Los hábitos con las contraseñas del trabajo dejan a las organizaciones vulnerables a los ciberataques

Una mala higiene de las contraseñas en el trabajo fue una amenaza para la ciberseguridad de las organizaciones incluso antes de la pandemia de la COVID-19. Cuando esta obligó a las organizaciones de todo el mundo a desplegar y proteger rápidamente a los empleados que trabajaban a distancia, los equipos comenzaron a conectarse a los recursos de sus organizaciones de forma remota en entornos que sus empleados no controlaban y que en muchos casos utilizaban sus propios dispositivos.

Los encuestados en el informe "La ciberseguridad en los tiempos del trabajo a distancia: un informe sobre el riesgo global" del Ponemon Institute, encargado por Keeper Security en 2020, expresaron preocupaciones graves sobre la seguridad de las contraseñas en sus organizaciones:

• El 60 % de los encuestados afirmó que sus organizaciones habían sufrido un ciberataque en los últimos 12 meses.
• Más del 50 % de estos ataques incluyó credenciales robadas.
• El robo de activos de TI causó daños por valor de 5 millones de dólares o más en el 25 % de los negocios.

La pandemia obligó a las organizaciones a desplegar rápidamente una serie de nuevas tecnologías para mantener conectados a los empleados remotos y que así pudieran colaborar y trabajar. Desde Zoom hasta Google Workspace o Slack, los empleados han tenido que registrarse en más cuentas en línea y llevar un seguimiento de todavía más contraseñas.

Keeper se preguntó cuánto habría cambiado la seguridad de las contraseñas desde que las empresas se movieron a entornos de trabajo remotos. ¿Seguían los empleados a distancia las mejores prácticas para proteger sus contraseñas o estaban sufriendo una "fatiga de contraseñas" y adoptando malos hábitos que conllevaban riesgos de ciberseguridad importantes? Por todo esto, Keeper, junto con Pollfish, llevó a cabo una encuesta sobre las malas prácticas con las contraseñas en el trabajo.

Mientras que Ponemon encuestó a directivos de organizaciones, nosotros decidimos preguntar directamente a los empleados para esta encuesta. Encuestamos a 1000 trabajadores a tiempo completo en Estados Unidos sobre sus hábitos con las contraseñas. La encuesta se completó en febrero de 2021 y consistió únicamente en personas que usaban contraseñas para acceder a cuentas en línea relacionadas con el trabajo.

A continuación, se muestran los hallazgos más importantes de la encuesta. También puede ver aquí los datos completos.

Hallazgo n.º 1: los empleados estadounidenses almacenan y hacen un seguimiento no seguro de sus credenciales de acceso

Nuestra encuesta mostró que los empleados estadounidenses no siguen las mejores prácticas a la hora de almacenar y hacer un seguimiento de las contraseñas del trabajo, lo que implica riesgos importantes de ciberseguridad para sus empresas.

• Más de la mitad de los encuestados (el 57 %) admitió escribir en "notas adhesivas" las contraseñas de cuentas en línea relacionadas con el trabajo y dos tercios (el 67 %) reconoció haber perdido dichas notas. Además de dejar información corporativa confidencial a la vista de cualquier persona que viva en su casa o vaya de visita, este tipo de hábitos daña la eficiencia de las organizaciones. Perder notas adhesivas significa perder contraseñas, lo que implica tener que enviar solicitudes al servicio de asistencia técnica para restablecerlas.
• El 62 % de los encuestados almacena las credenciales de acceso en cuadernos o diarios y una abrumadora mayoría (el 82 %) afirma guardar estos cuadernos junto a sus dispositivos de trabajo o cerca de ellos, en un lugar al que cualquiera que viva en su casa o la visite puede acceder.

Usar papel y lápiz para guardar contraseñas se ha vuelto cada vez más problemático en el ámbito del trabajo a distancia. La mayoría de los trabajadores (el 66 %) afirma que son más proclives a anotar en un papel las contraseñas del trabajo cuando trabajan desde casa que mientras están en la oficina.

Incluso cuando utilizan métodos digitales para llevar un seguimiento de las contraseñas y almacenarlas, los empleados estadounidenses tienen malas prácticas de seguridad de las contraseñas.

• Casi la mitad de los encuestados (el 49 %) guarda las contraseñas del trabajo en un documento en la nube.
• Poco más de la mitad (el 51 %) afirma que actualmente guarda estas contraseñas en un documento que almacena en su ordenador.
• El 55 % guarda las contraseñas del trabajo en su teléfono.

Almacenar contraseñas en archivos no cifrados es extremadamente arriesgado. Lo único que tiene que hacer un ciberdelincuente es filtrarse en el almacenamiento en la nube, ordenador o dispositivo móvil y acceder a todas las contraseñas del empleado.

Hallazgo n.º 2: los empleados estadounidenses crean contraseñas débiles y fáciles de adivinar

Una contraseña aleatoria fuerte debe estar formada por una cadena aleatoria de letras mayúsculas y minúsculas, números y caracteres especiales. Sin embargo, muchos de los encuestados admitieron utilizar contraseñas que contienen datos personales, datos que los ciberdelincuentes pueden encontrar fácilmente en canales de redes sociales.

• Más de un tercio (el 37 %) de los encuestados ha usado el nombre de su jefe en una contraseña del trabajo.
• Más de un tercio (el 34 %) ha utilizado el nombre o la fecha de nacimiento de su pareja.
• Casi un tercio (el 31 %) ha utilizado el nombre o la fecha de nacimiento de su hijo.

Reutilizar las contraseñas entre las cuentas personales y las del trabajo se ha convertido en un gran riesgo de ciberseguridad para las empresas. El 44 % de los encuestados admite que reutiliza las contraseñas entre las cuentas personales y las del trabajo, y el 53 % admite que tiene cuentas personales protegidas con contraseña en sus dispositivos de trabajo.

Hallazgo n.º 3: los empleados estadounidenses comparten sus contraseñas del trabajo con partes no autorizadas

Muchos de los empleados estadounidenses no tienen cuidado de con quién comparten sus contraseñas del trabajo. Esto pone a sus organizaciones en peligro de sufrir una filtración de datos en caso de que las contraseñas acaben en manos de alguien descuidado o con malas intenciones.

• Durante el último año, el 14 % de los encuestados ha compartido sus contraseñas del trabajo con su pareja o cónyuge.
• El 11 % de los encuestados ha compartido sus contraseñas del trabajo con otro familiar.

Incluso en ausencia de una filtración de datos, a la empresa se la podría declarar en situación de no conformidad y se le podrían imponer sanciones muy importantes si se descubre que partes no autorizadas han visto datos protegidos por la conformidad.

Hallazgo n.º 4: las empresas estadounidenses no cumplen con su parte a la hora de asegurar que las contraseñas se comparten de forma segura o solo con las partes autorizadas

Nuestra encuesta reveló que las contraseñas compartidas en el trabajo son comunes.

• Casi la mitad de los encuestados (el 46 %) afirma que su empresa comparte las contraseñas de cuentas utilizadas por varias personas.
• Más de un tercio (el 34 %) ha compartido contraseñas del trabajo con compañeros del mismo equipo.
• Casi un tercio (el 32 %) ha compartido contraseñas del trabajo con sus directores.
• El 19 % ha compartido sus contraseñas con el equipo ejecutivo.

Lo mejor que se puede hacer es dar a cada usuario una contraseña única para cada cuenta o aplicación del trabajo, algo que se puede hacer de manera práctica utilizando una plataforma de Enterprise Password Management (EPM). El uso compartido de contraseñas en el trabajo es seguro si estas se comparten de forma segura y solo con las partes autorizadas.

Los resultados de nuestra encuesta indican que muchas empresas estadounidenses no llevan a cabo estrategias para mitigar los riesgos y asegurar un uso compartido de contraseñas seguro.

• La mayoría de los encuestados (el 62 %) afirma compartir contraseñas del trabajo por mensaje de texto o correo electrónico, los cuales podrían ser interceptados en tránsito por los ciberdelincuentes.
• Casi un tercio de los encuestados (el 32 %) admite que accede a cuentas en línea que pertenecen a su empresa anterior, lo que indica que muchas empresas no desactivan las cuentas de los empleados cuando estos dejan de trabajar en ellas.

Conclusión

Adoptar y poner en marcha una plataforma de gestión de contraseñas empresariales como Keeper Enterprise solucionaría la mala praxis con las contraseñas descubierta en esta encuesta. El cifrado de contraseñas de conocimiento cero y el marco de confianza cero de Keeper ofrecen una gestión de contraseñas avanzada, un uso compartido seguro y otras funciones de seguridad.

Los directivos y administradores de TI obtienen una visibilidad y control completos sobre las prácticas que sus empleados tienen con las contraseñas. Incluye:

• Sistema exclusivo y propio de modelo de seguridad de conocimiento cero y marco de confianza cero. Todos los datos en tránsito y en reposo se cifran. Ningún empleado de Keeper Security ni ningún tercero puede verlos.
• Rápida puesta en marcha en todos los dispositivos, sin costes iniciales de equipamiento ni instalación.
• Incorporación personalizada, asistencia 24/7 y formación por parte de un especialista de asistencia.
• Compatibilidad con el RBAC, la 2FA, las auditorías, los informes de eventos y varios estándares de conformidad, incluida la HIPAA, la DPA, la FINRA y el RGPD.
• Aprovisionamiento seguro de contraseñas, subcarpetas y carpetas compartidas para equipos.
• Autenticación de inicio de sesión único (SAML 2.0)
• Permita el acceso sin conexión al almacén cuando el SSO no esté disponible.
• Aprovisione almacenes de forma dinámica a través de SCIM.
• Configuración para Alta disponibilidad (HA)
• Autenticación de dos/varios factores avanzada
• Sincronización con Active Directory y LDP.
• Aprovisionamiento con SCIM y Azure AD.
• API de desarrollador para la rotación de contraseñas y la integración con backend..