¡Por supuesto! Aquí tienes un artículo detallado basado en el blog del NCSC del Reino Unido sobre los problemas de forzar el cambio regular de contraseñas, escrito de forma clara y accesible:
¿Cambiar tu contraseña cada pocos meses te hace más seguro? No necesariamente: El NCSC explica por qué
Durante mucho tiempo, se ha creído que obligar a las personas a cambiar sus contraseñas cada cierto tiempo (cada 30, 60 o 90 días, por ejemplo) es una buena práctica de seguridad. La idea era que, si una contraseña se veía comprometida, cambiarla regularmente limitaría el tiempo que un atacante podría usarla. Sin embargo, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés), una autoridad en seguridad cibernética, ha publicado información importante que pone en duda esta práctica tradicional. La conclusión principal es que forzar cambios regulares de contraseña puede, en realidad, ser contraproducente.
¿Por qué se pensaba que era una buena idea?
Tradicionalmente, cambiar las contraseñas con frecuencia se veía como una medida preventiva para:
- Limitar el tiempo de exposición: Si un atacante obtenía tu contraseña, cambiarla rápidamente lo dejaría fuera del sistema.
- Combatir la reutilización de contraseñas: Forzar el cambio regular podía evitar que la gente usara la misma contraseña en múltiples sitios web, lo cual es un gran riesgo.
- Cumplimiento normativo: En algunos casos, las regulaciones de seguridad requerían cambios de contraseña periódicos.
¿Por qué el NCSC dice que puede ser contraproducente?
El NCSC argumenta que forzar cambios regulares de contraseña puede llevar a varios problemas:
-
Contraseñas predecibles y débiles: Para recordar la nueva contraseña cada vez, las personas tienden a crear contraseñas que son variaciones simples de la anterior (ej: «Contraseña1!», luego «Contraseña2!», luego «Contraseña3!»). Esto hace que sean mucho más fáciles de adivinar o descifrar para los atacantes. En lugar de tener una contraseña aleatoria y fuerte que se usa por un tiempo prolongado, terminamos con una secuencia de contraseñas débiles.
-
Aumento de la reutilización de contraseñas: Aunque parezca contradictorio, forzar cambios de contraseña puede hacer que las personas reutilicen la misma contraseña en varios sitios. ¿Por qué? Porque les resulta difícil recordar múltiples contraseñas que cambian constantemente. Es más fácil usar la misma contraseña «nueva» que ya conocen en todos lados.
-
Efecto «falsa sensación de seguridad»: Las organizaciones y los usuarios pueden creer que están más seguros simplemente porque están cambiando las contraseñas con frecuencia, lo que los lleva a descuidar otras medidas de seguridad más importantes, como la autenticación de dos factores o la vigilancia ante el phishing.
-
Mayor carga para el departamento de TI: Gestionar los reseteos de contraseñas constantes y los problemas de acceso consume mucho tiempo y recursos del departamento de TI, tiempo que podría dedicarse a mejorar la seguridad de otras maneras.
Entonces, ¿qué recomienda el NCSC?
En lugar de forzar cambios regulares de contraseña, el NCSC recomienda un enfoque diferente y más efectivo:
- Fomentar contraseñas fuertes y únicas: Promover el uso de contraseñas largas, complejas y aleatorias. Se puede usar un administrador de contraseñas para generar y almacenar contraseñas seguras para cada sitio web o servicio.
- Implementar autenticación de dos factores (2FA): La 2FA añade una capa adicional de seguridad al requerir un segundo factor de autenticación (como un código enviado a tu teléfono) además de la contraseña. Incluso si alguien roba tu contraseña, no podrá acceder a tu cuenta sin el segundo factor.
- Monitorizar las cuentas en busca de actividad sospechosa: Detectar inicios de sesión inusuales, cambios en la configuración de la cuenta o cualquier otra actividad que pueda indicar que una cuenta ha sido comprometida.
- Educar a los usuarios sobre seguridad: Enseñar a los usuarios a reconocer correos electrónicos de phishing, a protegerse contra el malware y a identificar otras amenazas cibernéticas.
- Solo requerir el cambio de contraseña si hay evidencia de que una cuenta ha sido comprometida: Por ejemplo, si hay una brecha de seguridad en un sitio web donde tienes una cuenta, o si detectas actividad sospechosa en tu cuenta.
En resumen:
La idea de forzar cambios regulares de contraseña suena bien en teoría, pero en la práctica puede llevar a contraseñas más débiles y a una falsa sensación de seguridad. En lugar de seguir esta práctica obsoleta, es mejor centrarse en crear contraseñas fuertes y únicas, usar la autenticación de dos factores y estar atentos a las posibles amenazas. Al final, una defensa cibernética efectiva es aquella que se adapta a las nuevas realidades y prioriza las medidas que realmente marcan la diferencia.
Los problemas para forzar la cadena de contraseña regular
La IA ha proporcionado la noticia.
La siguiente pregunta se utilizó para obtener la respuesta de Google Gemini:
A las 2025-03-13 11:50, ‘Los problemas para forzar la cadena de contraseña regular’ fue publicado según UK National Cyber Security Centre. Por favor, escribe un artículo detallado con información relacionada de manera fácil de entender.
84