Su seguridad y la de sus datos y servicios es realmente importante para nosotros. La siguiente política tiene como objetivo guiar y establecer un conjunto de recomendaciones y pautas sólidas en: el uso, creación y gestión de contraseñas de sus servicios, con el propósito de proteger de la mejor manera posible sus cuentas y recursos con nosotros.
Uso de contraseñas como medida de seguridad
El uso exclusivo de contraseñas como medida de seguridad es inherentemente inseguro. Las contraseñas pueden ser predecibles si los usuarios optan por combinaciones débiles o utilizan información personal que puede ser obtenida por los atacantes. Además, la reutilización de contraseñas en múltiples cuentas aumenta el riesgo, ya que si una contraseña se ve comprometida, las demás cuentas también pueden estar en peligro. Los ataques de fuerza bruta y los intentos de adivinanza también pueden comprometer contraseñas, especialmente si estas no cumplen con requisitos de longitud y complejidad.
El uso de contraseñas como medida de seguridad es inherentemente inseguro.
Para mitigar estas preocupaciones, recomendamos preferentemente el uso de claves RSA (Rivest-Shamir-Adleman) como una alternativa más segura. Las claves RSA son pares de claves criptográficas que constan de una clave pública y una clave privada. Estas claves permiten la autenticación y el cifrado seguro de la información. Dado que las claves RSA son mucho más largas y complejas que las contraseñas, son extremadamente difíciles de descifrar mediante ataques de fuerza bruta. Además, el proceso de autenticación con claves RSA es más seguro, ya que no se envían contraseñas a través de la red.
Por lo tanto, debemos limitar en lo posible el uso de contraseñas como forma común de autenticación, y cuando éstas sean necesarias, hacer uso de un gestor de contraseñas personal embebido en el navegador y asumir que no van a a ser memorizadas; por lo que podremos utilizar de forma indiscriminada contraseñas técnicamente complejas y generadas de forma aleatoria.
Creación de Contraseñas
Recomendaciones para la creación de contraseñas seguras:
- Longitud: Debe tener al menos 12 caracteres. Cuanto más larga sea, mejor.
- Variedad de Caracteres: Utiliza una combinación de letras mayúsculas, minúsculas, números y caracteres especiales. Si el entorno en el que se vayan a utilizar lo permite, puedes utilizar los caracteres especiales de nuestro teclado, como la eñe (ñ) o la c cedilla (ç) presente en la variedad de teclado catalán.
- Evita Información Personal: Evita usar nombres, fechas de nacimiento, información fácilmente accesible o palabras comunes.
- No a Secuencias y Patrones: Evita secuencias como «123456» o patrones en el teclado como «qwerty», nombre y año, meses, etc.
- Sin Palabras en el Diccionario: No uses palabras que se puedan encontrar en un diccionario.
- Sin Información Pública: Evita detalles personales que se puedan encontrar en redes sociales u otras fuentes públicas.
- Diversidad: Crea contraseñas únicas para diferentes cuentas; no las reutilices. Nunca.
- Actualización Regular: Cambia tus contraseñas periódicamente, al menos cada 90 días.
- Frases Largas: Si has de recordar la contraseña, considera usar frases largas, con sus tildes y signos de puntuación. Suelen ser más fáciles de recordar pero difíciles de adivinar.
Si prefieres utilizar un generador de contraseñas, puedes utilizar GetRandom.pw nuestro servicio web de generación de contraseñas seguras. Genera combinaciones aleatorias mediante javascript en tu navegador. La configuración por defecto es de 25 caracteres.
Cambio y Actualización
- Cambie sus contraseñas regularmente. La recomendación general es cada 90 días (tres meses).
- No reutilice contraseñas ya utilizadas anteriormente en diferentes servicios.
- Si se sospecha una posible violación de seguridad, cambie inmediatamente sus contraseñas y comuníquelo a nuestro personal de soporte.
Protección de Contraseñas
- Mantenga sus contraseñas confidenciales y no las comparta con terceros. Mantenemos una política de usuario único. Por lo que asociaremos toda petición realizada por un usuario a la persona física a la que ha sido expedida.
Si necesita dar acceso a otras personas de su organización o terceros como colaboradores o contratistas, puede añadirlos como personas autorizadas desde su área de cliente o solicitándolo directamente a soporte. - Precaución frente al Phishing. Occentus Network nunca solicitará información confidencial, contraseñas o detalles financieros a través de correos electrónicos no solicitados u otras formas de comunicación. Si has recibido alguna comunicación genérica no solicitada, que te resulte sospechosa; ya sea mediante SMS; correo electrónico, o incluso mediante una llamada telefónica, independientemente del remitente aparente, evita descargar ningún adjunto o seguir cualquier enlace facilitado, y accede o valida siempre por tus propios medios: Iniciando tú la llamada a nuestro centro de soporte 24/7 o empleando las herramientas autorizadas de soporte y comunicación desde Marvin, tu área de cliente.
Dada la proliferación y sofisticación de las tecnologías de suplantación como el Deepfake, recomendamos extremar las precauciones y desconfiar incluso de mensajes de video o voz. - Evite almacenar o utilizar contraseñas en dispositivos no seguros, públicos o que utilicen redes inseguras como conexiones a internet públicas o que no controlemos directamente. En estos casos recomendamos establecer un túnel VPN hasta una salida a internet segura. Si no dispones de ninguna, y cuentas con servicios de infraestructura gestionada, puedes solicitarnos el despliegue de una VPN Wireguard.
- Utilice soluciones de administración de contraseñas confiables si necesita gestionar varias contraseñas.
- Utilice nuestra herramienta Password Manager, disponible desde su área de cliente para compartir o intercambiar contraseñas con nuestro personal.
Autenticación de Doble Factor (2FA)
Utilice la autenticación de doble factor siempre que sea posible para añadir una capa adicional de seguridad a sus cuentas. El uso del doble factor de autenticación es obligatorio en todas las herramientas puestas a disposición por Occentus Network mediante web, como por ejemplo el uso del 2FA en Marvin, nuestra área de cliente.
Cuando se activa la autenticación de doble factor utilizando una aplicación OTP, se requiere que el usuario ingrese tanto su contraseña principal como el código temporal generado por la aplicación. Esto agrega una capa adicional de seguridad, ya que incluso si alguien obtiene su contraseña, no podrá acceder a la cuenta sin el código temporal correcto. Algunas aplicaciones populares de OTP incluyen Google Authenticator, Authy, Microsoft Authenticator y Duo Mobile. Estas aplicaciones son ampliamente utilizadas para proteger cuentas de correo electrónico, redes sociales, servicios bancarios en línea y otros servicios que contienen información sensible.
- Puede descargar Google Authenticator para dispositivos Android en enlace de Google Play y para dispositivos iOS en enlace de App Store.
Supervisión de Actividad
- Revise regularmente la actividad en sus cuentas y servicios para identificar actividades sospechosas o no autorizadas.
Notifíquenos cualquier actividad inusual o intento de acceso no autorizado del que tenga conocimiento - Mantenga puntualmente actualizada la relación de personas autorizadas, pues serán en última instancia los contactos que emplearemos para validar cualquier petición de servicio
Actualización y Cumplimiento
Mantendremos esta política actualizada según las mejores prácticas y evoluciones en seguridad.
Al utilizar nuestros servicios, acepta seguir las indicaciones recogidas en esta política de contraseñas.
La seguridad de su información es fundamental para nosotros. Siguiendo estas prácticas, puede fortalecer la protección de sus cuentas y datos en nuestros servicios. Recuerde que una contraseña sólida es la primera línea de defensa contra amenazas cibernéticas. Siempre estamos aquí para ayudar y asesorar en materia de seguridad.
