manejan, la dificultad que tienen para construirlas y recordarlas, sobre todo ahora con el crecimiento de las redes sociales y el uso de smartphones. Esta situacin, trae consigo mayores probabilidades de generar brechas de seguridad, como por ejemplo escribir las contraseas y ubicarlas en lugares no seguros, tales como debajo de los teclados, en archivos planos en sus computadores e incluso en el sitio de trabajo visibles a cualquier persona.

Maria M. King es la autora de Rebus passwords, trabajo presentado en la Sptima Conferencia Anual de Aplicaciones de Seguridad Infrmatica (Computer Security Applications). Editado por IEEE Press, 1991.

No obstante, la situacin mencionada puede ser Controles en la transmisin y almacenamiento solventada empleado tcnicas para la definicin de contraseas de contraseas seguras y estableciendo esquemas de educacin y concientizacin de usuarios, cuyo objetivo es eliminar el uso de contraseas de fcil deduccin mientras permite al usuario la definicin de las mismas de manera robustas y fcilmente memorizables.

No. 15 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Definicin de contraseas seguras
Para alcanzar el objetivo planteado, es importante considerar los siguientes aspectos entorno a la definicin correcta de contraseas seguras: Deben poseer un mnimo de ocho (8) caracteres, constituida por letras maysculas, minsculas, nmeros y al menos un (1) carcter no alfanumrico (puntuacin y/o smbolos) No usar palabras en ningn idioma, dialecto, argot, o que puedan estar presentes en diccionarios No usar informacin personal como nombres (familiares, mascotas, etc) o fechas como cumpleaos y aniversarios No usar acrnimos, palabras o frases relacionadas con la universidad o el trabajo (Go Bulls!!!, Hacer ms con menos, Do not smoking!!!)

El Password: Factor crtico de xito para proteger la informacin contra los Hackers

No usar trminos de computacin, comandos, sites o nombre de aplicaciones o software (Delete, Windows, etc) No usar patrones de palabras o nmeros (aaabbb, qwerty, 123456, abc123, zyxwvuts, etc)

No anteponer o agregar ante un cambio de contrasea caracteres adicionales (gteks#67, gteks#678, gteks#679 o 1gteks#67, 2gteks#67, 3gteks#67, etc.)

A continuacin se describe una tcnica que permite definir contraseas seguras y fciles de recordar por su propietario:
Descripcin Escribir una frase Transformar la frase en una secuencia de letras Incrementar la complejidad Incorporar nmeros intercalados Incorporar marcas de puntuacin y smbolos Sugerencia Pensar en algo til o significativo para usted Usar la primera letra de cada palabra y nmeros (si aplica) Colocar en Maysculas la mitad de las letras Sustituir letras por nmeros o intercalarlos Colocar una marca de puntuacin al inicio y un smbolo al final o viceversa. Ejemplo Hacer ejercicios treinta minutos diarios y comer sano es salud hetmdycses (10 caracteres) HETMDycses (10 caracteres) HE30MDycses (11 caracteres) *HE30MDycses (13 caracteres)

No. 15 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Programa de concientizacin y cultura
Las tcnicas para la definicin de contraseas seguras, no es suficiente para proteger la confidencialidad e integridad de la informacin, por ello es necesario incurrir en un programa de concientizacin y cultura que contemple los siguientes aspectos: No compartir o revelar las contraseas a ninguna persona, lo cual incluye familiares, amigos, compaeros de trabajo, jefes o supervisores, entre otros Las contraseas no deben ser mostradas, almacenadas, escritas ni transmitidas en texto claro No hablar de la tcnica para definir sus contraseas en presencia de otros

El Password: Factor crtico de xito para proteger la informacin contra los Hackers

No revelar las contraseas en ningn cuestionario o formato fsico ni on-line No delegar o compartir contraseas durante vacaciones o permisos Las contraseas no deben ser almacenadas en ninguna localidad donde individuos no autorizados puedan descubrirlas u obtenerlas (Contraseas escritas en papel, ubicar contraseas debajo del teclado, en archivos no cifrados en sus computadores, tablets o smartphones, entre otros) Definir contraseas distintas para cada sistema. Principalmente, las contraseas a emplear en redes sociales (twitter, facebook, Linkedin, etc), sistemas de correo electrnicos, aplicaciones corporativas, internet banking, entre otros

Al sospechar que una cuenta de usuario est comprometida, debe ser reportado inmediatamente al personal responsables de atender este tipo de solicitudes, se debe bloquear la cuenta de usuario relacionada para investigaciones si es requerido y forzar la definicin de una nueva contrasea que cumpla con las mejores prcticas

No. 15 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Controles complementarios al uso de contraseas seguras
An cuando el usuario tiene consigo la responsabilidad de definir contraseas seguras y protegerlas de su divulgacin, es necesario contar con controles complementarios al uso de contraseas para reforzar la disponibilidad, integridad y confidencialidad de la informacin. Estos controles, son definidos en su mayora en los ambientes tecnolgicos (pginas web, servidores, bases de datos, aplicaciones, equipos de red, correos electrnicos corporativos y personales, redes sociales, smartphones, entre otros), hacia donde los usuarios se autentican empleando sus credenciales de acceso. En este sentido, a continuacin se definen los controles complementarios mnimos que deben ser tomados en cuenta entorno al uso adecuado de contraseas y su proteccin:

El Password: Factor crtico de xito para proteger la informacin contra los Hackers

Longitud. Una contrasea debe contar con un mnimo de ocho (8) caracteres, donde su longitud mxima y complejidad debe estar basada en el riesgo inherente Complejidad. Evaluar con base al riesgo inherente, la activacin o configuracin de controles automticos para forzar complejidad de contraseas, lo cual puede ser definido principalmente en sistemas operativos, aplicaciones comerciales o desarrollo internos en ambiente web Caducidad. Basado en el riesgo a la informacin, la caducidad de contraseas en das puede ser definida de la siguiente manera por tipo de informacin: Pblica Uso Interno Confidencial 120 das 60 das 45 das Secreta 30 das

Intentos fallidos. Se refiere al bloqueo de contraseas por intentos fallidos de conexin. El mismo debe ser definido en tres (3) como valor mximo. Este control automtico es aplicado por el sistema que autentica y autoriza las credenciales de acceso de los usuarios Bloqueo. Se refiere al tiempo en que permanecer bloqueada una cuenta de usuario por superar los intentos fallidos de conexin. Para sistemas que poseen informacin confidencial y secreta, el bloqueo debe ser indefinido hasta que el administrador del sistema habilite la cuenta nuevamente Historial de contraseas. Es recomendable que este control est configurado en diez (10) lo cual evita la reutilizacin de las ltimas diez contraseas definidas por su propietario

No. 15 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Controles complementarios al uso de contraseas (cont.)
Verificacin preventiva de contraseas. Se refiere al uso de mecanismos que actan al momento que un usuario define su contrasea, los cuales pueden comprobar si la misma cumple con los lineamientos de seguridad en cuanto longitud y complejidad, previo a que dicha contrasea sea aceptada por el sistema destino Verificacin correctiva de contraseas. Es un control basado en el uso de herramientas o desarrollos internos, donde por parte de la unidad de Seguridad de la Informacin, se realizan verificaciones recurrentes a la robustez de las contraseas. Cualquier brecha detectada deber ser acompaada por el bloqueo de la cuenta de usuario comprometida, definicin de una contrasea segura y hacer el llamado de atencin correspondiente al propietario de la cuenta.

El Password: Factor crtico de xito para proteger la informacin contra los Hackers
Controles en la transmisin y almacenamiento de contraseas
Considerando que las contraseas sean definidas de forma robusta y estn configurados controles de acceso complementarios para su proteccin en los ambientes tecnolgicos, an queda por cubrir dos (2) puntos crticos que suelen ser utilizados por atacantes para obtener credenciales de acceso. Estos puntos son, el protocolo de transmisin de contraseas y el lugar donde las mismas son almacenadas. En cuanto al medio de transmisin de contraseas en un esquema cliente-servidor, deben ser utilizados protocolos seguros (SSH, NTLMV2, https, etc) para que las credenciales de acceso (usuario y contrasea) sean cifradas y transmitidas de manera confiable, evitando de esta forma que un intruso mediante tcnicas de hacking (sniffing, man-in-the-middle, etc) logre capturarlas de manera legible y hacer uso indebido de los activos de informacin. Con respecto al esquema de almacenamiento de contraseas, las mismas deben ser cifradas empleando algoritmos robustos (AES, MD5, etc) y almacenadas con accesos restringidos. De esta manera, an cuando un intruso logre tener acceso a los repositorios donde se encuentran las contraseas, estas se encontrarn cifradas y no podrn ser utilizadas de manera indebida. Es importante destacar, que una persona pudiera tener ms de quince (15) contraseas que recordar en un momento dado y an cuando sean definidas empleando tcnicas para su robustez y ser fcilmente memorizadas, puede se requiera un repositorio seguro para almacenarlas, para lo cual se sugiere utilizar herramientas comerciales y certificadas (password keeper, password manager, etc) tanto para Smartphone, tablets, desktops, entre otros.

No. 15 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Conclusiones
Lo ms apetecible por un intruso dado el factor determinante para un acceso efectivo a la informacin, son las contraseas. Por ello, deben ser distintas para cada ambiente tecnolgico, definidas con una longitud apropiada y de manera robusta. Adicionalmente, se debe contar con una adecuada educacin y conciencia de seguridad para los usuarios, controles de accesos complementarios al uso de la contrasea operando efectivamente en los sites o sistemas destinos y el uso adecuado de protocolos seguros de transmisin y esquemas de cifrado para el almacenamiento de contraseas.

El Password: Factor crtico de xito para proteger la informacin contra los Hackers

Sin embargo, cada da las amenazas son mayores y difciles de controlar, por lo que las vulnerabilidades y riesgos de acceso no autorizado a la informacin son mayores, considerando el auge que ha representado las redes sociales, el uso de smartphones y trabajo remoto en nuestra vida cotidiana. En este sentido, los controles de seguridad para la proteccin de la informacin catalogada como crtica o secreta, tienden a ir ms all de la contrasea o algo que conoces. Se incorporan, mecanismos de seguridad adicionales basados en algo que posees (token, tarjeta de coordenadas, etc), algo que te identifica (huella dactilar, lectura de retina, etc), algo nico que haces (firmas, smbolos, etc) o desde donde te autenticas (direccin fsica, direccin IP, etc).

No. 15 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Crditos
El presente Boletn es publicado por la Lnea de Servicios de Consultora Gerencial (Advisory) de Espieira, Sheldon y Asociados, Firma miembro de PwC. El presente boletn es de carcter informativo y no expresa opinin de la Firma. Si bien se han tomado todas las precauciones del caso en la preparacin de este material, Espieira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daos y perjuicios resultantes del uso de la informacin contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueos. PwC niega cualquier derecho sobre estas marcas

Para suscribirse al Boletn

Consultora Gerencial

Sganos en

Editado por Espieira, Sheldon y Asociados Depsito Legal pp 1999-03CS141 Telfono master: (58-212) 700 6666
2011 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a Espieira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espieira, Sheldon y Asociados no ser responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podr ejercer control sobre su juicio profesional ni tampoco podr comprometerlas de manera alguna. Ninguna firma miembro ser responsable por los actos u omisiones de cualquier otra firma miembro ni podr ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podr comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J-00029977-3