Desmitificando la Caducidad Obligatoria de Contraseñas: ¿Una Práctica de Seguridad Obsoleta?
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés) publicó un artículo el 13 de marzo de 2025, titulado «Problemas para forzar la caducidad regular de contraseñas». Este artículo plantea una pregunta importante: ¿Es realmente beneficioso obligar a los usuarios a cambiar sus contraseñas con regularidad?
Durante mucho tiempo, la caducidad obligatoria de contraseñas ha sido una práctica común en muchas organizaciones. La idea detrás de esto era que forzar a los usuarios a cambiar sus contraseñas con frecuencia dificultaría a los atacantes el acceso a las cuentas comprometidas. Sin embargo, el NCSC y otros expertos en seguridad ahora están reconsiderando esta práctica.
¿Por qué se está cuestionando la caducidad obligatoria de contraseñas?
El problema principal radica en que la caducidad obligatoria de contraseñas, lejos de mejorar la seguridad, a menudo la disminuye. Esto se debe a varias razones:
- Contraseñas Débiles y Predecibles: Cuando se obliga a los usuarios a cambiar sus contraseñas con frecuencia, tienden a crear contraseñas predecibles y fáciles de recordar. Por ejemplo, podrían simplemente añadir un número al final de su contraseña anterior («Contraseña1!» se convierte en «Contraseña2!»). Esto hace que las contraseñas sean más vulnerables a ataques simples como el craqueo por diccionario.
- Reutilización de Contraseñas: La frustración de recordar muchas contraseñas diferentes lleva a los usuarios a reutilizar la misma contraseña en múltiples sitios web. Si una de estas contraseñas se ve comprometida, un atacante puede acceder a muchas otras cuentas.
- Falsa Sensación de Seguridad: La caducidad obligatoria de contraseñas puede dar a los usuarios una falsa sensación de seguridad. Pueden pensar que están protegidos porque cambian sus contraseñas con regularidad, cuando en realidad sus contraseñas son débiles y predecibles.
- Coste Administrativo: Administrar la caducidad de contraseñas consume tiempo y recursos. Los equipos de soporte técnico a menudo se ven inundados con solicitudes para restablecer contraseñas olvidadas.
¿Qué recomienda el NCSC en lugar de la caducidad obligatoria de contraseñas?
El NCSC propone un enfoque diferente para la seguridad de las contraseñas, que se centra en:
- Contraseñas Fuertes y Únicas: Fomentar la creación de contraseñas largas, aleatorias y únicas para cada cuenta. Esto se puede lograr educando a los usuarios sobre las mejores prácticas de creación de contraseñas y promoviendo el uso de gestores de contraseñas.
- Autenticación Multifactor (MFA): Implementar la autenticación multifactor (también conocida como autenticación de dos factores o 2FA) siempre que sea posible. La MFA añade una capa adicional de seguridad, ya que requiere que los usuarios proporcionen una segunda forma de verificación, como un código enviado a su teléfono, además de su contraseña.
- Monitorización de Amenazas: Monitorizar la red en busca de actividad sospechosa y credenciales comprometidas. Esto permite detectar y responder a los ataques de manera más rápida y efectiva.
- Educación y Concienciación: Educar a los usuarios sobre los riesgos de seguridad en línea y las mejores prácticas para proteger sus cuentas. Esto incluye enseñarles a reconocer correos electrónicos de phishing y evitar sitios web sospechosos.
En resumen:
La caducidad obligatoria de contraseñas, una práctica que durante mucho tiempo se consideró una medida de seguridad esencial, está siendo reconsiderada. En lugar de obligar a los usuarios a cambiar sus contraseñas con frecuencia, es más eficaz fomentar la creación de contraseñas fuertes y únicas, implementar la autenticación multifactor, monitorizar amenazas y educar a los usuarios sobre la seguridad en línea. Al adoptar un enfoque más holístico, las organizaciones pueden mejorar significativamente la seguridad de sus contraseñas y protegerse contra las amenazas cibernéticas.
Los problemas para forzar la cadena de contraseña regular
La IA ha proporcionado la noticia.
La siguiente pregunta se utilizó para obtener la respuesta de Google Gemini:
A las 2025-03-13 11:50, ‘Los problemas para forzar la cadena de contraseña regular’ fue publicado según UK National Cyber Security Centre. Por favor, escribe un artículo detallado con información relacionada de manera fácil de entender.
44