Cuatro maneras de hacer que los usuarios amen la protección con contraseñas

Cuando los empleados de una organización consideran que las medidas de seguridad son incómodas e irritantes, esto puede aumentar significativamente el riesgo de amenazas internas. Según un informe reciente de Gartner, el 69 % de los empleados en 2023 ignoraron regularmente las recomendaciones de ciberseguridad de su organización. Esto no significa que estas personas estén creando intencionalmente riesgos de seguridad para perjudicar a la empresa; más bien, suelen priorizar realizar su trabajo sin distracciones, percibiendo las medidas de ciberseguridad como molestias innecesarias y que consumen tiempo.

¿Puede la ciberseguridad combinarse con una experiencia de usuario agradable?

Las contraseñas son un ejemplo claro de la colisión entre la ciberseguridad y la experiencia del usuario. Según un estudio de LastPass de 2021, un empleado promedio puede manejar hasta 190 combinaciones de inicios de sesión y contraseñas diferentes. Memorizar esa cantidad abrumadora y asociarlas con los servicios correctos es prácticamente imposible.

El estudio también reveló que el 61 % de los empleados encuestados admitió reutilizar contraseñas como una forma de afrontar esta situación, aunque la mayoría es plenamente consciente de que este hábito puede tener consecuencias desastrosas para la seguridad de la empresa.

¿Cómo pueden los departamentos de TI mejorar la seguridad basada en contraseñas sabiendo que los usuarios están agotados por estas medidas interminables y priorizan la conveniencia sobre la seguridad?

Aunque muchas grandes empresas tecnológicas están impulsando tecnologías de acceso sin contraseña, actualmente eliminar las contraseñas no es una opción viable para la mayoría de las organizaciones.

Por ello, es crucial elegir métodos de seguridad que no solo sean efectivos, sino que también proporcionen una experiencia de usuario agradable. A continuación, analizamos cuatro formas efectivas para que los usuarios adopten prácticas responsables con sus contraseñas, haciéndolo de una manera que incluso les resulte atractiva.

1. Frases clave para contraseñas seguras y fáciles de recordar

Los hackers suelen usar métodos de fuerza bruta para probar múltiples combinaciones en un intento de adivinar contraseñas. Estos métodos suelen combinarse con diccionarios de contraseñas vulnerables, como "qwerty" o "123456", frecuentemente utilizados por los usuarios. Las contraseñas más cortas y menos complejas son mucho más vulnerables a estos ataques, por lo que se recomienda crear contraseñas más largas y complejas.

Sin embargo, estos requisitos a menudo generan problemas para los usuarios, quienes deben recordar múltiples contraseñas largas y complejas, ideales de 15 caracteres o más. Una forma de facilitar esta tarea es usar frases clave en lugar de contraseñas tradicionales.

Una frase clave consiste en tres o más palabras aleatorias combinadas, como "Perro-Gato-Ventana-Sol". Aunque a simple vista parece simple e insegura, esta frase contiene 23 caracteres, incluye signos especiales y mayúsculas, factores que hacen que un ataque de fuerza bruta requiera mucho más tiempo. Si se añaden algunos caracteres especiales o números, la seguridad aumenta considerablemente. Lo importante es usar palabras no relacionadas con la actividad de la empresa o los datos personales del usuario.

Las frases clave son una excelente manera de ayudar a los usuarios a crear contraseñas más largas y complejas sin aumentar su carga mental.

2. Recomendaciones y retroalimentación

Cuando se le pide a un empleado que cree una nueva contraseña, a menudo puede sentirse abrumado y quedarse en blanco, iniciando un proceso largo que podría llevar horas. Pensamientos como "¿Qué contraseña sería conveniente y segura?" son comunes.

Es esencial apoyar a los empleados en estos momentos: ofrecer recomendaciones claras y responder a sus preguntas. Nadie debería sentirse abandonado mientras toma medidas que afectan directamente la seguridad de toda la organización.

Lo ideal sería proporcionar una guía completa con recomendaciones y ejemplos claros para que el proceso de creación de contraseñas sea rápido y sencillo. Sin embargo, incluso estas guías no siempre cubren todas las dudas de los usuarios.

Ofrecer retroalimentación dinámica durante la creación de contraseñas no solo educa al usuario, sino que también verifica al instante si la contraseña cumple con las políticas de seguridad. Al consultar con especialistas de TI, los empleados pueden entender en tiempo real si su nueva contraseña cumple con los requisitos de la empresa y, de no ser así, por qué no, y cómo corregirlo rápidamente.

3. Duración de la contraseña basada en su longitud

A nadie le gusta interrumpir su trabajo para cambiar su contraseña nuevamente. A veces, este proceso ocurre con demasiada frecuencia, causando frustración incluso entre los empleados más diligentes con la seguridad.

Sin embargo, las contraseñas con duración ilimitada son inaceptables en la actualidad, ya que representan un riesgo significativo de ataques cibernéticos. Por ello, muchas organizaciones implementan cambios regulares de contraseñas.

¿Por qué no convertir esta experiencia potencialmente negativa en una oportunidad para mejorar?

Permitir que la duración de una contraseña dependa de su longitud ofrece a los usuarios una opción. Pueden crear una contraseña relativamente simple que cumpla parcialmente con los requisitos de la organización, pero que deberán cambiar, por ejemplo, en 90 días. O pueden optar por una contraseña más larga, prolongando el tiempo hasta el próximo cambio, quizás hasta 180 días.

En lugar de imponer un cambio obligatorio cada 90 días, esta flexibilidad recompensa a los usuarios que eligen contraseñas más largas y seguras, logrando un equilibrio óptimo entre seguridad y comodidad.

4. Monitoreo continuo de contraseñas comprometidas

Aunque los métodos anteriores son efectivos para ayudar a los usuarios a crear contraseñas más seguras, ningún sistema es completamente infalible. Incluso las contraseñas más sólidas pueden ser vulneradas.

Por ello, es fundamental contar con sistemas que detecten de manera oportuna contraseñas comprometidas y bloqueen de inmediato posibles rutas de ataque.

Muchos productos de ciberseguridad permiten verificar periódicamente contraseñas en listas de datos filtrados, pero estos sistemas no monitorean en tiempo real.

Lo ideal es implementar soluciones que escaneen continuamente las contraseñas en busca de filtraciones y notifiquen al administrador de manera inmediata, o incluso que cambien automáticamente la contraseña comprometida para eliminar cualquier oportunidad de ataque.

El mercado actual ofrece una amplia variedad de herramientas de seguridad que facilitan encontrar productos con estas características.

Conclusión

Las contraseñas no tienen por qué generar frustración. Como hemos visto, al adoptar un enfoque correcto entre los departamentos de TI y los usuarios, este problema puede desaparecer por completo.

Frases clave, retroalimentación dinámica, duración flexible según la longitud y monitoreo continuo de contraseñas comprometidas son soluciones que pueden mejorar significativamente la seguridad de cualquier organización.

Con esfuerzos conjuntos entre los especialistas de TI y los usuarios finales, es posible lograr una protección de datos extremadamente efectiva. Lo fundamental es construir una interacción cómoda entre ambas partes para disfrutar de los frutos del éxito sin preocupaciones por la seguridad.