A menudo, cuando hablo con administradores e incluso con directores de tecnologías de información, escucho los mismos motivos por los que no se cambian las contraseñas de estas cuentas:
· Tenemos miles de sistemas y no disponemos de tiempo suficiente ni mano de obra para cambiar esas cuentas
· No tenemos el presupuesto necesario
· Hemos deshabilitado completamente nuestras cuentas de administrador
· Nuestros sistemas aún no están en peligro, así que no creemos que sea un problema.
· Los auditores se dieron cuenta.
· s miles de sistemas y no
· Los auditores se dieron cuenta.
Aunque me identifico con los dos primeros motivos, éstos no son excusas válidas. Me dan escalofríos de tan solo pensar que puede haber compañías que tengan información mía almacenada y que no aborden este problema por la razón que sea.
Si bien es cierto que no todos los sistemas de red almacenan información confidencial, los usuarios de estos equipos podrían tener acceso a información confidencial, como el número de la seguridad social, historiales médicos o datos financieros. Como administrador del sistema, un usuario puede instalar registradores de pulsaciones de teclas y utilidades de captura de pantalla, detener la aplicación de directivas de grupo, introducir correcciones de compatibilidad (shim) en distintos subsistemas para capturar y transmitir datos, etc. Y cuando el usuario hace esto a nivel del equipo individual, se hace mucho más difícil identificar a ese usuario malintencionado porque se llama Administrador.
¿Sabía que después de deshabilitar la cuenta predefinida Administrador en Windows se puede seguir iniciando sesión con esa cuenta? Pruebe a hacer lo siguiente: reinicie su sistema en modo seguro e inicie sesión con la cuenta predefinida Administrador. Es posible que le permita usar la contraseña emitida para la cuenta desde la imagen original e iniciar sesión correctamente. Para obtener más información sobre este comportamiento, consulte el artículo de Microsoft® Knowledge Base "Cómo obtener acceso al equipo después de deshabilitar la cuenta de administrador.
Ahora, quizás implementa los sistemas mediante scripts o imágenes de instalación. Además, probablemente todas las estaciones de trabajo o los servidores tienen el mismo nombre de cuenta de administrador y la misma contraseña de ocho caracteres, y lo más probable es que no se haya cambiado desde que los sistemas se implementaron originalmente. Por este motivo, uso el término en singular "contraseña" en contraposición con "contraseñas".
Tal vez un administrador se vea obligado a cambiar estas contraseñas para seguir recomendaciones o para cumplir disposiciones legales tales como las que exigen Sarbanes-Oxley (SOX), el Payment Card Industry (PCI) o la Ley de transferencia y responsabilidad de seguros de salud (HIPAA). A veces un administrador se siente motivado cuando un antiguo administrador o técnico con conocimiento de estas contraseñas abandona la compañía, por el temor a que se publique alguna infracción de seguridad o se pierda la capacidad de procesar tarjetas de crédito. A pesar de estos factores, en realidad todo se reduce a que el administrador tiene que cambiar esas contraseñas sencillamente por la propia seguridad de la compañía y de los datos que la compañía necesita proteger.
Hay una serie de factores que deben entenderse cuando se trabaja con estas cuentas y sus contraseñas.
1. Las contraseñas, cuanto más antiguas, menos seguras. Esto es una afirmación engañosa. Lo que en realidad significa es que dada la voluntad de forzar un equipo, todo lo que se necesita es tiempo
2. Como regla general, las contraseñas más largas son más difíciles de descifrar.
3. El modo en que se autentican los equipos no cambia simplemente porque pertenezcan a un dominio. En cada dominio reside el centro de un grupo de trabajo.
Si alguien me pregunta, "¿cuánto tiempo lleva descifrar una contraseña?" Generalmente digo que no hay una respuesta definitiva y, en su lugar, pido que se me ofrezcan algunas pistas que ayuden a determinar la respuesta para un sistema dado:
* ¿Cuántas personas conocen la contraseña?
* ¿Todas esas personas todavía trabajan para la compañía?
* Si algunas de las personas que conocen la contraseña de la cuenta ya no trabajan para la compañía, ¿dejaron el trabajo en buenos términos?
* ¿Se deniega el acceso para iniciarse desde disquete, unidades de CD, unidades de DVD o desde la red?
* ¿Los usuarios de los equipos son también administradores locales?
* ¿Todos los sistemas usan exactamente la misma contraseña para sus cuentas con privilegios?
Comenzando por el principio de esta lista, se puede decir que cuantas más personas conozcan un secreto, mayor probabilidades habrá de que el secreto se vuelva de dominio público. Recuerdo que en algunas compañías donde trabajé los administradores creían que era más práctico establecer un mismo valor para la contraseña compartida y revelar las contraseñas al personal de TI y a los internos que escribir las contraseñas para ellos cuando fuera necesario. Por supuesto, con el transcurso del tiempo, la compañía comenzó a encontrar equipos con diversas configuraciones no autorizadas y usuarios de red habituales que podían iniciar sesión con estas cuentas.
Si todas esas personas que conocen las contraseñas siguen trabajando para la compañía o bien son empleados felices y cumplidos, este riesgo de acceso se atenúa un poco. Pero nunca se sabe cuándo habrá que enfrentarse a un usuario malintencionado. Si alguno de esos usuarios dejó la compañía en malos términos, tendrá un elemento libre y hostil que conoce cómo forzar su red mediante una cuenta imposible de rastrear.
Si no deniega el acceso para iniciar el sistema desde ningún otro dispositivo que no sea el disco duro, también permitirá que los usuarios arranquen el sistema mediante imágenes no autorizadas, tales como Windows PE o diversos sistemas Linux que pueden leer directamente del sistema de archivos del equipo y obtener acceso al almacenamiento protegido del equipo. (Cabe resaltar que muchas de las infracciones no ocurren a causa de factores internos. Incluso si todos los empleados e internos todavía trabajan para la compañía, de ninguna manera esto es una garantía de que las contraseñas y los sistemas sean seguros.)
Conozco muchas personas que han seguido iniciando sesión en la red de un empleador anterior, por la sencilla razón de que podían hacerlo. No es gracioso que simplemente pongan de manifiesto la mala costumbre de no cambiar las contraseñas del sistema, sino que además es aterrador considerar el daño que podrían hacer si tuvieran malas intenciones.
Son muchos los proveedores que llevan años tratando de solucionar este problema, y a estos se les han unido otros recientemente. Asegúrese de investigar bien y probar las herramientas nuevas antes de decidirse por una solución, para así garantizar que el producto por el que opta sea el más adecuado para su entorno
