Capacitación

Gestión de identidad y
acceso
Contraseñas seguras

Abril
¿Sabías que el 90% de las contraseñas
son vulnerables?

¿Cuánto tardarían en
averiguar mis contraseñas?

Estrategia de los ciberdelincuentes

para intentar robar información
confidencial o privada

Contraseñas más comunes

Examen
Objetivo
Comprende la importancia de crear contraseñas y aprender a gestionarlas
de manera segura.

Concientizar sobre los riesgos de seguridad de la información a los cuales

está expuesta la entidad, por fallas en la Gestión de Identidad y Accesos.

Sensibilizar a los usuarios respecto a su responsabilidad en el cumplimiento

de las políticas de gestión de acceso.

Reforzar la divulgación de las políticas asociadas a la Gestión de Identidad

y Acceso

Sensibilizar sobre la importancia del rol de administrador en las plataformas

de ATH y las medidas establecidas para minimizar los riesgos.
¿Sabías que el 90% de las contraseñas son vulnerables?

La mayoría de los usuarios optan por

contraseñas débiles, ya sea por la
facilidad para recordarlas o por el
desconocimiento acerca de lo fácil que
resulta para un ciberdelincuente
obtenerlas. Si eres de los que no lo
piensan mucho a la hora de crear una
contraseña, es momento de que
descubras que más del 90% de las que
utilizamos en nuestro día a día son
vulnerables. ¿Usas alguna de ellas?

Este tipo de claves, que muchos consideran la mejor opción debido a la facilidad para
recordarlas, no suponen ningún reto para los ciberdelincuentes, incluso para los menos
experimentados, que son capaces de descifrarlas en cuestión de segundos. Siendo
conscientes de estas listas de contraseñas “fáciles”, un ciberdelincuente siempre recurrirá a
ellas como primera opción a la hora de hacerse con el control de una cuenta de usuario.

Generalmente, utilizarán programas para probar automáticamente todas y cada una de

las claves antes de recurrir a técnicas más sofisticadas.
¿Cuánto tardarían en averiguar mis contraseñas?
Uno de los problemas de utilizar claves demasiado simples es que existen programas diseñados para probar
millones de contraseñas por minuto. La tabla siguiente muestra el tiempo que tarda un programa de este tipo
en averiguar una contraseña en función de su longitud y los caracteres que utilicemos
Aprende a gestionar tus contraseñas
Las contraseñas son las llaves que dan acceso a nuestros
servicios y por ende a nuestra información corporativa o personal
por lo que si alguien las consigue puede comprometer
información privada o confidencial de la compañía.

Para evitar riesgos derivados de una mala gestión de las

contraseñas, te facilitamos unos consejos muy fáciles de aplicar:

• No compartas tus contraseñas con nadie.

• Asegúrate de que son robustas. Están formadas por al menos
8 caracteres: 2 mayúsculas, minúsculas, números y dos
caracteres especiales. Utiliza alguna regla mnemotécnica
para recordarlas.
• No utilices la misma contraseña en accesos personales y
corporativos. Siempre claves diferentes.
• Cuidado con las preguntas de seguridad. Si las utilizas, que
sólo tú y nadie más sepa las respuestas.
• Utiliza gestores de contraseñas. Si te cuesta memorizar las
contraseñas o utilizas muchos servicios, apóyate en estos
programas, son muy útiles y sencillos de manejar.
Errores Comunes Hay que evitar cometer errores tan comunes como los siguientes:

Reciclar contraseñas: un error muy frecuente es utilizar la misma clave

para accesos personales y corporativos.

Memorizar contraseñas en función del teclado: muchos usuarios usan el

teclado como guía para recordar contraseñas fácilmente (ej.: “123456”
o “qwerty”).

Usar expresiones hechas: entre otro de los errores más comunes es el uso
como contraseñas de frases como “teamo”, “iloveyou”, “teodio”, etc.

Utilizar aficiones: algunos usuarios fanáticos suelen usar el nombre de sus

marcas, deportes, equipos o bandas de música favoritas.

Apuntarlas en notas: aunque se haya creado una clave robusta, nunca

se debe dejar por escrito y mucho menos a la vista de cualquiera.

Hacer uso de patrones sencillos: como que la primera letra esté en

mayúscula seguida de 4 o 5 en minúscula o usar uno o dos números y
finalizar con un carácter especial como un punto o signo de
exclamación (Ej.: Ath12345*, Febrero2020.).
Estrategia de los ciberdelincuentes para intentar robar información
confidencial o privada
Cómo crear contraseñas robustas

Debemos asegurarnos que la

contraseña tenga:

Longitud mínima de ocho caracteres

Combine dos mayúsculas, minúsculas
Números y dos caracteres especiales.

No debemos utilizar como claves:

Palabras sencillas en cualquier idioma
Nombres propios
Lugares
Combinaciones excesivamente cortas
Fechas de nacimiento.

Tampoco debemos usar claves formadas

únicamente a partir de la concatenación
de varios elementos. Por ejemplo:
“Juan1985” (nombre + fecha de
nacimiento).

Tomado de: https://www.osi.es/es/campanas/contrasenas-seguras/ataques-contrasenas

¿Qué es la ingeniería social?
Es una técnica de engaño y manipulación utilizada por ciberdelincuentes para obtener información privada y/o confidencial que les permitan realizar
algún acto que perjudique o exponga la persona o entidad. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el
eslabón débil". Ejemplo:

Vishing • En caso de duda hay que solicitar al

interlocutor detalles que verifiquen su
• Los ciberdelincuentes se ponen en identidad y cuestionarle por los datos
contacto con la victima a través que una persona en su posición
de teléfono y tratan de obtener debería tener. Por ejemplo si solicita
información confidencial o entregar su usuario y contraseña de
privada útil para llevar a cabo red no las entregue!, recuerde que sus
ataques más adelante. credenciales son personales e
intransferibles
• Ninguna empresa con la que
se tenga contrato pedirá ¿Qué es? ¿Duda?
datos confidenciales por
teléfono (contraseñas, cargos, • Antes de facilitar cualquier
información que administra información, hay que intentar
en la compañía, información contactar con la supuesta empresa
de aplicaciones o servicios de ¿Cómo Recomendaci por otro medio para verificar si la
la entidad). identificarlo? ones llamada es legítima.
• No hay que proporcionar • Si sospecha que han intentado
información que se conoce de conseguir datos confidenciales o
la entidad a través de privados por medio de Vishing o
llamadas telefónicas. que ha podido ser victima de este
• Si en la llamada se nota cierta ataque, hay que informar el
urgencia del interlocutor para incidente a equipo de seguridad
que facilite esa información, de la información
sospeche!
 ¿Cómo Consiste en el robo de información a través de la falsificación de un ente de confianza. De esta forma el usuario
funciona? ingresa datos de confianza cuando, en realidad, estos son enviados directamente al atacante.

Phishing ¿De dónde

Los mensajes parecen provenir de organizaciones legítimas como PayPal, gobierno o banco. Sin embargo,
en realidad se trata de imitaciones. Los correos electrónicos solicitan amablemente que actualice, valide o
confirme la información de una cuenta, sugiriendo que hay un problema. Entonces se le redirige a una
procede? página web falsa para que facilitar información sobre su cuenta, lo que puede provocar el robo de su
identidad.

¿Cómo Normalmente se recibe mensajes de correo electrónico con enlaces que solicite que revele información
reconocerlo? personal.

No responda a enlaces en correos electrónicos. No abra adjuntos de correos electrónicos.

Proteja sus contraseñas y no las revele a nadie.
Recomen
No proporcione información confidencial a nadie través del correo electrónico.
daciones
Compruebe la URL del sitio (dirección web). En muchos casos de phishing, la dirección web puede parecer
legítima, pero la URL puede estar mal escrita o el dominio puede ser diferente (.com cuando debería ser .com.co)
 Mensaje de texto fraudulento

• Es una técnica fraudulenta en donde los delincuentes usan los mensajes de texto a
celulares para engañar al cliente y obtener información confidencial
¿Qué es?

• El defraudador envía mensajes de texto al celular con una dirección de una página
web fraudulenta o con un número telefónico que aparenta ser de la entidad que
¿Como
funciona?
suplanta.

• Si recibes mensajes de texto en el celular donde informa que ganaste premios o que
¿Cómo se presenta inconvenientes con tu cuenta bancaria y que debes llamar a un número
reconocer telefónico o acceder a un sitio web, PARA!
lo?

• No responde mensajes de texto de personas que no conoce

• No hacer clic en vínculos que aparezcan en su teléfono a menos que conozca a la persona que lo
Recomen envió
daciones • Si recibe un mensaje de texto de un amigo con un vínculo, antes de hacer clic, verifique si fue su
intención enviárselo
 ¿Qué es? ¿Cómo funciona?
Los atacantes pueden
Se define como la iniciar conversaciones con
práctica de obtener los empleados y usar esta
acceso no autorizado a aparente familiaridad para
un área restringida superar los controles de la
(como oficinas o centros recepción.
de datos) mediante el Busca obtener acceso
engaño o descuido de físico al sitio (entrando a
una persona que si una zona restringida,
cuenta con la control de acceso
autorización electrónico P. Ej. por
correspondiente. tarjeta de RFID,
simplemente camina
detrás de una persona que
tenga acceso legítimo,
apoyándose en la cortesía
de la víctima.
Recomendaciones
Asegúrese que solo
usted pasa el control de
seguridad (talanquera o
acceso biométrico) y no
permita que otros
pasen con su mismo
acceso (modalidad tren)
En caso de evidenciar
acceso no autorizado
por favor informe al
área administrativa y a
los guardas de
seguridad para que
tomen las medidas
respectivas.
Contraseñas más comunes

En el mercado En ATH
Mes + año + carácter especial:
1. 12345
Febrero2020*
2. 123456 Enero2020.
3. 123456789 Empresa + números consecutivos + carácter
especial
4. test1
Ath123456*
5. Password S3t1123456.
V1s10n123456!
6. 12345678
Área + año + carácter especial:
7. Zinch
C0mp3ns4c10n2020.
8. g_czechout D3s4rr0ll02020*
9. Asdf Lugar + año + carácter especial
10. Qwerty Bogota2020*
Colombia 2020.
Se siguen cometiendo con las
contraseñas los mismos errores de
siempre. Las mejores contraseñas no
pueden encontrarse en un diccionario
y tienen que contener dos mayúsculas
y minúsculas, dos caracteres
especiales y números. El gran número
de contraseñas que utilizamos
diariamente no nos lo pone fácil, por lo
que poder contar con un gestor de
contraseñas puede ayudarnos a
recordar y a generar unas lo
suficientemente robustas, que
minimicen el riesgo de que nuestras
cuentas puedan ser hackeadas
Y por favor no olvides que debes cerrar las
aplicaciones y en especial el gestor de
contraseña (keepass) una vez finalice su
uso, bloquea tu equipo al ausentarte de tu
puesto de trabajo y lo más importante
“NUNCA compartir tus credenciales”