Uso de PasswordIQ

Compartir

¿Le resulta útil este artículo?

Última actualización:

Manual de producto de PasswordIQ

PasswordIQ de KnowBe4, disponible en suscripciones Diamante y SAT Advanced, le permite supervisar las vulnerabilidades existentes en las contraseñas de las personas usuarias. El cliente de PasswordIQ analiza los ajustes relacionados con las contraseñas de Active Directory (AD) en busca de vulnerabilidades y coteja las de los usuarios con contraseñas débiles y descifradas que figuran en distintas listas y bases de datos. Tras esto, el cliente se comunica con KSAT de forma que los resultados del análisis se muestren en su panel de control.

Para habilitar PasswordIQ, diríjase a Integraciones de la cuentaPasswordIQ en Configuración de la cuenta. A continuación, marque la casilla Habilitar PasswordIQ.

Nota:Para usar PasswordIQ, deberá contar con la versión local de AD. PasswordIQ no es compatible con Microsoft Entra ID.

Consulte las siguientes subsecciones para aprender a instalar el cliente, a ejecutar análisis y a consultar los resultados.

Importante:PasswordIQ nunca mostrará las contraseñas de sus usuarios ni le dará información sobre ellas. En AD, todas las contraseñas se cifran y se almacenan en formato con hash, de forma que ni PasswordIQ ni KnowBe4 puedan acceder a las versiones sin hash de las contraseñas.

Requisitos

Para instalar el cliente de PasswordIQ, necesitará cumplir los requisitos que se enumeran a continuación:

Importante: Le recomendamos que instale el cliente en un equipo distinto al que usa como controlador de dominio. Puede que el proceso de análisis genere un tráfico de red elevado y requiera un uso elevado de la CPU (unidad central de procesamiento). Para obtener mejores resultados, instale el cliente en una máquina virtual o servidor que pueda ejecutar de manera ininterrumpida.
  • Debe tener acceso a un equipo que cumpla estos requisitos:
    • El sistema operativo del equipo debe ser Windows 10 o posterior, de 32 o 64 bits, o Windows Server 2016 o posterior.

    • El equipo debe usar la versión 4.7.2 o posterior de .NET Framework.

      Nota: Si el equipo no tiene este marco, el asistente de instalación instalará la versión 4.7.2.
    • El equipo cuenta al menos con 4 GB de RAM.
    • La unidad de sistema del equipo cuenta al menos con un 1 GB de espacio disponible en el disco duro (HDD).
    • El control de cuentas de usuario (UAC) se ha habilitado en la configuración de UAC del equipo.

  • Tiene acceso a un AD local que se ejecuta en Windows Server 2008 R2 o una versión posterior.

    Nota: Si cuenta con varios dominios de AD, deberá instalar una instancia distinta del cliente para cada dominio.
  • Debe tener acceso a un administrador de dominio de AD o a una cuenta de AD que pueda elevarse a la categoría de administrador. Esta cuenta debe contar con los permisos Replicando cambios de directorio y Replicando todos los cambios de directorio. Para obtener más información, consulte el artículo de Microsoft Permiso «Replicar cambios de directorio».
  • Debe ser un administrador de KSAT o tener un rol de seguridad con acceso de lectura/escritura para acceder a PasswordIQ.

Vulnerabilidades

El cliente de PasswordIQ analiza cada usuario en busca de 11 vulnerabilidades e informa a KSAT de las vulnerabilidades encontradas. Asimismo, nuestro informe de la puntuación de riesgo usa estas vulnerabilidades como factores de riesgo a la hora de calcular su puntuación de riesgo. Para obtener más información, consulte nuestra Guía sobre SmartRisk™ Engine y puntuación de riesgo

Para obtener más información sobre estas vulnerabilidades, consulte la siguiente tabla:

Vulnerabilidad Descripción Nivel de gravedad de puntuación de riesgo
Contraseña débil La contraseña coincide con una que figura en una de nuestras listas de contraseñas débiles, por lo que es habitual o fácil de adivinar. Hay más probabilidades de que un ciberdelincuente la acierte y acceda a la cuenta del usuario. Medio
Contraseña compartida Esta contraseña coincide al menos con una contraseña de otro usuario de su AD. Es probable que sea habitual o sencilla, por lo que a un ciberdelincuente le resultaría más fácil acceder a la cuenta del usuario. Medio
Contraseña no cifrada La contraseña está almacenada en su AD con un cifrado reversible. Esta puede descifrarse, por lo que a un ciberdelincuente le resultaría más fácil acceder a la cuenta del usuario. Elevado
Contraseña vacía La contraseña no contiene ningún carácter, por lo que el usuario inicia sesión en la cuenta dejando el campo de contraseña en blanco. Cualquier persona puede acceder a la cuenta del usuario, incluidos los ciberdelincuentes. Elevado
Cifrado solo para DES La cuenta usa el estándar de cifrado de datos (DES) para cifrar la contraseña del usuario. DES es un método de cifrado obsoleto, ya que solo cifra las contraseñas con una clave de 56 bits. Por su parte, los nuevos métodos de cifrado emplean claves más largas que son más seguras. Hay más probabilidades de que un ciberdelincuente la acierte y acceda a la cuenta del usuario. Medio
Contraseña descifrada La contraseña aparece en una violación de seguridad de datos conectada a su cuenta de AD. El usuario emplea de forma activa una contraseña accesible para los ciberdelincuentes. Elevado
Contraseña no obligatoria La cuenta no exige que el usuario introduzca una contraseña cuando inicie sesión. Cualquier persona puede iniciar sesión en la cuenta, incluidos los ciberdelincuentes. Elevado
Contraseña que no caduca nunca La cuenta tiene una contraseña sin una caducidad establecida. Por este motivo, aunque la casilla Contraseña que no caduca nunca no esté marcada en las propiedades del usuario, su contraseña no caducará nunca. PasswordIQ comprobará la configuración de caducidad de la contraseña en las políticas de dominio de la organización, las políticas de contraseñas con personalización avanzada y las propiedades del usuario. Es más probable que los ciberdelincuentes adivinen las contraseñas que no se cambian con regularidad. Medio
Contraseña de hash LM La cuenta usa un hash de LAN Manager (LM). Un hash de LM convierte la contraseña a una versión en mayúsculas y la reduce a 14 caracteres divididos en dos grupos de siete respectivamente. Este proceso debilita la contraseña, por lo que es más probable que los ciberdelincuentes la descifren. Medio
Cifrado AES La cuenta no usa el estándar de cifrado avanzado (AES) para cifrar la contraseña del usuario. Este método cifra las contraseñas con una clave de 128 o 256 bits. Las contraseñas que usan el cifrado AES son menos vulnerables ante ataques. Medio
Falta la autenticación previa La cuenta no exige una autenticación previa, por lo que puede quedar desprotegida ante ataques de averiguación de contraseñas. La autenticación previa vincula una marca de tiempo a la solicitud de inicio de sesión mediante una clave basada en la contraseña del usuario. Este proceso supone una protección ante los ataques de averiguación de contraseñas, ya que registra cada intento de inicio de sesión. Medio

Para obtener más información sobre cómo resolver estas vulnerabilidades, consulte la sección Resolución de sus vulnerabilidades a continuación.

Copia del token de API

Para conectar el cliente de PasswordIQ a la consola KSAT, necesitará su token de API del producto.

Para crear y copiar su token de API, siga estos pasos:

  1. Inicie sesión en su cuenta de KSAT.
  2. Diríjase a la pestaña PasswordIQ.
  3. Haga clic en Configuración de cliente de PasswordIQ.
  4. En el campo Nombre del token, escriba un nombre para el token.
  5. Seleccione la fecha de caducidad del token.
  6. Seleccione un usuario.
  7. Haga clic en Crear token.

  8. En la ventana emergente del token de API del producto que aparece, haga clic en el token de API de PasswordIQ para copiarlo. Necesitará este token para completar esta configuración en la sección Instalación del cliente que aparece a continuación.

    Importante: Cuando cierre esta ventana, no podrá volver a ver ese token.

  9. Haga clic en Aceptar.

Instalación del cliente

Antes de instalar el cliente de PasswordIQ, compruebe que su equipo cumple con los requisitos establecidos en la sección Requisitos anterior. Luego, deberá copiar el token de API siguiendo las instrucciones indicadas en la sección anterior Copia del token de API.

Para instalar el cliente, siga estos pasos:

  1. Inicie sesión en su cuenta de KSAT.
  2. Diríjase a la pestaña PasswordIQ.

  3. En el paso 2 de las instrucciones de Le damos la bienvenida a PasswordIQ, haga clic en el enlace Cliente de PasswordIQ.

    Descarga del cliente

  4. Haga clic en el botón  en la ventana emergente.

    PNG de la ventana emergente

  5. Haga clic en el botón Next (Siguiente).
  6. Después de leer el acuerdo de licencia de software, haga clic en el botón Accept (Aceptar) para aceptar los términos y condiciones.

  7. Si su equipo utiliza un servidor proxy para acceder a Internet, marque la casilla Use a Proxy Server (Usar un servidor proxy) y rellene los campos. Para obtener más información, consulte la captura de pantalla y la lista que se muestran a continuación. Si su equipo no emplea un servidor proxy para acceder a Internet, omita este paso.

    Información del servidor proxy

    1. IP Address or Name (Dirección IP o nombre): introduzca la dirección IP o el nombre del servidor proxy. Puede encontrar esta información en la configuración del servidor proxy de su equipo. Esto se encuentra en Network & Internet (Red e Internet) > Proxy (Proxy).
    2. Port Number (Número de puerto): introduzca el número de puerto del servidor proxy. Puede encontrar esta información en la configuración del servidor proxy de su equipo. Esto se encuentra en Network & Internet (Red e Internet) > Proxy (Proxy).
  8. Haga clic en el botón Next (Siguiente).

  9. En el campo Token de la interfaz de programación de aplicaciones (API), pegue el token de API que copió en la sección anterior Copia del token de API.

    Pantalla Token de API

  10. Haga clic en el botón Next (Siguiente).

  11. En los campos Username (Nombre de usuario) y Password (Contraseña), introduzca las credenciales de inicio de sesión de una cuenta de servicio de AD que disponga de los permisos necesarios. El cliente utilizará esta cuenta de servicio para ejecutar todos los análisis programados.

    Nota: Si la cuenta no tiene asignado el permiso Log on as a service (Iniciar sesión como servicio), el cliente le dará permiso a la cuenta de forma automática.

  12. Haga clic en el botón Next (Siguiente) para completar la instalación.

Ejecución de análisis

Una vez instalado el cliente de PasswordIQ, podrá comenzar a analizar su AD en busca de vulnerabilidades. Deberá ejecutar su primer análisis desde su cliente. Tras el primer análisis, podrá ejecutar análisis y crear una programación de análisis desde el panel de control. Para obtener más información, consulte la sección Ejecución de análisis de nuestro artículo Cómo utilizar el panel de control de PasswordIQ.

Nota: Para proteger la información relacionada con su contraseña, los datos que recopila PasswordIQ durante los análisis nunca se almacenan de forma permanente en el disco duro de su equipo. Estos datos solo se almacenan temporalmente en la memoria de acceso aleatorio (RAM).

Para ejecutar su primer análisis, siga estos pasos:

  1. Abra el cliente de PasswordIQ.

  2. En la sección Quick Scan (Análisis rápido), haga clic en el botón Scan Now (Analizar ahora).

    Nota: PIQ dispone de ajustes adicionales a los que podrá acceder haciendo clic en el icono del engranaje en la esquina superior derecha de la ventana. En la configuración avanzada, puede decidir incluir dos vulnerabilidades opcionales en su análisis: Cifrado AES sin establecer o Contraseña que no caduca nunca.

    Botón Analizar ahora

  3. Una vez que el análisis se complete, haga clic en el botón Ver panel de control para ver los resultados del análisis en KSAT.

    Botón Ver panel de control

Settings (Configuración)

En su cliente de PasswordIQ, puede personalizar su configuración haciendo clic en el icono de configuración en la esquina superior derecha del cliente. En el cuadro de diálogo que aparece, verá dos pestañas: General (General) y Advanced (Avanzado). Consulte las siguientes subsecciones para obtener más información sobre estas pestañas.

General

En la pestaña General (General), puede editar dos secciones: API Token (Token de API) y Proxy Server (Servidor Proxy). Estas secciones incluyen la configuración que define cuando inicia el cliente PIQ por primera vez.

En el campo API Token (Token de API), puede cambiar el token de API que introdujo de su consola KSAT. Para guardar los cambios, haga clic en Validate API Token (Validar token de API).

En el campo Proxy Server (Servidor proxy), puede cambiar el servidor proxy que su ordenador utiliza para conectarse a Internet. Seleccione la casilla Use a Proxy Server (Utilizar un servidor proxy) si está desactivada, e introduzca el nombre o la dirección IP que desea utilizar. En el campo Port Number (Número de puerto), introduzca el número de puerto de su servidor proxy. Para guardar los cambios, haga clic en Validate Proxy Settings (Validar configuración proxy).

Avanzado

En la pestaña Advanced (Avanzado), puede editar dos secciones: Custom Domain Controller (Controlador de dominio personalizado) y Custom Organizational Units (Unidades de organización personalizadas). En la sección Custom Domain Controller (Controlador de dominio personalizado), puede elegir cualquier controlador de dominio que quiera que PasswordIQ analice introduciendo la dirección IP o el nombre del equipo en el campo Custom Domain Controller (Controlador de dominio personalizado).

En la sección Custom Organizational Units (Unidades de organización personalizadas), puede seleccionar una o más unidades de organización para que PasswordIQ las analice desde el menú desplegable.

Consulta de los resultados

Como solo puede ver determinados resultados del cliente de PasswordIQ, le recomendamos que utilice su cuenta de KSAT para consultar y analizar los resultados. Para ir al panel de control, diríjase a la pestaña PasswordIQ en su consola KSAT.

Para consultar los resultados del análisis, puede usar el panel de control predeterminado o crear paneles de control personalizados. Para obtener más información, consulte el artículo Cómo utilizar el panel de control de PasswordIQ.

Uso de grupos inteligentes para los usuarios detectados

Puede usar los grupos inteligentes para inscribir a los usuarios que se detectaron como vulnerables en campañas de formación o phishing. Para ejemplo, puede usar los criterios del Evento de PasswordIQ para inscribir a los usuarios con contraseñas débiles en el módulo de formación Creación de contraseñas seguras - Formación sobre concienciación en materia de seguridad.

Para obtener más información acerca de los grupos inteligentes, consulte el artículo Resumen de los grupos inteligentes.

Resolución de sus vulnerabilidades

Tras consultar los resultados, puede trabajar junto con los usuarios para resolver las vulnerabilidades de sus contraseñas. Para obtener más información, consulte nuestro artículo Cómo resolver las vulnerabilidades de su contraseña.

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 21 de 21

¿No encuentra lo que busca?

Hablar con asistencia técnica