Cuando los equipos de seguridad analizan los riesgos relacionados con las credenciales, normalmente se centran en amenazas como el phishing, el malware y el ransomware. Estas técnicas de ataque continúan evolucionando y están ganando la atención que merecen. Sin embargo, uno de los riesgos más persistentes y subestimados para la seguridad organizacional sigue siendo mucho más común.
La reutilización de contraseñas casi idénticas sigue eludiendo los controles de seguridad y, a menudo, pasa desapercibida, incluso en entornos con políticas de contraseñas establecidas.
Por qué persiste la reutilización de contraseñas a pesar de políticas estrictas
La mayoría de las organizaciones comprenden que utilizar exactamente la misma contraseña en varios sistemas supone un riesgo. Las políticas de seguridad, los marcos regulatorios y la capacitación de concientización de los usuarios desalientan constantemente este comportamiento, y muchos empleados hacen un gran esfuerzo para cumplirlo. A primera vista, esto sugiere que deberían reducirse los problemas de reutilización de contraseñas.
En realidad, los atacantes continúan obteniendo acceso a través de credenciales que técnicamente cumplen con los requisitos de las políticas. La razón no es necesariamente la reutilización descarada de contraseñas, sino una solución alternativa más sutil conocida como reutilización de contraseñas casi idénticas.
¿Qué es la reutilización de contraseñas casi idénticas?
La reutilización de contraseñas casi idéntica ocurre cuando los usuarios realizan cambios pequeños y predecibles en las contraseñas existentes en lugar de crear contraseñas completamente nuevas.
Aunque estos cambios cumplen con las reglas formales de contraseñas, hacen poco para reducir la exposición en el mundo real. A continuación se muestran algunos ejemplos clásicos:
Adición/cambio de número ¡Verano 2023! →¡Verano 2024! Agregar caracteres Intercambiar símbolos o letras mayúsculas ¡Bienvenido! → ¿Bienvenido?AdminPass → Pase de administrador
Otro escenario común ocurre cuando una organización emite contraseñas iniciales estándar a nuevos empleados y los usuarios realizan cambios incrementales con el tiempo para seguir cumpliendo, en lugar de reemplazarlas por completo. En ambos casos, el cambio de contraseña parece legítimo, pero la estructura subyacente permanece prácticamente intacta.
La mala experiencia del usuario requiere soluciones arriesgadas
Estas pequeñas variaciones son muy comunes porque son fáciles de recordar. Se espera que el empleado promedio administre docenas de credenciales en sus sistemas personales y de trabajo, a menudo con requisitos diferentes y en ocasiones contradictorios. Esta carga continúa creciendo a medida que las organizaciones aumentan su dependencia de las aplicaciones de software como servicio.
Según una investigación de Specops, una organización de 250 personas puede gestionar colectivamente unas 47.750 contraseñas, lo que amplía significativamente la superficie de ataque. En estas situaciones, reutilizar contraseñas casi idénticas es una solución práctica y no una negligencia.
Desde la perspectiva del usuario, una contraseña personalizada se siente lo suficientemente diferente como para ser memorable y al mismo tiempo cumplir con las expectativas de cumplimiento. Estos cambios sutiles cumplen con las reglas del historial de contraseñas y los requisitos de complejidad y, en la mente del usuario, se ha cumplido el requisito de cambiar la contraseña.
La previsibilidad es exactamente lo que explotan los atacantes
Desde la perspectiva de un atacante, la situación es muy diferente. Estas contraseñas representan un patrón claro y repetible.
Los ataques modernos basados en credenciales se basan en la comprensión de cómo las personas cambian las contraseñas bajo presión y suponen la reutilización de contraseñas casi idénticas en lugar de tratarlas como un caso especial. Esta es la razón por la que la mayoría de las herramientas modernas para descifrar contraseñas y rellenar credenciales están diseñadas para explotar fluctuaciones predecibles a escala.
Cómo los atacantes pueden convertir los patrones de contraseñas en armas
En lugar de adivinar contraseñas al azar, los atacantes suelen comenzar con credenciales expuestas en filtraciones de datos anteriores. Estas contraseñas comprometidas se agregan en grandes conjuntos de datos y se utilizan como base para futuros ataques.
Luego, la herramienta de automatización aplica transformaciones comunes como:
Agregar letras Cambiar símbolos Aumentar números
Si los usuarios confían en reutilizar contraseñas casi idénticas, estas herramientas pueden migrar rápida y eficientemente de una cuenta comprometida a otra.
Es importante destacar que los patrones de cambio de contraseñas tienden a ser muy consistentes entre diferentes poblaciones de usuarios. El análisis de contraseñas de Specops muestra repetidamente que las personas siguen reglas similares al ajustar sus contraseñas, independientemente de su función, industria o capacidad técnica.
Esta coherencia hace que la reutilización de contraseñas con variaciones casi idénticas sea muy predecible y fácil de explotar para los atacantes. Las contraseñas cambiadas a menudo también se reutilizan en varias cuentas, lo que amplifica aún más el riesgo.
Por qué las políticas de contraseñas tradicionales no logran evitar una reutilización casi idéntica
Muchas organizaciones creen que están protegidas porque ya cuentan con reglas de complejidad de contraseñas. A menudo incluyen requisitos de longitud mínima, combinaciones de mayúsculas y minúsculas, números, símbolos y restricciones para reutilizar contraseñas anteriores. Algunas organizaciones exigen la rotación regular de contraseñas para reducir la exposición.
Estas contramedidas pueden bloquear las contraseñas más débiles, pero no son adecuadas para abordar la reutilización de contraseñas casi idénticas. Una contraseña como FinanceTeam!2023 seguida de FinanceTeam!2024 pasará todas las comprobaciones de complejidad e historial, pero una vez que se conoce una versión, es fácil para un atacante adivinar la siguiente versión. El uso de símbolos o letras mayúsculas bien ubicados permite a los usuarios cumplir con las normas y al mismo tiempo confiar en la misma contraseña subyacente.
Otro desafío es la falta de uniformidad en la forma en que se aplican las políticas de contraseñas en el entorno digital más amplio de una organización. Los empleados pueden encontrar una variedad de requisitos en los sistemas corporativos, plataformas en la nube y dispositivos personales que pueden acceder a los datos de la organización. Estas inconsistencias fomentan aún más soluciones predecibles que técnicamente cumplen con la política y al mismo tiempo debilitan la seguridad general.
Pasos recomendados para reducir el riesgo de contraseñas
Mitigar los riesgos asociados con la reutilización de contraseñas casi idénticas requiere ir más allá de las reglas básicas de complejidad. La seguridad comienza con la comprensión del estado de las credenciales en su entorno. Las organizaciones necesitan visibilidad sobre si las contraseñas se utilizan en compromisos conocidos y si los usuarios dependen de patrones similares y predecibles.
Esto requiere un monitoreo continuo de los datos comprometidos combinado con un análisis de similitud inteligente, en lugar de verificaciones estáticas o únicas. También significa revisar y actualizar sus políticas de contraseñas, bloquear explícitamente contraseñas que sean demasiado similares a contraseñas anteriores y evitar soluciones alternativas comunes antes de que se establezcan.
Cerrando la brecha con controles de contraseñas más inteligentes
Las organizaciones que pasan por alto este aspecto fundamental de sus políticas de contraseñas se exponen a un riesgo innecesario. Specops Password Policy combina estas capacidades en una sola solución, lo que permite a las organizaciones administrar la seguridad de las contraseñas de una manera más estructurada y transparente.
Política de contraseñas de Specops
Specops Password Policy proporciona administración de políticas centralizada y facilita la definición, actualización y aplicación de reglas de contraseña en Active Directory a medida que evolucionan sus requisitos. También proporciona informes claros y fáciles de entender para ayudar a los equipos de seguridad a evaluar el riesgo de las contraseñas y demostrar el cumplimiento. Además, la herramienta escanea continuamente las contraseñas de Active Directory comparándolas con una base de datos de más de 4,5 mil millones de contraseñas comprometidas conocidas.
Me interesa comprender qué herramientas Specops se aplican al entorno de mi organización. Programe una demostración en vivo de la política de contraseñas de Specops hoy.
Source link
