10 consejos para una política de contraseñas eficaz

¿Ha implantado ya su empresa una política de contraseñas?

Podría pensar que basta con generar contraseñas seguras (longitud, mayúsculas y minúsculas, números, etc.) para proteger el acceso a las distintas cuentas y datos de su organización. Pero si bien es un buen comienzo, conviene ir más allá. Más aún en un entorno laboral cada día más complejo, con la proliferación de herramientas de trabajo.

Una buena política de contraseñas va acompañada de una serie de reglas que deben respetarse para garantizar una seguridad óptima. Al mismo tiempo, debe tener en cuenta la experiencia del usuario.

¿Quiere ver un ejemplo de una política de contraseñas eficaz? Lea este artículo y déjese inspirar por nuestros 10 consejos.

Ver todos los software Seguridad informática

¿Qué es una política de contraseñas de empresa?

Política de contraseñas: definición

Una política de contraseñas es una política establecida dentro de una empresa, normalmente por el departamento de TI, con el objetivo de definir :

• cómo se crean las contraseñas
• pero también cómo se utilizan,

se crean y utilizan las contraseñas de los empleados.

Su objetivo es aumentar la seguridad de acceso a las distintas herramientas e informaciones de la empresa.

☝️ El rendimiento de su política de contraseñas sólo puede garantizarse si se deja perfectamente claro a los empleados y se integra plenamente en la estrategia global de seguridad de la empresa.

Ejemplo de política de gestión de contraseñas

Política de contraseñas de la ANSSI

Uno de los referentes en políticas de contraseñas es .

En su página web puede descargar un documento con todas sus recomendaciones sobre seguridad de contraseñas.

También adoptaremos algunos de los consejos de la ANSSI, en particular los relativos a la creación de contraseñas seguras.

Política de contraseñas de Active Directory

Otro ejemplo es la política de contraseñas de Active Directory.

Muchas organizaciones que operan en un entorno Microsoft utilizan esta estructura para gestionar de forma centralizada la identificación y autenticación de su red informática.

En este caso, las distintas reglas se despliegan :

• bien mediante GPO (objetos de directiva de grupo): existe una única política de contraseñas aplicable a todos los empleados que operan en el mismo dominio;
• o bien mediante FGPPs (granular password policies): permiten desarrollar políticas diferentes para los distintos usuarios de un mismo dominio. Volveremos sobre este punto más adelante.

Para este artículo, vamos a simplificar las cosas y a centrarnos en las principales buenas prácticas a seguir, extraídas de las recomendaciones de diversos organismos de referencia (política de contraseñas de la CNIL, ANSSI, etc.).

Consejo 1: Crear una contraseña compleja y segura

¿Qué es una contraseña compleja?

Existen varias reglas para crear una contraseña compleja. De este modo, resultará difícil de eludir, incluso por piratas informáticos con herramientas automatizadas.

💡 Al utilizar una contraseña segura, estarás mejor protegido contra :

• ataques de fuerza bruta, que consisten en probar distintas combinaciones hasta dar con la correcta ;
• ataques de diccionario (probar todas las palabras del diccionario).

Composición de una contraseña compleja :

Debe contener :

• al menos 8 caracteres. La ANSSI recomienda incluso una longitud mínima de 12 caracteres,
• caracteres especiales, como signos de puntuación,
• números,
• mayúsculas y minúsculas.

No utilice palabras del diccionario ni nombres propios, que son demasiado vulnerables a las tecnologías utilizadas por los piratas informáticos.

Por último, evite fechas o elementos que hagan referencia a información personal (su fecha de nacimiento, por ejemplo).

Ejemplo de contraseña segura: Lm%zeR5aa9m $

¿Cómo crear una contraseña segura?

Hay varias formas de hacerlo. Pero ten en cuenta que la contraseña perfecta tiene que ser fuerte... ¡pero también fácil de recordar! De lo contrario, el usuario puede comportarse de una manera que comprometa su seguridad, como escribirla en un papel o en un archivo informático.

Así que, aunque pueda utilizar un generador de contraseñas complejas, opte por un método que le permita recordarlas fácilmente.

💡 Aquí tienes uno recomendado por la ANSSI:

• Elige una frase, lo suficientemente larga y que contenga números, cifras e, idealmente, caracteres especiales (una cita, un proverbio, el extracto de una canción, etc.). Ejemplo:

• Mantenga las primeras letras, números y caracteres especiales. También puedes añadir mayúsculas para mayor seguridad:

Descubra otros métodos para generar contraseñas memorizables en nuestro artículo dedicado.

Consejo 2: Renueve sus contraseñas con regularidad

Incluso una contraseña segura puede verse comprometida con el tiempo. Por ello, le recomendamos que las cambie con regularidad. La ANSSI recomienda incluso renovarlas cada 90 días.

También le recomendamos encarecidamente que cambie su contraseña a la menor sospecha de violación de la seguridad. Este podría ser el caso si se entera de que una de las empresas en las que tiene una cuenta ha sido pirateada.

☝️ Cuidado: si los periodos de validez son demasiado cortos, los usuarios se ven tentados a utilizar contraseñas más débiles o parecidas a otras anteriores, para que sean más fáciles de recordar.

Por eso es necesario encontrar un compromiso. Por ejemplo, una política de contraseñas de Active Directory permite aplicar reglas diferentes a perfiles diferentes. En este marco, el administrador puede exigir una renovación más frecuente a los usuarios que están en mayor contacto con los datos sensibles de la empresa (y que son conscientes de lo que está en juego), como los miembros de la dirección.

Consejo 3: Mantener la confidencialidad de las contraseñas

Para proteger sus contraseñas y, por tanto, el acceso a sus sistemas de información, debe garantizar una confidencialidad total.

He aquí 8 reglas a seguir:

1. No comparta nunca su contraseña, ni siquiera con un administrador o responsable directo.
2. No pida a terceros que le generen una contraseña.
3. Cambie la contraseña por defecto que le hayan asignado los administradores de la empresa la primera vez que se conecte.
4. No facilite nunca su contraseña por correo electrónico, teléfono o SMS.
5. No anote sus datos de acceso en papel.
6. Tampoco los anotes en un archivo informático como Excel.
7. Nunca reutilice una contraseña que ya haya usado en el pasado.
8. Cuando utilices una conexión compartida (una conexión wifi en un hotel, por ejemplo), opta por la navegación privada o utiliza una VPN. Así limitarás los rastros que dejas tras de ti.

Consejo 4: Utiliza contraseñas diferentes para los distintos servicios

Le recomendamos que no utilice la misma contraseña para diferentes servicios (utilice identificadores similares para su correo electrónico del trabajo y su buzón privado, por ejemplo).

Si un intento de pirateo tiene éxito, el hacker podrá probarla automáticamente para acceder a distintos sitios y herramientas de trabajo. ¡Y gran parte del sistema de información de tu empresa podría verse comprometido!

Consejo 5: Gestione cuidadosamente la conexión y desconexión a los diferentes servicios

Aquí tienes 3 preceptos a seguir:

1. Desconéctese siempre cuando abandone un servicio.
2. Configura tu software y navegadores web para que no recuerden tus contraseñas. De lo contrario, si alguien malintencionado toma el control de tu sesión, tendrá fácil acceso a todos tus identificadores.
3. Programa tu ordenador para que entre en modo de espera tras un cierto periodo de inactividad. Así lo protegerás de miradas malintencionadas cuando estés ausente durante un tiempo.

Consejo 6: Active la doble autenticación si es posible

Algunos servicios ofrecen doble autenticación, o autenticación fuerte.

Esta tecnología implica al menos dos procedimientos diferentes para iniciar sesión. Por ejemplo

• un factor de autenticación memorizado, como el par tradicional de nombre de usuario y contraseña,
• y un factor de autenticación físico, como un teléfono móvil que te envía un código temporal por SMS.

💡También existen factores biométricos, relativos a una persona, como la huella dactilar.

Este método de autenticación fuerte está disponible para muchos servicios, como Google Workspace.

Consejo 7: concienciar a los empleados

Por supuesto, la política de contraseñas de una empresa sólo es eficaz si existe un verdadero esfuerzo de concienciación entre los empleados.

Por lo tanto, es aconsejable informar a los usuarios sobre :

• los riesgos que entrañan
• su alcance (no todo el mundo es consciente de que si su puesto de trabajo es vulnerable, todo el sistema de información de la empresa podría verse comprometido),
• las buenas prácticas que deben adoptar.

Consejo 8: Realizar controles y auditorías

Por parte del administrador, deben llevarse a cabo comprobaciones y auditorías periódicas para :

• comprobar la solidez de las contraseñas utilizadas por los empleados
• detectar cualquier otro fallo de seguridad
• ponerse en contacto con un empleado "descuidado" para que se tomen medidas correctivas.

Estas comprobaciones pueden realizarse a través de una empresa de hacking ético, cuya misión es identificar fallos de seguridad en las empresas.

También pueden realizarse internamente. Como veremos más adelante, algunos paquetes de software generan un inventario de las contraseñas utilizadas por los empleados (¿son débiles? ¿están duplicadas? ¿se utilizan para diferentes cuentas?). El administrador puede entonces ir a ver al empleado para concienciarle y sugerirle áreas de mejora.

Consejo 9: Utilizar herramientas de gestión de políticas de contraseñas

Existen herramientas que ayudan a implantar una política de contraseñas en la empresa (no confundir con un gestor de contraseñas).

Una de estas soluciones es Specops Password Policy, que tiene la particularidad de ser compatible con las organizaciones que funcionan a través de Active Directory. Con este software, puede :

• asegurarse de que las políticas de contraseñas utilizadas en la empresa cumplen las recomendaciones de seguridad (composición, longitud de la contraseña, corta duración, etc.) ;
• Bloquear las contraseñas débiles y comprometidas con una lista de más de 2.000 millones de contraseñas;
• realizar auditorías para detectar contraseñas inseguras y enviar mensajes a los usuarios para animarles a aplicar buenas prácticas.

Ver todos los software Seguridad informática

Consejo 10: Utilice un gestor de contraseñas

Recordar todas sus contraseñas diferentes (que deben ser únicas) puede ser tedioso... si no misión imposible. El cerebro humano no está calibrado para ello.

En consecuencia, los usuarios suelen caer en la tentación de recurrir a métodos peligrosos (como anotar sus identificadores en un archivo).

Por eso recomendamos utilizar un gestor de contraseñas como LockPass. Este software, 100% francés y certificado por la ANSSI, ofrece numerosas ventajas:

• sólo es necesario recordar una contraseña maestra para acceder a todos los inicios de sesión. Los usuarios pueden conectarse directamente a sus diferentes cuentas mediante un complemento del navegador, sin tener que introducir sus contraseñas cada vez;
• Al mismo tiempo, los administradores pueden definir una política de contraseñas a nivel organizativo, o a un nivel más macro (para equipos que manejan datos sensibles, por ejemplo).Al mismo tiempo, los administradores pueden definir una política de contraseñas a nivel de la organización o a un nivel más macro (para los equipos que manejan datos sensibles, por ejemplo), para que cada contraseña añadida a la caja fuerte cumpla los criterios predefinidos. El mapeo en tiempo real de todos los identificadores de la empresa permite garantizar el cumplimiento de las normas establecidas.

Así pues, son muchas las soluciones disponibles en el mercado para ayudarle a implantar una política de contraseñas eficaz en su empresa... sin comprometer la experiencia del usuario.