Jane Lytvynenko no se lo podía creer. La periodista de Buzzfeed estaba mirando con detenimiento la demanda contra Equifax, la agencia que en 2017 sufrió una brecha de datos que acabó publicando la información privada de 147 millones de personas, y se dio cuenta de un detalle que haría que cualquier responsable de ciberseguridad activase todas las alarmas.

En el servidor atacado, que albergaba información confidencial de los usuarios, las credenciales eran alarmantemente inseguras. Usuario: admin. Contraseña: admin. La política de ciberseguridad en contraseñas de la empresa había pecado de cometer una negligencia que desembocó en la filtración que la hizo famosa en todo el mundo.

Según ha podido saberse, Equifax cometió tres graves errores:

1.- Credenciales. Optar por un nombre de usuario y contraseña sin un mínimo de política de seguridad ni de prevención de posibles ataques, vulnerabilidades o accesos no autorizados.

2.- Servidores abiertos. La demanda asegura que el servidor en el que se guardaban dichos datos estaba sin cifrar de ningún modo. Tan solo hacía falta saber su localización para poder acceder a él.

3.- Cifrado deficiente. Cuando la compañía optó por cifrar dicho servidor, guardó la contraseña en un archivo dentro de ese mismo alojamiento, contraviniendo toda política de conservación y almacenamiento de credenciales en una empresa de un tamaño como el suyo.

Juntos todos los ingredientes, la indignación a posteriori de los usuarios era evidente. Pero no fueron ellos los que decidieron tomar acciones legales contra Equifax, sino un total de 373 accionistas que invirtieron en la compañía entre el 25 de febrero de 2016 y el 15 de septiembre de 2017, muy poco antes de producirse y anunciarse la brecha de datos. Dichos accionistas se unieron en una demanda colectiva que ahora mismo está siendo dirimida en los tribunales.

Según los denunciantes, sus acciones perdieron valor debido a “múltiples declaraciones y omisiones falsas o engañosas sobre la información personal confidencial bajo la custodia de Equifax, la vulnerabilidad de sus sistemas internos al ciberataque y su cumplimiento de las leyes de protección de datos”. El tribunal que admitió a trámite dicha demanda, además, asegura que “la ciberseguridad de Equifax era peligrosamente deficiente”, ya que “la compañía dependía de un solo individuo para implementar manualmente su proceso de parcheo en toda su red”.

El problema de una mala contraseña_

Este caso evidencia el peligro de que una empresa opte por una política de contraseñas deficiente, que en cualquier tipo de organización debe cumplir, como mínimo, una serie de requisitos para no poner en peligro las credenciales:

  • Longitud. En términos generales nunca hay que optar por contraseñas de extensión breve. A más letras, generalmente más dificultad, así que una buena contraseña nunca debería tener menos de 10 caracteres.
  • Tipos de caracteres. Una credencial idónea debería contener, de manera, alternada, letras y números. Como facilidad para recordar los números, estos pueden ser equivalentes a determinadas vocales. Además, algunas también deben ir en mayúsculas.
  • Frases o palabras compuestas. Lo ideal es que la contraseña sea una sucesión de elementos alfanuméricos sin ningún tipo de conexión entre sí, pero en caso de que tengan sentido no deberán formar una sola palabra, sino una frase entera o, como mínimo, una combinación de al menos dos palabras.
  • Actualizadas. Ninguna compañía puede estar segura de que su contraseña nunca podrá ser descubierta, de modo que deberá cambiarla de manera constante, en especial cuando haya rotación laboral de los empleados que las custodian.
  • Acceso. Una contraseña siempre debe estar en posesión del menor número de personas posible. Nunca deberá ser entregada a un empleado que solo la va a necesitar en momentos muy puntuales.

En cualquier caso, como decimos, ninguna empresa puede estar totalmente segura de que sus contraseñas nunca serán vulneradas, sobre todo si su protección depende de los empleados, que muchas veces son el elemento más vulnerable. Por ello, cualquier organización que quiera preservarlas no debe confiar solo en el trabajo de custodia de sus trabajadores. Lo esencial en estos casos es que las empresas sean conscientes de que, aunque se siga una buena política de contraseñas, su protección debe abordarse no solo desde el punto de vista humano, sino también tecnológico, contando con una solución acorde al nivel de madurez de ciberseguridad de la organización. De lo contrario, se arriesgarán a sufrir una crisis económica y reputacional como la experimentada por Equifax.