RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Posts Tagged ‘ 2018 ’

Como todos los finales de año, las noticias en Internet nos muestran las contraseñas más absurdas y ridículas utilizadas en el mundo. Una de las más renombradas viene de la empresa SPLASHDATA (https://www.splashdata.com/), empresa de seguridad que tiene soluciones para gestionar la contraseña de personas naturales y empresas.

Resulta por lo menos curioso que una empresa que cuenta con soluciones que gestionan contraseñas de terceros, haya realizado una estadística de las peores contraseñas. Los mal pensados y paranoicos pensarían que la empresa SPLASHDATA gestiona, fisgonea las contraseñas y las procesan para obtener estadísticas. Personalmente no confío en almacenar mis contraseñas en la nube y que otros gestionen mis contraseñas, para eso prefiero utilizar soluciones como KeePass (https://keepass.info/).

KUNAK, ha desarrollado un cuadro de las peores contraseñas más utilizadas por las organizaciones privadas y públicas peruanas durante el año 2018, información basada en los proyectos de Ethical Hacking que ha realizado la empresa en el último año y en foros privados relacionados al tema.

image

Los resultados del año 2018 en el mundo

La empresa SPLASHDATA nos muestra el siguiente resultado, de las contraseñas más utilizadas en el año 2018.

image

Sobresale como siempre la infame e infaltable “123456”, contraseña que ha sido utilizada desde mucho antes que existieran las computadoras personales y cuyo uso sigue vigente tras el paso de los años.

Más interesante aun, es la estadística de los últimos ocho (08) años de las contraseñas más utilizadas, en donde la contraseña “123456” se erige como vencedor indiscutible.

clip_image004

Estadísticas en el Perú

La motivación de la realización de este documento, resulta en aterrizar las estadísticas mundiales a la realidad peruana y es que como todos debemos imaginar, en el Perú casi nadie nadie realmente utilizaría contraseñas como: “sunshine”, “iloveyou”, “princess”, “football” y menos “donald”; y es que, aunque en el Perú Donald Trump no sea el personaje más querido y adorado por todos los peruanos, Donald pasa extremadamente desapercibido por estos lares.

image

Contexto peruano

Antes de mostrar los resultados de las contraseñas más utilizadas en el Perú, debemos hacer algunas aclaraciones sobre lo que hemos identificado en base a la gestión de contraseñas en organizaciones peruanas. Las características que debemos resaltar corresponden a la mayoría de las organizaciones, no a todas claramente, pero si a la mayoría de las empresas peruanas.

  1. La mayoría de las empresas gestionan la contraseña con el Directorio Activo de Microsoft. Si señores, Microsoft ha triunfado en el Perú y salvo extrañas y marcianas excepciones, las empresas peruanas usan Microsoft.
  2. Las contraseñas de servidores (Windows y Unix), equipos de comunicaciones (switches, routers, etc) y servicios (bases de datos, servicios web, etc), son gestionadas por los sysadmins, en archivos del tipo Excel o Word. Si señores, aunque hemos intentado persuadir a las organizaciones de ésta mala práctica, los sysadmins aun almacenan clandestinamente sus contraseñas en archivos Excel, Word o peor aún, en archivos TXT. Archivos que son transferidos entre administradores casi de contrabando por la red.
  3. Finalmente, las empresas peruanas suelen utilizar Single Sign On (SSO) para casi todos sus servicios, es decir, la misma contraseña con la que ingresamos al computador, es la misma que utilizamos para ingresar al correo electrónico, ingresar a la red VPN e ingresar a casi todos los servicios que se exponen en Internet.

Si estás leyendo esto y hasta el momento te sientes identificado, este post definitivamente es para ti.

Los resultados en el Perú

Sin más preámbulo, veamos los resultados de las peores contraseñas utilizadas en el Perú y que son la prueba fehaciente que aún nos falta mucho para madurar en ciberseguridad.

image

Aunque algunas personas necesiten una provisión de aire para asimilar los resultados, esto es lo que nos arroja la estadística en el Perú (en la parte inferior de este documento encontrarán los detalles técnicos que dieron estos resultados). Parece increíble, lo sabemos, pero resulta mejor conocer la realidad para tratar de cambiarla.

Lo más resaltante de los resultados es lo siguiente:

  1. En el Perú somos unos fanáticos de la palabra “password”, somos tan fanáticos que hemos buscados combinaciones que no resultan de uso común en otras partes del mundo.
  2. En el Perú somos unos respetuosos de la política de seguridad, ¡sí señores! Y es que los incisivos apuntes realizados por los Oficiales de Seguridad de Información no han sido despilfarrados. La política de seguridad de la mayoría de las empresas debe cumplir por lo menos tres (03) de los cuatro (04) siguientes criterios:

Longitud mínima de 08 caracteres

Caracteres alfanuméricos

Al menos una mayúscula

Al menos un carácter especial

Aunque aún no hayamos advertido, claro que cumplimos con la política de seguridad porque ahora solemos utilizar contraseñas del tipo:

Noviembre2018

Diciembre2018

Enero2019

Empresa2018

Empresa2019

Empresa2020

3. Y finalmente, la última atrocidad característica de las contraseñas peruanas, es que colocamos como contraseña el mismo nombre de usuario, característica muy utilizada sobre todo en servicios de red, por ejemplo, es muy común identificar un usuario de Base de Datos llamado “app_logistica” cuya contraseña es idéntica.

Conclusiones

  1. Las organizaciones peruanas, por lo general, aún están hacen uso de contraseñas débiles, dentro de la que destacan variables de la palabra “PASSWORD”.
  2. Un patrón de contraseña muy utilizado en las organizaciones peruanas está asociado al nombre de la organización, seguido del año. Por ejemplo, si la empresa es KUNAK, las contraseñas utilizadas serian Kunak2018, Kunak2019 y/o Kunak2020.
  3. Finalmente, otro patrón de contraseña identificados en las organizaciones peruanas corresponde al nombre del mes seguido del año. Por ejemplo, Noviembre2018, Diciembre2018 y la próxima contraseña será Enero2019.

image

    Popularity: 1% [?]