¿Por qué cambiar tu contraseña cada 90 días podría ser una mala idea? El NCSC lo explica.
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés), una autoridad líder en ciberseguridad, publicó un artículo el 13 de marzo de 2025 argumentando en contra de la práctica común de forzar a los usuarios a cambiar sus contraseñas regularmente. Esto podría parecer contradictorio, considerando que durante años se ha promovido como una medida de seguridad fundamental. Entonces, ¿qué está cambiando?
¿Cuál es el problema con el cambio regular de contraseñas?
El NCSC argumenta que la práctica de forzar el cambio de contraseñas periódicamente, como cada 30, 60 o 90 días, en realidad puede debilitar la seguridad en lugar de fortalecerla. Aquí están las principales razones:
- Contraseñas débiles: Cuando las personas se ven obligadas a cambiar sus contraseñas con frecuencia, tienden a elegir contraseñas simples y fáciles de recordar, a menudo utilizando variaciones predecibles de su contraseña anterior (por ejemplo, «Contraseña1», luego «Contraseña2»). Esto las hace más vulnerables a ataques, especialmente a los de «fuerza bruta» o «diccionario».
- Reutilización de contraseñas: Cansados de tener que recordar una nueva contraseña cada poco tiempo, los usuarios a menudo reutilizan contraseñas en múltiples sitios web y servicios. Si una de esas contraseñas se ve comprometida en una brecha de datos, todos los demás sitios y servicios que utilizan la misma contraseña quedan en riesgo.
- Comportamientos inseguros: La frustración generada por el cambio constante de contraseñas puede llevar a los usuarios a escribirlas en lugares inseguros, como notas adhesivas pegadas al monitor o documentos de texto en sus computadoras. Esto compromete la seguridad de la cuenta de manera significativa.
- Pérdida de tiempo y productividad: Forzar el cambio de contraseñas consume tiempo y recursos tanto para los usuarios como para el personal de soporte técnico, especialmente cuando los usuarios olvidan sus nuevas contraseñas y necesitan ayuda para recuperarlas.
- Falsa sensación de seguridad: El cambio regular de contraseñas puede dar una falsa sensación de seguridad, haciendo que los usuarios bajen la guardia y no tomen otras medidas de seguridad más importantes, como habilitar la autenticación de dos factores.
¿Qué recomienda el NCSC en su lugar?
En lugar de forzar el cambio regular de contraseñas, el NCSC recomienda un enfoque más inteligente y efectivo para la seguridad de contraseñas:
- Contraseñas fuertes y únicas: La clave es crear contraseñas largas, complejas y únicas para cada cuenta. Esto significa utilizar una combinación de letras mayúsculas y minúsculas, números y símbolos, y evitar información personal fácil de adivinar.
- Autenticación de dos factores (2FA): Habilitar la autenticación de dos factores agrega una capa adicional de seguridad a las cuentas. Requiere que los usuarios proporcionen un código de verificación, generalmente enviado a su teléfono, además de su contraseña para iniciar sesión. Esto dificulta enormemente que los atacantes accedan a una cuenta, incluso si tienen la contraseña.
- Gestores de contraseñas: Utilizar un gestor de contraseñas permite generar y almacenar contraseñas seguras y únicas para cada sitio web y servicio, sin tener que recordarlas todas. Esto reduce el riesgo de reutilización de contraseñas y facilita la creación de contraseñas más complejas.
- Monitoreo de brechas de datos: Estar atento a las brechas de datos que podrían haber comprometido las contraseñas de los usuarios es crucial. Si se detecta una contraseña comprometida, el usuario debe cambiarla inmediatamente.
- Educación y concientización sobre seguridad: Educar a los usuarios sobre la importancia de la seguridad de contraseñas y los riesgos asociados con contraseñas débiles o reutilizadas es fundamental para mejorar la seguridad general.
- Monitorizar actividades sospechosas: Implementar sistemas que detecten actividades inusuales en las cuentas de usuario, como intentos de inicio de sesión desde ubicaciones desconocidas o cambios inusuales en la configuración de la cuenta.
En resumen:
El artículo del NCSC desafía la sabiduría convencional sobre la seguridad de contraseñas, argumentando que el cambio regular y forzado de contraseñas puede ser contraproducente. En cambio, promueve un enfoque más inteligente basado en contraseñas fuertes y únicas, autenticación de dos factores, gestores de contraseñas y la concientización sobre seguridad. Este enfoque busca mejorar la seguridad real de las contraseñas sin sobrecargar a los usuarios con tareas repetitivas que pueden llevar a comportamientos inseguros. Al priorizar la calidad sobre la cantidad, se puede lograr una seguridad de contraseñas más efectiva y sostenible.
Los problemas para forzar la cadena de contraseña regular
La IA ha proporcionado la noticia.
La siguiente pregunta se utilizó para obtener la respuesta de Google Gemini:
A las 2025-03-13 11:50, ‘Los problemas para forzar la cadena de contraseña regular’ fue publicado según UK National Cyber Security Centre. Por favor, escribe un artículo detallado con información relacionada de manera fácil de entender.
30