Según el Ponemon Institute, 55% de los pequeños negocios en todo Estados Unidos han sufrido algún tipo de violación de datos y 53% ha sido víctima de múltiples violaciones. Más de 50% es una cifra que asusta, y las violaciones de datos pueden golpear a todas las organizaciones, grandes y pequeñas. Considere tan solo los recientes ejemplos de algunas compañías de muy alto perfil que han aparecido en las noticias de primera página, incluyendo Skype, LivingSocial y Associated Press. Aunque esos hackeos fueron muy diferentes, las siguientes prácticas habrían amortiguado el golpe.

Asegúrese de nunca utilizar la misma contraseña dos veces

Los usuarios deben utilizar una contraseña diferente y aleatoria para cada sitio. El problema de una contraseña robada es que frecuentemente el usuario la emplea para varias cuentas. Los usuarios tienen suerte si se enteran de un hackeo, porque entonces pueden cambiar la contraseña en la cuenta comprometida y en cualquier otra cuenta en la que use la misma contraseña. Los hackeos más insidiosos y dañinos son los que pasan desapercibidos durante un tiempo. A menos que un sitio ofrezca autenticación de doble factor, los usuarios deben asumir que cualquiera de sus cuentas puede comprometerse con una contraseña que haya sido adivinada o descifrada. Como los usuarios por lo general se resisten a crear y mantener múltiples contraseñas, se les recomienda que guarden las contraseñas empleando un servicio como LastPass o un software como Password Safe.

Aplique sal a sus contraseñas. O mejor, aplique doble sal

Para almacenar las contraseñas, se les debe aplicar hash y sal (hash and salt, en inglés), un proceso que aumenta la seguridad para las contraseñas guardadas. En realidad es incluso mejor aplicar doble sal. Aplicar doble sal a las contraseñas y guardar la segunda sal en algún sitio que no sea la base de datos de las contraseñas, hace que las contraseñas a las que se aplicó hashing sean casi imposibles de descifrar. Los responsables de seguridad de LivingSocial aplicaron sal a sus contraseñas, lo que dificulta mucho más cualquier ataque contra las contraseñas que han sido procesadas mediante hashing. Si un sitio aplicó sal y hashing a sus contraseñas, un hacker tiene que crear una larga lista de diccionario hash por separado para cada uno de los usuarios. De hecho, eso toma mucho tiempo, lo que hace millones de veces más complejo el hackeo si el sitio tiene millones de cuentas. La sal y el hashing protegen todas sus contraseñas frente a intentos de descodificación, pero las cuentas aisladas siguen siendo susceptibles.

Registre un número de teléfono para la comunicación importante

El correo electrónico es un buen método de comunicación, pero los SMS son más apropiados para asuntos de urgencia, como por ejemplo “¡Dios mío, nos han hackeado, cambie su contraseña!” La comunicación por e-mail tiene sus propios retos, porque también puede verse comprometida. Además, muchos usuarios utilizan la misma credencial en todas sus cuentas. Por eso es imperativo recoger y verificar el número de teléfono del usuario cuando se registra para la cuenta. No solo ayuda a asegurar que los usuarios son los que dicen ser, sino que sirve como un freno efectivo contra los estafadores y spammers. Adicionarle a la cuenta un número verificable de teléfono genera otros beneficios, como resetear mejor las contraseñas y posibilitar una comunicación segura con su base de usuarios si se produce una violación de datos en todo el sistema.

Configurar verificación de dos pasos para evitar el compromiso de la cuenta

Si se configura verificación de dos pasos, no importa que las contraseñas se comprometan porque el hacker necesita conocer la contraseña y tener posesión física de los dispositivos de autenticación, que son en la mayoría de los casos los teléfonos de los usuarios. Por ejemplo si todos los usuarios de LivingSocial hubieran empleado autenticación de doble factor, no habría importado que alguien conociera la contraseña del usuario. No habrían podido comprometer las cuentas a menos que el atacante tuviera la contraseña, cosa que el usuario conoce, y que tuviera el dispositivo de autenticación de doble factor, algo que el usuario tiene, como puede ser un token o teléfono móvil.

Configure una autenticación en base a los riesgos

En la batalla entre la seguridad y la conveniencia existen peligros en ambos extremos: confiar solamente en las contraseñas hace que las cuentas de los usuarios sean vulnerables, mientras que la autenticación obligatoria de doble factor para cada inicio de sesión o transacción implica costos, complejidad e inconveniencia. La autenticación en base a los riesgos constituye un balance entre ambas, ya que se seleccionan los requerimientos adecuados de autenticación para cada sesión en base a indicadores específicos que se activan y detectan la actividad inusual o sospechosa.

Cuando el usuario se registra, puede dejar establecido que el dispositivo es confiable. Posteriormente cuando ingresan con ese dispositivo, no hace falta una autenticación secundaria. Sin embargo, si el usuario se conecta desde otro dispositivo o tiene un comportamiento que no es el típico o que tiene rasgos que pueden indicar una actividad fraudulenta, estos indicios hacen que se active una autenticación secundaria.

Comuníquese temprano y con frecuencia

Las compañías que han sufrido ataques de hackers tienen que dar a conocer a sus usuarios con prontitud que se ha producido una violación, cómo ocurrió y qué debe hacer el usuario. Sea transparente en cuanto a qué datos se han comprometido y lo que usted ha de hacer para poner remedio a cualquier problema que se haya encontrado. Sea transparente acerca de su seguridad. Si usted ha aplicado sal (o doble sal) a las credenciales de sus usuarios, infórmelos sobre ello. Explíqueles lo que eso significa en términos de cuán difícil es que los atacantes realmente puedan acceder a sus contraseñas.

Realizar un estudio detallado después del ataque es una excelente práctica. La forma en que la comunidad de Internet puede sentirse mejor respecto a su seguridad es entendiendo qué errores se han cometido, por muy embarazoso que esto sea.
En este ambiente comercial impulsado por la tecnología existe un potencial de enormes oportunidades, así como también riesgos significativos. Mientras las compañías compran seguros para dar cobertura a las pérdidas por incendio o inundación, las organizaciones tienen que asegurar su activo más valioso: sus datos. Y la mejor forma de proteger los datos es siguiendo las prácticas con mayor sentido común y aprender de las compañías que han tenido que enfrentarse a los incendios.