Cuando los equipos de seguridad debaten sobre los riesgos relacionados con las credenciales, la atención suele centrarse en amenazas como la suplantación de identidad, el malware o el ransomware. Estos métodos de ataque siguen evolucionando y, con razón, llaman la atención. Sin embargo, uno de los riesgos más persistentes y subestimados para la seguridad organizacional sigue siendo mucho más común.

Casi idéntico reutilización de contraseñas sigue eludiendo los controles de seguridad, a menudo desapercibido, incluso en entornos con políticas de contraseñas establecidas.

Por qué la reutilización de contraseñas persiste a pesar de las políticas sólidas

La mayoría de las organizaciones entienden que el uso exacto de la misma contraseña en varios sistemas supone un riesgo. Políticas de seguridad, marcos regulatorios y conciencia del usuario la capacitación desalienta constantemente este comportamiento, y muchos empleados hacen un esfuerzo genuino por cumplirlo. A primera vista, esto sugiere que la reutilización de contraseñas debería ser un problema cada vez menor.

En realidad, los atacantes siguen ganando acceso mediante credenciales que técnicamente cumplen con los requisitos de la política. El motivo no siempre es la reutilización descarada de las contraseñas, sino una solución alternativa más sutil conocida como reutilización de contraseñas casi idénticas.

¿Qué es la reutilización de contraseñas casi idénticas?

La reutilización de contraseñas casi idénticas se produce cuando los usuarios hacen pequeñas, cambios predecibles a una contraseña existente en lugar de crear una contraseña completamente nueva.

Si bien estos cambios cumplen con las reglas formales de contraseñas, hacen poco para reducir la exposición en el mundo real. Estos son algunos ejemplos clásicos:

  • Añadir o cambiar un número
    • ¡Verano 2023! → ¡Verano de 2024!
  • Añadir un personaje
    • P @ssword → P @ssword1
  • Intercambio de símbolos o uso de mayúsculas
    • ¡Bienvenido! → ¿Bienvenido?
    • AdminPass → adminpass

Otro escenario común ocurre cuando las organizaciones emiten una norma contraseña de inicio para nuevos empleados , y en lugar de reemplazarlo por completo, los usuarios realizan cambios graduales a lo largo del tiempo para mantener el cumplimiento. En ambos casos, los cambios de contraseña parecen legítimos, pero la estructura subyacente permanece prácticamente intacta.

Cuando una mala experiencia de usuario conduce a soluciones arriesgadas

Estas pequeñas variaciones son fáciles de recordar, y precisamente por eso son tan comunes. Se espera que el empleado promedio gestione docenas de credenciales en sus sistemas laborales y personales, a menudo con requisitos diferentes y, a veces, contradictorios. A medida que las organizaciones confían cada vez más en las aplicaciones de software como servicio, esta carga sigue aumentando.

Investigación de Specops descubrió que una organización de 250 personas podría gestionar colectivamente unas 47.750 contraseñas, lo que ampliaría considerablemente la superficie de ataque. En estas condiciones, la reutilización casi idéntica de contraseñas se convierte en una solución práctica y no en un acto de negligencia.

Desde la perspectiva del usuario, una contraseña modificada se siente lo suficientemente diferente como para cumplir expectativas de cumplimiento sin dejar de ser memorable. Estos microcambios cumplen las reglas del historial de contraseñas y los requisitos de complejidad y, en opinión del usuario, se ha cumplido el requisito de cambiar una contraseña.

La previsibilidad es exactamente lo que aprovechan los atacantes

Desde la perspectiva del agresor, la situación es muy diferente. Estas contraseñas representan un patrón claro y repetible.

Los ataques modernos basados en credenciales se basan en la comprensión de cómo las personas modifican las contraseñas bajo presión, y se presupone que la reutilización de contraseñas es casi idéntica en lugar de tratarla como un caso extremo. Esta es la razón por la que la mayoría de los métodos contemporáneos de descifrado de contraseñas y relleno de credenciales las herramientas están diseñadas para aprovechar las variaciones predecibles a escala.

Cómo los atacantes utilizan los patrones de contraseñas como armas

En lugar de adivinar las contraseñas al azar, los atacantes suelen empezar con las credenciales expuestas en filtraciones de datos anteriores . Estas contraseñas violadas se agrupan en grandes conjuntos de datos y se utilizan como base para futuros ataques.

A continuación, las herramientas automatizadas aplican transformaciones comunes, como:

  • Añadir personajes
  • Cambiar símbolos
  • Números incrementales

Cuando los usuarios confían en una reutilización de contraseñas casi idéntica, estas herramientas pueden pasar rápida y eficientemente de una cuenta comprometida a otra.

Es importante destacar que los patrones de modificación de contraseñas tienden a ser muy consistentes en los diferentes grupos demográficos de los usuarios. Specops análisis de contraseñas ha demostrado en repetidas ocasiones que las personas siguen reglas similares al ajustar las contraseñas, independientemente de su función, industria o capacidad técnica.

Esta coherencia hace que la reutilización de contraseñas, incluidas las variantes casi idénticas, sea altamente predecible y, por lo tanto, más fácil de explotar para los atacantes. En muchos casos, una contraseña modificada también se reutiliza en varias cuentas, lo que aumenta aún más el riesgo.

Por qué las políticas de contraseñas tradicionales no detienen la reutilización casi idéntica

Muchas organizaciones creen que están protegidas porque ya las hacen cumplir reglas de complejidad de contraseñas . Estas suelen incluir requisitos de longitud mínima, una combinación de letras mayúsculas y minúsculas, números, símbolos y restricciones para la reutilización de contraseñas anteriores. Algunas organizaciones también exigen la rotación regular de las contraseñas para reducir la exposición.

Si bien estas medidas pueden bloquear las contraseñas más débiles, no son adecuadas para abordar la reutilización de contraseñas casi idénticas. Una contraseña como FinanceTeam! ¡2023 seguido de FinanceTeam! 2024 superaría todas las comprobaciones de complejidad e historial, pero una vez que se conoce una versión, el atacante no puede deducir la siguiente. Con un símbolo bien colocado o una letra en mayúscula, los usuarios pueden seguir cumpliendo las normas sin dejar de confiar en la misma contraseña subyacente.

Otro desafío es la falta de uniformidad en la forma en que se aplican las políticas de contraseñas en toda la organización. entorno digital . Los empleados pueden enfrentarse a diferentes requisitos en los sistemas corporativos, las plataformas en la nube y los dispositivos personales que aún tienen acceso a los datos de la organización. Estas incoherencias fomentan aún más la adopción de soluciones alternativas predecibles que, desde el punto de vista técnico, cumplen con las políticas, al tiempo que debilitan la seguridad en general.

Pasos recomendados para reducir el riesgo de contraseñas

Reducir el riesgo asociado con la reutilización de contraseñas casi idénticas requiere ir más allá de las reglas básicas de complejidad. La seguridad comienza con la comprensión del estado de las credenciales en el entorno. Las organizaciones necesitan visibilidad sobre si las contraseñas han aparecido en infracciones conocidas y si los usuarios confían en patrones de similitud predecibles.

Esto requiere una supervisión continua de los datos de violación combinada con un análisis inteligente de similitud, no verificaciones estáticas o únicas. También implica revisar y actualizar políticas de contraseñas para bloquear explícitamente las contraseñas que son demasiado similares a las anteriores, evitando soluciones alternativas comunes antes de que se conviertan en un comportamiento arraigado.

Cerrar la brecha con controles de contraseñas más inteligentes

Las organizaciones que no cumplen con este aspecto básico de la política de contraseñas se exponen innecesariamente. Política de contraseñas de Specops consolida estas capacidades en una única solución, lo que permite a las organizaciones administrar la seguridad de las contraseñas de una manera más estructurada y transparente.

Política de contraseñas de Specops

La política de contraseñas de Specops permite la administración centralizada de políticas, lo que facilita la definición, actualización y aplicación de las reglas de contraseñas en Active Directory a medida que evolucionan los requisitos. También proporciona informes claros y fáciles de entender que ayudan a los equipos de seguridad a evaluar el riesgo de las contraseñas y demostrar su cumplimiento. Además, esta herramienta analiza continuamente las contraseñas de Active Directory y las compara con una base de datos de más de 4.500 millones de contraseñas que se sabe que han sido violadas.

Está interesado en comprender qué herramientas de Specops se aplican al entorno de su organización. Reserve hoy mismo una demostración en vivo de la política de contraseñas de Specops .

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.