¿Por qué el Reino Unido dice que cambiar la contraseña cada cierto tiempo es una mala idea?
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés) ha publicado un artículo muy interesante titulado «Problemas para forzar la cadena de contraseña regular». En este artículo, argumentan, de forma clara y contundente, que obligar a los usuarios a cambiar sus contraseñas cada cierto tiempo puede ser más perjudicial que beneficioso para la seguridad.
¿Por qué dicen esto? La idea tradicional es que cambiar la contraseña regularmente reduce el riesgo de que una contraseña comprometida sea utilizada por un atacante durante mucho tiempo. Sin embargo, el NCSC argumenta que esta práctica tiene consecuencias negativas que superan los beneficios:
1. Contraseñas más débiles y predecibles:
- Fatiga de contraseñas: Obligar a los usuarios a cambiar sus contraseñas con frecuencia lleva a la «fatiga de contraseñas». Cuando tienen que recordar y cambiar contraseñas constantemente, tienden a elegir contraseñas más fáciles de recordar, como variaciones de la anterior (por ejemplo, cambiar «MiPerro123» a «MiPerro124»). Esto las hace más predecibles y fáciles de adivinar para los atacantes.
- Reutilización de contraseñas: Para facilitar la vida, muchos usuarios reutilizan contraseñas en diferentes sitios web y servicios. Si una de estas contraseñas se ve comprometida, el atacante puede acceder a múltiples cuentas del usuario.
2. Mayor riesgo de ser víctima de phishing:
- Mayor vulnerabilidad: Cuando los usuarios están acostumbrados a cambiar sus contraseñas constantemente, se vuelven más susceptibles al phishing. Un correo electrónico falso que les pida cambiar su contraseña puede parecer más legítimo, lo que aumenta la probabilidad de que caigan en la trampa y revelen sus credenciales a un atacante.
3. Desperdicio de recursos y menor productividad:
- Gastos innecesarios: Obligar a los usuarios a cambiar sus contraseñas con frecuencia genera una gran cantidad de solicitudes de restablecimiento de contraseñas olvidadas. Esto requiere recursos para el soporte técnico y reduce la productividad de los usuarios.
- Tiempo perdido: Los usuarios pierden tiempo valioso recordando y cambiando contraseñas, lo que disminuye su eficiencia en el trabajo.
¿Qué recomienda el NCSC en su lugar?
En lugar de forzar cambios regulares de contraseñas, el NCSC recomienda un enfoque diferente y más efectivo:
- Fomentar el uso de contraseñas fuertes y únicas: Educar a los usuarios sobre cómo crear contraseñas fuertes y únicas, y usar un gestor de contraseñas para almacenarlas de forma segura. Una contraseña larga, aleatoria y difícil de adivinar es mucho más efectiva que una contraseña compleja que se cambia con frecuencia.
- Implementar autenticación de dos factores (2FA): La autenticación de dos factores añade una capa extra de seguridad. Incluso si un atacante logra obtener la contraseña de un usuario, no podrá acceder a la cuenta sin el segundo factor de autenticación (por ejemplo, un código enviado al teléfono del usuario).
- Monitorear las cuentas en busca de actividad sospechosa: Detectar y responder rápidamente a cualquier actividad inusual en las cuentas de los usuarios, como intentos de inicio de sesión desde ubicaciones desconocidas o cambios en la configuración de la cuenta.
- Auditar y fortalecer la infraestructura de seguridad: Asegurarse de que la infraestructura de seguridad de la organización esté bien protegida contra ataques, incluyendo la implementación de medidas de seguridad como firewalls, sistemas de detección de intrusiones y software antivirus.
- Detectar brechas de seguridad y contraseñas comprometidas: Implementar sistemas que detecten si una contraseña ha sido comprometida y obligar a los usuarios afectados a cambiarla de inmediato. Esto es mucho más efectivo que obligar a todos a cambiar sus contraseñas periódicamente.
En resumen:
El NCSC argumenta que forzar el cambio de contraseñas regularmente es una práctica obsoleta y contraproducente. En su lugar, recomiendan un enfoque más inteligente y efectivo que se centra en la creación de contraseñas fuertes, la autenticación de dos factores, el monitoreo de la actividad de la cuenta y el fortalecimiento de la infraestructura de seguridad. Este enfoque no solo es más seguro, sino también más eficiente y menos frustrante para los usuarios.
¿Qué significa esto para ti?
Si tu organización o sitio web te obliga a cambiar tu contraseña con frecuencia, podrías considerar sugerir que evalúen la recomendación del NCSC y exploren alternativas más efectivas. En el ámbito personal, concéntrate en crear contraseñas robustas para tus cuentas más importantes, habilita la autenticación de dos factores siempre que sea posible, y utiliza un gestor de contraseñas para simplificar la administración de tus contraseñas.
Los problemas para forzar la cadena de contraseña regular
La IA ha proporcionado la noticia.
La siguiente pregunta se utilizó para obtener la respuesta de Google Gemini:
A las 2025-03-13 11:50, ‘Los problemas para forzar la cadena de contraseña regular’ fue publicado según UK National Cyber Security Centre. Por favor, escribe un artículo detallado con información relacionada de manera fácil de entender.
34