Categoría: Artículos

C-TPAT 2020: Recomendaciones de la Ciberseguridad – Contraseñas y Frases de Acceso

C-TPAT 2020: Recomendaciones de la Ciberseguridad – Contraseñas y Frases de Acceso
Mediante boletín de fecha 15 de mayo de 2020 el Servicio de Aduanas y Protección Fronteriza (CBP, por sus siglas en inglés) de los E.U.A., por medio de su Programa de la Asociación de Comercio Aduanero contra el Terrorismo (CTPAT, por sus siglas en inglés) dio a conocer diversos criterios mínimos relacionados con la Ciberseguridad – Contraseñas y Frases de acceso.

Antecedentes:

Recordemos que con la emisión de los nuevos criterios de CTPAT 2020, se realizó una adecuación a la denominación de este estándar, que anteriormente se nombraba como “Seguridad de la Tecnología”, y ahora, se remplaza el nombre a Ciberseguridad y adicionalmente a la actualización del nombre del estándar, será necesario a partir de junio 2020, realizar actualizaciones, implementaciones así como fortalecer el contenido de este procedimiento.

Criterios del Estándar de Ciberseguridad

A través del citado boletín se resalta la importancia de una composición apropiada de las contraseñas y frases de acceso en la ciberseguridad. Se aborda formalmente en el punto 4.8 de los Criterios Mínimos de Seguridad, en donde se detallan los requerimientos obligatorios para las contraseñas. Se presentan los siguientes tres requerimientos obligatorios para los miembros para la protección del acceso de los sistemas de la Tecnología de la Información (TI):

  1. Las personas con acceso a los sistemas TI deben utilizar cuentas individualmente asignadas;
  2. El acceso a los sistemas de TI debe protegerse de la infiltración mediante el uso de contraseñas seguras, de frases de acceso u otras formas de autenticación, así protegiendo el acceso de los sistemas de TI; y
  3. Las contraseñas y/o frases de acceso de seguridad deben cambiarse lo antes posible si hay evidencia de compromiso o sospecha razonable.

Dentro del Criterio de Seguridad 4.8 se recomienda que el acceso sea acreditado mediante el proceso mínimo automatizado de dos fases o un proceso automatizado de múltiples fases. El proceso automatizado de múltiples fases es el de mayor seguridad, ya que el usuario debe de presentar dos o más evidencias que garanticen la autenticidad del a identidad de la persona, por ejemplo, el uso de una contraseña segura o una frase de acceso.

Una composición segura de contraseñas y frases de acceso de seguridad

El programa de CTPAT reconoce a las contraseñas típicamente compuestas de no más de 10 letras, números y símbolos, un ejemplo de una contraseña fuerte y segura; es algo así ¨AT%<8gr$¨.

Mientras que las frases de acceso de seguridad, son más largas que una contraseña y contiene espacios entre las palabras. Una frase de acceso de seguridad puede, o pueda que no sea una oración propia; pueda que sean cuatro o cinco palabras que no estén relacionadas de cualquier manera. Comúnmente las frases de acceso obligan al usuario un mínimo de 12 caracteres, lo que hace muy improbable que un algoritmo de acceso ilegal pueda adivinar u obtener la frase. un ejemplo de una frase de acceso segura y fuerte es algo así, ¨ La silla roja en la cocina observa el bosque¨.

Recomendaciones

Aunque las contraseñas, tradicionalmente han sido la primera barrera de seguridad, los especialistas del programa de CTPAT, así como expertos de los sectores públicos y privados, recomiendan la implementación de frases de seguridad en vez de contraseñas. Se justifica esta recomendación por los siguientes puntos:

  • Las frases de acceso de seguridad son más fáciles de recordar que las contraseñas;
  • Las contraseñas son relativamente fáciles de adivinar o descifrar. Los delincuentes en línea utilizan herramientas de tecnología avanzadas y vanguardistas que les permiten descifrar incluso las contraseñas más complicadas.
  • Las frases son mucho más difíciles de descifrar ya que las herramientas para descifrar contraseñas mal funcionan alrededor después de 10 caracteres;
  • No es necesario cambiar apropiadamente las frases construidas, a menos que el usuario sospeche que la frase ha sido comprometida; y
  • Los principales sistemas operativos, incluidos Windows, Linux y Mac, admiten el uso de frases, permitiendo tener hasta 127 características de extensión.

Sin embargo, para los miembros que opten en mantener el uso de contraseñas, se les recomiendan los siguientes métodos de composición para que la contraseña sea más fuertes y mantenerlas seguras. Se resalta que el Instituto Nacional de Estándares y Tecnologías (NIST, por sus siglas en inglés) menciona que no es necesario hacer cambios regularmente de las contraseñas mientras que se sigan las siguientes recomendaciones mencionadas:

  • No use contraseñas basadas en información personal o que puedan ser fácilmente accedidas o adivinadas.
    • Por ejemplo: El uso de fechas de cumpleaños, nombres de mascotas o películas favoritas y libros que se pueden encontrar mediante una búsqueda rápida en sitios de redes sociales.
  • Los usuarios deberían ser prohibidos a usar sus nombres o el nombre de la empresa para construir una contraseña.
  • Las contraseñas no pueden contener palabras del diccionario, esto refiriendo a palabras convencionales, pero a palabras creadas.
  • Verifique las contraseñas nuevas y existentes con una base de datos actualizada continuamente de la lista negra de contraseñas.
  • Las contraseñas regulares que tienen alrededor de 8 caracteres siguen siendo muy fáciles de usar.
  • Cuando el usuario intenta ingresar una nueva contraseña, esa contraseña debería ser automáticamente verificado por un sistema automatizado de TI. Estas verificaciones del departamento de TI deben realizarse cuando se crean contraseñas y se siguen realizando de forma continua, preferiblemente diariamente.
  • Se debe de tener un proceso documentado, en caso de que se detecte un compromiso en una contraseña.
  • Se debe de usar diferentes contraseñas para diferentes cuentas.
  • Los usuarios no deben de elegir contraseñas que sean las mismas o similares que las últimas cuatro contraseñas.

En lo general se recomienda que los usuarios hagan lo siguiente con sus contraseñas o frases de acceso de seguridad:

  • Nunca deben compartir sus contraseñas o frases de contraseña con nadie.
  • No se debe de escribir las contraseñas en notas post-it y pegarlos en monitores u otras superficies que estén en los perímetros de la computadora.
  • Si los usuarios no pueden recordar sus contraseñas, pueden escribir indicadores para ayudarlos a recordarlas, pero estas deben almacenarse de forma segura, por ejemplo, en un cajón cerrado.
  • Se puede usar un administrador de encriptación de contraseñas, para la generación de contraseñas o frases.
  • Además de mantener seguras las contraseñas/frases, nunca se deben de dejar los dispositivos informáticos sin protección o activos sin monitoreo.

Conclusión

Las contraseñas y frases acceso son sin duda esenciales para la seguridad, pero no tienen valor si los usuarios no aprenden cómo protegerlos y usarlos sabiamente. Los usuarios deben estar correctamente capacitados sobre cómo generar contraseñas seguras y mantener su resguardo, así como contar constantemente con una capacitación en la ciberseguridad.

La ciberseguridad es una responsabilidad compartida, y se trata de última instancia de personas, más que la tecnología. Sólo se necesita una computadora infectada para potencialmente comprometer a todas y por tanto las operaciones de la cadena de suministros.

La tecnología más impresionante y sofisticada no tiene valor si no es operada y mantenida por usuarios informados.