La elección de claves robustas, distintas a las que vienen por defecto en los equipos de seguridad, resulta fundamental para garantizar tanto la seguridad de los sistemas como la privacidad.
A nivel usuario, manejamos cada vez más contraseñas, vinculadas a teléfonos móviles, redes wifi, cuentas de correo electrónico, redes sociales, y servicios en la nube. Hace unas semanas, coincidiendo con el día internacional del password, el diario ABC publicaba un artículo en el que advertía de la escasa importancia que la mayoría de los usuarios otorga a sus contraseñas. El artículo ponía de manifiesto cifras preocupantes: según se desprende de un estudio de Deloitte, el 90% de las contraseñas son tan simples como para ser hackeadas en segundos, y según datos del Eurobarómetro de ciberseguridad realizado por la Comisión Europea y publicado en febrero de 2015, el 9% de los españoles ha sufrido el pirateo de su cuenta. Pero el problema es aún peor, ya que el 62% de los españoles asegura no estar bien informado ante los riesgos de ciberincidentes, por lo que no son conscientes de la importancia de tener una contraseña segura.
Si resulta importante tener precauciones en el manejo de claves a nivel particular, resulta especialmente crítico cuando las claves son empleadas por profesionales para proteger el acceso a dispositivos electrónicos de seguridad, y más aún cuando los equipos están conectados a Internet.
Un error frecuente consiste en la utilización de las claves por defecto con las que los equipos vienen de fábrica. Si no tenemos la precaución de cambiar la contraseña, será extremadamente sencillo para un intruso con conocimientos básicos acceder al sistema con la clave por defecto y dejar sin efecto los sistemas de seguridad. Peor aún, si el dispositivo está conectado a Internet, corre el riesgo de ser víctima de un ataque, ya que los algoritmos empleados por los hackers son capaces de determinar de qué tipo de dispositivo se trata, y de intentar acceder a él con las claves por defecto de los distintos fabricantes. Emplear la clave por defecto de los equipos de seguridad compromete no sólo la propia seguridad del sistema, sino también, en el caso de equipos de CCTV, la privacidad de los usuarios.
En los sistemas de alarma resulta habitual notificar como fallo la utilización de las claves por defecto, obligando de este modo al instalador a cambiar la clave. En los sistemas de CCTV, sin embargo, no es tan habitual, por lo que la seguridad del sistema depende, no sólo de las características del equipo, sino del criterio del instalador a la hora de cambiar la clave de acceso.
Recientemente Hikvision ha modificado su política de seguridad con respecto al uso de contraseñas en los equipos, de modo que al utilizar el equipo por primera vez el instalador debe establecer una contraseña diferente a la que viene por defecto. Además, el propio equipo verifica el grado de robustez de la contraseña, obligando a emplear entre 8 y 16 caracteres, y a combinar el uso de letras con números o símbolos. Como medidas de seguridad adicionales, además, en el caso de introducirse una contraseña errónea varias veces seguidas, los equipos quedan bloqueados durante 30 minutos. En la nota técnica correspondiente describimos en mayor detalle los cambios introducidos en los equipos Hikvision.
En general, independientemente de las políticas de los fabricantes, recomendamos no dejar nunca la clave que viene por defecto, y tomar las precauciones siguientes para asegurar que la clave es suficientemente robusta:
- La contraseña debe ser diferente de la que viene por defecto de fábrica.
- Debe combinar letras mayúsculas y minúsculas, números, y, en la medida de lo posible, símbolos.
- Debe tener una longitud mínima de 8 caracteres. Cuanto más larga, más segura resultará.
Los errores más frecuentes, que deben evitarse a la hora de definir una contraseña, son los siguientes:
- Debe evitarse la utilización de palabras comunes, ya que los software empleados por los hackers emplean diccionarios de palabras comunes para intentar acceder a los equipos. Algunas de las contraseñas más frecuentemente hackeadas son, por ejemplo, password, iloveyou, welcome, ninja, letmein, master, o monkey.
- Debe evitarse la utilización de datos relacionados con la instalación o el usuario, fácilmente deducibles (como una fecha de cumpleaños, nombre de empresa, o dirección).
- Debe evitarse repetir en la contraseña el nombre de usuario o una clave derivada de éste.
- Deben evitarse las sucesiones de letras, de números, o de letras adyacentes en el teclado.
Siguiendo estos sencillos consejos, los dispositivos estarán mucho más protegidos frente a posibles ataques, elevando de este modo la seguridad de las instalaciones.