Cómo proteger las contraseñas de las redes sociales de su empresa de los cibercriminales

Todas las empresas, independientemente de su tamaño o sector, son objetivos potenciales de los cibercriminales. A medida que las empresas son más conscientes de la importancia de la seguridad de las contraseñas para evitar las violaciones de datos, se centran en las áreas de debilidad más obvias, como las cuentas de correo electrónico de los empleados y las contraseñas de red. Sin embargo, las contraseñas de las redes sociales presentan desafíos de seguridad únicos que las organizaciones pueden estar mal preparadas para gestionar.

Esta falta de seguridad adecuada de las contraseñas es particularmente preocupante para las agencias de redes sociales y marketing digital, que gestionan múltiples clientes, entre ellos empresas y personas de alto perfil, como personas influyentes en las redes sociales y celebridades. Sin embargo, los departamentos de marketing de las grandes organizaciones o de las pequeñas y medianas empresas (pymes) se encuentran con problemas similares a la hora de proteger las contraseñas de las redes sociales de sus empresas.

Cómo proteger las contraseñas de las cuentas de redes sociales de la empresa

Proteger las contraseñas de las cuentas de redes sociales requiere las mismas precauciones que proteger otras contraseñas para su organización. Eso incluye exigir que todas las cuentas de redes sociales estén protegidas con contraseñas seguras y únicas, almacenadas y compartidas de forma segura. Las empresas nunca deben enviar contraseñas a través de correo electrónico o mensajes de texto y deben prohibir el uso de hojas de cálculo, notas adhesivas y otros métodos inseguros de seguimiento de las contraseñas.

Un gestor de contraseñas facilita la protección de las cuentas de redes sociales mediante la generación automática de contraseñas seguras, su almacenamiento en un cofre cifrado y permite a los empleados compartir credenciales de forma segura. Otras formas de proteger las cuentas de redes sociales de la empresa son:

Habilitar la autenticación multifactor: cuando habilita la autenticación multifactor (MFA) en todas las cuentas de redes sociales que la admitan, se añade una capa adicional de protección.

Otra ventaja de los gestores de contraseñas es que le permiten almacenar códigos de 2FA en su cofre cifrado. Esto significa que si los empleados comparten registros de cuentas que tienen habilitada la 2FA, no tendrán que pedir a sus compañeros de trabajo que les envíen el código de la 2FA a través de un canal no seguro, como Slack o Teams. Los empleados podrán acceder a los códigos de la 2FA a través de su registro compartido, lo que limita el riesgo de que la cuenta se vea comprometida.

Control del acceso a las cuentas de los empleados: el control del acceso a las cuentas de los empleados y de los contratistas a través del control de acceso basado en roles (RBAC), junto con el principio de privilegios mínimos, limita el acceso a las cuentas de redes sociales de la empresa únicamente a los empleados que lo necesitan.

Suscribirse a un servicio de control de la dark web: un servicio de control de la dark web, como Keeper BreachWatch®, le alertará inmediatamente si hay contraseñas de cuentas a la venta en foros cibercriminales, lo que le permitirá tomar medidas y cambiar rápidamente todas las contraseñas necesarias.

Muchas empresas no protegen adecuadamente sus contraseñas de redes sociales

La falta de una gestión de contraseñas de las redes sociales centralizada y segura deja a las organizaciones vulnerables frente a las ciberamenazas. En las agencias de las redes sociales, las vulnerabilidades comienzan durante el proceso de incorporación de clientes.

• Por lo general, los clientes comparten de forma insegura las contraseñas de redes sociales con su agencia, a través de correos electrónicos o mensajes de texto sin cifrar, que los cibercriminales pueden interceptar.
• El cliente puede almacenar contraseñas en una hoja de cálculo o un archivo de texto, lo que supone un único punto de error. Si este documento se ve comprometido, todas las cuentas del cliente se verán comprometidas.
• El cliente puede utilizar la misma contraseña para todas las cuentas de redes sociales, lo que garantiza que, si un cibercriminal obtiene la contraseña, pueda acceder a todas las cuentas.
• Las contraseñas del cliente pueden ser poco seguras o haberse visto ya comprometidas en una violación de datos pública. Esto implica que las cuentas sean vulnerables a los ataques de relleno de credenciales y de pulverización de contraseñas.

Una vez que la agencia tenga las credenciales de un cliente en su mano, también puede compartirlas y almacenarlas de forma insegura en una hoja de cálculo o un documento, en notas adhesivas o a través de correos electrónicos o mensajes de texto sin cifrar. Algunas agencias almacenan todas las credenciales de sus clientes juntas en una «lista maestra».

Por lo general, las cuentas de redes sociales de empresa las gestionan equipos que pueden incluir personal administrativo, diseñadores, redactores de publicidad y otros especialistas en marketing y relaciones públicas. Los miembros del equipo pueden ser empleados internos, contratistas independientes o una combinación de ambos. Cuantas más personas tengan acceso a las credenciales de inicio de sesión de una cuenta, mayor será el riesgo de que dichas credenciales se vean comprometidas. Verizon estima que el 57 % de las violaciones de datos están relacionados con descuidos o actos maliciosos por parte de alguien interno de la empresa, y el 15 % de las violaciones de datos se deben al uso indebido intencionado de los privilegios de inicio de sesión por parte de trabajadores o contratistas.

La falta de una gestión de contraseñas de las redes sociales centralizada aumenta el nivel de amenaza interna. Los empleados y contratistas independientes pueden almacenar las credenciales de los clientes en sus navegadores web o crear sus propias hojas de cálculo, documentos o notas. Cuando cada miembro del equipo tiene su propio «sistema» para almacenar contraseñas de cuentas, la organización no tiene visibilidad de las prácticas de contraseñas de sus empleados o contratistas, ni tampoco tiene forma de deshabilitar el acceso cuando uno de ellos abandona la empresa.

Sin una visibilidad y un control centralizados, las contraseñas de las cuentas tienen más probabilidades de verse comprometidas por negligencia, descuido o actos maliciosos de empleados actuales o antiguos empleados que pueden estar descontentos. Sin una solución de gestión de contraseñas segura, tampoco es viable proteger las cuentas con 2FA o MFA, lo que hace que las cuentas sean aún más proclives a las vulneraciones.

Las posibles consecuencias del compromiso de las cuentas de redes sociales

El compromiso de las cuentas de las redes sociales se lleva produciendo durante más de una década. Cuando una cuenta de una empresa o de una persona de alto perfil se ve comprometida, las consecuencias pueden ser graves.

Una vez iniciada la sesión en una cuenta vulnerada, los cibercriminales pueden:

• Acceder a la información de identificación personal (PII) y a otros datos sensibles, que pueden utilizar para chantajear al propietario de la cuenta o aprovecharse para futuros ataques de ingeniería social.
• Cambiar la configuración de la cuenta y bloquear al propietario real, luego exigir un rescate para que el propietario vuelva a entrar; como alternativa, pueden vender la cuenta en la dark web. Los identificadores de Instagram cortos y únicos pueden costar entre 500 y 5000 dólares.
• Utilizar la función de mensajes directos del canal de redes sociales para dirigirse a los seguidores de las cuentas con enlaces maliciosos es especialmente peligroso, teniendo en cuenta que los usuarios suelen confiar en los mensajes directos que les envían las personas y las marcas a las que siguen.
• Publicar spam u otro contenido malicioso en el feed público de la cuenta podría perjudicar la reputación de la marca.

La única forma de garantizar que una empresa proteja sus cuentas de redes sociales es con la ayuda de un gestor de contraseñas. Comience una prueba empresarial gratuita de 14 días o una prueba personal de 30 días para ver cómo Keeper Password Manager puede ayudarle a usted y a su empresa a proteger no solo las cuentas de redes sociales, sino todas sus cuentas en línea.