En la actualidad, las contraseñas son la puerta de acceso a la mayoría de los sistemas informáticos. El correo electrónico, el sistema operativo, el chat, el Home Banking e incluso las redes sociales están generalmente protegidos por un usuario y contraseña.
Estos métodos de protección de datos preservan la confidencialidad de todo tipo de información. Por lo tanto, vulnerar las contraseñas de un usuario es una acción de alto valor para un atacante.
La reciente aparición del gusano Conficker, con sus altos índices de propagación, ha puesto en alerta nuevamente sobre los perjuicios de la utilización de contraseñas débiles. Algunas de las variantes de este archivo malicioso intentan propagarse a través del recurso compartido ADMIN$, que existe por defecto en los sistemas operativos Windows y ofrece acceso a directorios del sistema desde equipos remotos, hacia el resto de la red.
Para poder acceder, el gusano prueba un listado de más de 200 contraseñas comúnmente utilizadas, para verificar si alguna de estas funciona. En caso afirmativo, copia el archivo malicioso en el equipo remoto. Algunas de las contraseñas utilizadas son “123456“, “admin“, “password“, “login” o “default“. Para conocer todas las contraseñas del listado, consultar el informe oficial de Microsoft (pestaña Analysis).
Medidas de Prevención: usar contraseñas fuertes
Para la rápida prevención ante las variantes de Conficker y otras amenazas que utilizan y utilizarán el mismo método, se recomienda modificar cualquier contraseña débil, específicamente aquellas que figuren en el listado antes mencionado.
De todas formas siguen vigentes las principales medidas para prevenir variantes de este tipo de gusanos: actualizar el sistema operativo y tener instalado una solución que detecte proactivamente todo tipo de malware, como ESET NOD32.
Asimismo, es recomendable mantener una correcta conducta de utilización de contraseñas, de forma tal de mitigar cualquier tipo de amenaza, además del malware, que quiera sacar provecho de este tipo de vulnerabilidades. Para ello, es importante utilizar siempre contraseñas no comunes y que cumplan ciertos requisitos de complejidad.
Una contraseña se considera fuerte cuando:
- Tiene más de 6 caracteres (preferentemente, más de 8).
- Posee al menos dos tipos de los siguientes caracteres (recomendable, 3):
- letras en minúsculas (de la a a la z)
- letras en mayúsculas (de la A a la Z)
- números (del 0 al 9)
- caracteres especiales (por ej. !, $, #, o %)
- “jose”, “contraseña” o “111111” son contraseñas débiles.
- “JoseEntr@”, “Contraz3na#” o “UNOuno1-” son contraseñas fuertes.
- “Jp3t?xi9-”, “4ApEKzqK” o “L@#nt67nx” también son contraseñas fuertes.
- Utilizar contraseñas fuertes y recordables. En este caso, la dificultad para recordarlas es moderada respecto a una contraseña débil, especialmente si el usuario es ingenioso al elegirlas (ver ítem 2 de los ejemplos). Esta opción es particularmente válida cuando la cantidad de contraseñas a utilizar no es muy grande, y si estas no deben ser compartidas con otros grupos de usuarios.
- En el caso que se deban utilizar contraseñas no recordables (ver ítem 3 de los ejemplos), existen aplicaciones para almacenarlas de forma cifrada, pudiendo el usuario definir una contraseña maestra (fuerte y recordable) que le permita visualizar todas las contraseñas almacenadas.
