Olvídate de cambiar la contraseña cada 3 meses: Por qué el NCSC del Reino Unido dice que no es necesario (y quizás contraproducente)
Durante años, se nos ha machacado con la idea de que cambiar nuestras contraseñas cada cierto tiempo, generalmente cada 3 o 6 meses, es esencial para la seguridad online. Esta práctica, forzada por muchas empresas y plataformas, parecía ser un mantra incuestionable. Sin embargo, el UK National Cyber Security Centre (NCSC), la principal autoridad en ciberseguridad del Reino Unido, ha desafiado esta creencia en un artículo de su blog, titulado «Los problemas para forzar la cadena de contraseña regular».
¿Por qué nos han hecho cambiar las contraseñas tan a menudo?
La idea detrás de la rotación forzada de contraseñas era simple: si una contraseña se ve comprometida, el tiempo durante el cual un atacante puede usarla se limita. Además, se pensaba que obligaba a los usuarios a pensar en nuevas contraseñas, disminuyendo el uso de contraseñas débiles o fáciles de adivinar.
Entonces, ¿cuál es el problema?
El NCSC argumenta que forzar a los usuarios a cambiar sus contraseñas regularmente puede tener, de hecho, el efecto contrario al deseado, debilitando la seguridad en lugar de fortalecerla. Las razones principales son:
- Predicibilidad: Cuando se obliga a cambiar la contraseña con frecuencia, los usuarios tienden a recurrir a patrones predecibles para recordar las nuevas contraseñas. Por ejemplo, agregar «1», «2», o un año al final de su contraseña existente. Esto hace que las contraseñas sean mucho más fáciles de adivinar para un atacante.
- Fatiga de contraseña: Cambiar constantemente las contraseñas es frustrante y agotador. Esto lleva a que los usuarios elijan contraseñas más simples y fáciles de recordar, que suelen ser menos seguras.
- Reutilización de contraseñas: Para evitar la fatiga, algunos usuarios simplemente reutilizan contraseñas antiguas en diferentes sitios o aplicaciones. Si una de esas contraseñas se ve comprometida, el atacante tendrá acceso a varias cuentas.
- Mayor carga administrativa: Para las empresas, la rotación forzada de contraseñas genera un aumento significativo en las llamadas de soporte técnico debido a usuarios que olvidan sus nuevas contraseñas o tienen problemas para acceder a sus cuentas.
¿Qué recomienda el NCSC en su lugar?
El NCSC sugiere un enfoque más inteligente y basado en el riesgo para la seguridad de las contraseñas:
- Contraseñas largas y complejas: En lugar de obligar a cambiar las contraseñas con frecuencia, fomente el uso de contraseñas largas (al menos 12 caracteres) y complejas, que incluyan una combinación de letras mayúsculas y minúsculas, números y símbolos. Lo ideal sería usar frases de contraseña.
- Autenticación Multifactor (MFA): Implementar MFA es una de las mejores formas de proteger las cuentas, incluso si una contraseña se ve comprometida. MFA requiere un segundo factor de autenticación, como un código enviado a un teléfono móvil, además de la contraseña.
- Monitorización de brechas de datos: Las empresas deben monitorizar las brechas de datos conocidas y notificar a los usuarios si sus contraseñas han sido comprometidas. En ese caso, se debe obligar al usuario a cambiar la contraseña.
- Educación y concienciación: Es fundamental educar a los usuarios sobre la importancia de la seguridad de las contraseñas y cómo elegir contraseñas fuertes.
- Detectar anomalías: Implementar sistemas que detecten inicios de sesión sospechosos, como inicios de sesión desde ubicaciones inusuales o en horarios inusuales.
- Permitir contraseñas largas: Asegúrese de que sus sistemas admitan contraseñas largas. Limitar la longitud de las contraseñas va en contra de las mejores prácticas de seguridad.
En resumen:
La recomendación del NCSC es clara: dejar de forzar el cambio de contraseñas de forma regular y centrarse en estrategias más efectivas como el uso de contraseñas largas y complejas, la autenticación multifactor y la monitorización de brechas de seguridad. Al enfocarse en estas medidas, se puede lograr una seguridad más robusta sin frustrar a los usuarios y sobrecargar los departamentos de soporte técnico.
La próxima vez que te obliguen a cambiar tu contraseña, recuerda que quizás no sea la mejor práctica de seguridad y que existen alternativas más efectivas.
Los problemas para forzar la cadena de contraseña regular
La IA ha proporcionado la noticia.
La siguiente pregunta se utilizó para obtener la respuesta de Google Gemini:
A las 2025-03-13 11:50, ‘Los problemas para forzar la cadena de contraseña regular’ fue publicado según UK National Cyber Security Centre. Por favor, escribe un artículo detallado con información relacionada de manera fácil de entender.
30