Todos hemos estado en una situación donde, mirando la pantalla de inicio de sesión, tratamos de recordar qué variación de contraseña se supone que debemos usar en un sitio en particular, pero ¿qué sucede cuándo no podemos recordarla?
En la era digital, nuestras credenciales son como las llaves que nos permiten acceder a una gran cantidad de servicio en Internet. Desde cuentas bancarias hasta las redes sociales, incluyendo el correo electrónico y cualquier otro tipo de plataforma.
Sin embargo, a pesar de su importancia crucial, todos hemos pasado por el desafortunado momento de olvidar una contraseña, pasando por estados de frustración temporal y buscando soluciones inmediatas a este proceso.
La pregunta inicial que uno se hace es: ¿por qué los restablecimientos de contraseñas son tan frecuentes?
Un análisis realizado por Specops a 700 organizaciones de Estados Unidos y Europa encontró diversos patrones interesantes cuando se trata de la frecuencia de restablecimiento de contraseñas:
- Los usuarios individuales promedian dos restablecimientos de contraseña cada año.
- El 26% de los usuarios admiten que olvidan sus contraseñas con más frecuencia debido a las complejidades de las mismas.
- Las solicitudes de restablecimiento aumentan durante los meses en que los empleados regresan de las vacaciones.
El famoso botón de «olvidé mi contraseña»
La solución inmediata a la hora de no recordar nuestra contraseña es pulsar esta acción. Eso permite al usuario poder reestablecer su contraseña a través de, normalmente, un correo electrónico registrado. De este modo, podrá introducir una nueva credencial que quedará establecida en el sitio web una vez que desee ingresar nuevamente.
Desde el punto de vista más superficial resulta una recuperación rápida y bastante accesible, siendo el principal beneficio por la comodidad que ofrece. En lugar de pasar horas buscando una solución manual, simplemente podemos hacer clic en el botón y seguir un proceso automático para recuperar el acceso a nuestras cuentas. Esto puede ser especialmente útil cuando necesitamos acceder a información o servicios importantes de inmediato.
En muchas plataformas, el proceso de recuperación se puede realizar no solo desde un computador, sino también desde dispositivos móviles. Esto facilita aún más el acceso, incluso si no tenemos nuestra computadora a mano.
Pero es aquí donde radica fundamental el inconveniente. Si una persona puede tener acceso al correo electrónico del usuario, tiene un poder inconmensurable, teniendo la potestad de ser él quien realice el cambio de contraseña a su antojo.
Uno puede pensar que un cibercriminal puede ejecutar esta acción, lo cual es totalmente cierto y posible, aunque no es una de las vías de acceso principales por las que un atacante desea operar, por lo tanto podemos considerarla como una situación persistente pero secundaria.
¿Qué sucede dentro de una organización? Muchas compañías no aplican políticas de seguridad interna, y no estamos hablando necesariamente de una metodología Zero Trust (ZTNA), sino más bien de un cuidado a nivel de los empleados ante potenciales intentos de dañar internamente la ética de la compañía atentando contra los propios usuarios.
A lo que nos referimos con esto es que un empleado o cualquier otro miembro de la empresa podría tener acceso al dispositivo y, por consiguiente, puede tener acceso al sitio web o servicio del otro individuo.
En este escenario no estamos hablando de que un usuario olvidó su contraseña, sino que estamos hablando de que se está abusando de dicha funcionabilidad para cambiar la credencial e imposibilitar el acceso a la persona dueña de la cuenta tras el cambio de la contraseña que solo el atacante interno conoce.
Esto es un riesgo de seguridad enorme, donde la intrusión no se produce de forma externa, sino dentro de la misma organización.
Hay múltiples medidas que se puede tomar dentro de una organización. Por ejemplo, puede colocarse a disposición una mesa de ayuda para verificar la identidad de los usuarios e implementar el restablecimiento. Esto tiene un costo en tiempo y dinero, aunque es una metodología que, de implementarse debidamente, es efectiva.
Cuando el restablecimiento la contraseña se vuelve una frustración
Cuando recuperamos el acceso a una cuenta olvidada, a menudo se nos da la opción de elegir una nueva contraseña. Sin embargo, si no somos conscientes de la importancia de crear contraseñas fuertes, podríamos terminar eligiendo una combinación débil o fácilmente predecible. Esto incrementa el riesgo de que nuestra cuenta sea comprometida nuevamente en el futuro.
Es que muchos usuarios no optan por la opción más sencilla pero efectiva: recordar sus contraseñas. Hay muchos métodos para ello y va a depender de los cuidados del usuario y las aplicaciones que tome.
Una de las alternativas más seguras es utilizar un gestor de contraseñas. Estas herramientas no solo permiten almacenar las credenciales de manera totalmente confiable, sino también se agrega la opción de generarlas de forma robusta, donde incluso el usuario puede no saber las contraseñas de los sitios donde accede, pero utiliza el gestor como si fuera una «cuenta maestra» que contiene el acceso a todos los servicios. Eso sí, se requiere de una llave principal para ingresar al gestor de contraseñas, lo que implica que si o si habrá que recordar una contraseña.
Es en este apartado donde se puede colocar la autenticación biométrica. Desde huellas dactilares hasta escaneos de iris y reconocimiento facial, ha quedado demostrado que la aplicación de este tipo de corroboración de identidad es rápido y fácil de usar, así como también realmente seguro ante intentos de intrusiones. Por supuesto que nada está exento de ser vulnerado, la posibilidad de implementar un deepfake o suplantación de identidad está a la vista, aunque resulta conveniente utilizarlo.
El usuario es la primera línea de defensa
En definitiva, olvidar las contraseñas puede parecer un inconveniente menor, pero las repercusiones asociadas con esta incapacidad van mucho más allá de la simple frustración. Desde el tiempo perdido en la recuperación de contraseñas hasta la obtención de credenciales a través de medios dudosos; los costos de no gestionar nuestras contraseñas adecuadamente pueden ser bastante significativos.
Por tal motivo, es siempre importar entender que el usuario es tanto el eslabón más débil de la cadena como la primera línea de defensa. Saber generar, gestionar y almacenar nuestras contraseñas es un paso crucial para mantener nuestras cuentas seguras.
Por supuesto que complementar medidas de seguridad adicionales, como la autenticación multifactor (MFA) añaden una barrera de seguridad muy efectiva.
A medida que los métodos de autenticación evolucionan, la adopción de tecnologías más fiables, como la biometría y el doble o múltiple factor de autenticación, puede ser un paso adicional hacia un entorno digital más seguro.