Tag Archives: politicas

Descubrir una contraseña de seis caracteres en 4 segundos

La tecnología avanza sin precedentes y, con eso, debería hacerlo el usuario en tratar de mantenerse al margen de los abusos que realizan de ella en beneficio de algunos delincuentes.

A través de la explotación de la arquitectura de los procesadores gráficos se han realizado importantes mejoras a nivel de procesamiento de datos.

Esos avances, lamentablemente, también son utilizados por los atacantes para maximizar la eficiencia de sus ataques. Por lo tanto, la investigación de nuevas tecnologías no siempre va tener un fin positivo. Como las empresas de hardware no pueden controlar estrictamente el uso que será dado a sus dispositivos, es responsabilidad del usuario tomar medidas para prevenir posibles ataques. A continuación, analizaremos datos que nos revelan que el paralelismo proporcionado por los procesadores gráficos a través del procesamiento multi-hilo puede superar ampliamente el procesamiento de las CPU en el descifrado de contraseñas.

Capacidad de procesamiento

Los estudios arrojan resultados devastadores de utilización de GPU sobre CPU en ataques de fuerza bruta. Una contraseña de 5 caracteres alfanuméricos puede ser vulnerada, por una CPU promedio actual, en 24 segundos a una tasa de 9.8 millones comparaciones por segundo. Ese número que realmente parece asombroso, resulta ínfimo si lo comparamos con la tasa de procesamiento que puede tener una GPU (ATI Radeon 5770), ya que puede realizar 3300 millones de comparaciones por segundo. En este caso, la velocidad en que el procesador gráfico descifraría la clave es menor a un segundo.

En caso de aumentar su longitud, y contar con una clave de 9 caracteres combinando números, letras en mayúsculas y minúsculas y símbolos, entonces a la CPU le llevaría 43 años descifrar la clave mientras que la GPU la estaría rompiendo en aproximadamente un mes y medio.

Buenas prácticas y sugerencias

Esto significa que combinar letras con números es una muy buena práctica, no obstante el usuario ahora debe hacer más que nunca mayor énfasis en la longitud de sus claves. De hecho, cuanto mayor la capacidad de procesamiento que tengan los atacantes, mayor es la longitud que debe tener la clave del usuario para no salir perdiendo en el desfasaje tecnológico.

A continuación, enumeramos algunas sugerencias importantes:

  • Un carácter más, siempre va aumentar exponencialmente la complejidad de la clave.
  • Cambiar caracteres por números similares para poder recordarlos (A=4, E=3, I=1, etc.).
  • Utilizar varias palabras juntas.
  • Mezclar los números en las palabras para que ninguna palabra pertenezca a algún idioma.

La siguiente contraseña de ejemplo: L4c4s4d3cr1st4l!; puede ayudar a ilustrar al lector un caso de una contraseña de 16 dígitos, con mayúsculas, minúsculas, números y símbolos que no es tan difícil de recordar para el usuario y que con la tecnología existente se tardarían miles de años en poder descifrarla.

 

Seguridad Informática: Un trabajo de Personas

Uno de los elementos fundamentales de la seguridad informática en las empresas es el personal. Aunque la mayoría no los toma en cuenta. ¿Cómo solucionarlo?

Para que la seguridad informática funcione correctamente en una empresa, es fundamental que el equipo humano también lo haga. Esto es lo que plantean todos los especialistas de Seguridad Informatica, quienes aseguran que un gran porcentaje de las filtraciones que ocurren son por culpa de los mismos empleados y no de la tecnología.

“En verdad son los empleados quienes por error mandan sus correos electrónicos al destinatario equivocado o con el archivo anexo errado, causando potencialmente pérdida de datos o fuga de información confidencial en su organización”, dicen.

Asimismo aseguran que son también los trabajadores quienes incidentalmente descargan contenido ilícito, navegan por sitios de Internet de delincuentes o ingresan accidentalmente en vínculos que infectan el malware.

Para reducir este número de “accidentes”, Los especialistas proponen comenzar a considerar a los empleados, no como parte del problema, sino como parte de la solución. ¿Cuál es su planteamiento?

Educar a los usuarios

Los empleados, usuarios de las plataformas informáticas de las empresas, conocen las restricciones, lo que pueden y no pueden hacer, pero nunca son realmente incluidos dentro del sistema ni alertados o informados apropiadamente.

Bastaría con “apenas un poco de educación y responsabilidad, para que los empleados puedan jugar un gran papel en minimizar las fugas de seguridad y prevenir que los ataques penetren la red en primer lugar”. De hecho, los empleados deberían ser los primeros en la fila cuando se trata de cuidar los datos confidenciales y la red de la compañía.

Existen muchas formas para educar a sus empleados sobre la seguridad TI. Para comenzar las firmas pueden brindar a sus usuarios de red entrenamiento sobre las políticas de seguridad y las responsabilidades que deben seguir. Por ejemplo las compañías pueden exigirles a sus empleados que presenten un examen antes de que se les permita el acceso a la intranet.

Es importante que dichas políticas estén bien alineadas con las prioridades de negocio de la firma y que puedan evolucionar con las necesidades de seguridad en evolución.

Involucrar al personal

Según los especialistas, otra forma de aumentar la consciencia sobre la seguridad en los usuarios es involucrarlos en el proceso de “decisión de la seguridad”. Las tecnologías pueden ayudar a detectar las fugas o bloquear a los usuarios, pero se pueden usar para ayudar a educar a la gente sobre cómo desenvolverse y trabajar con los sistemas, darles autonomía para prevenir y remediar incidentes.

Empujar la decisión de seguridad al usuario hace el proceso de seguridad más fácil, inteligente y más efectivo. Esto aliviana drásticamente la carga de sus administradores de seguridad y en algunos casos ha disminuido la cantidad de incidentes de seguridad que necesitan evaluarse hasta en 98 por ciento.

Bueno para el negocio

“Las soluciones de seguridad TI del siglo XXI deben servir como un habilitador de negocio más que nunca”, aseguran los mismos.

Educar, involucrar y reconocer al usuario en el proceso de negocio permite no solamente resaltar más la eficiencia de la tecnología, sino también mejorar el negocio haciendo de la seguridad una parte integral del proceso.

Los empleados deben tener autonomía para hacer su trabajo y reflejar mejor los requisitos y estrategias de negocio de la organización; y las tecnologías deben servir para reforzar efectivamente el proceso de seguridad.

¿Crees que la inclusión de los empleados en la formulación de la seguridad ayudaría a mejorarla? ¿Te incluyen en este proceso?