Olvídate de cambiar la contraseña cada mes: esto es lo que recomiendan ahora los expertos en ciberseguridad
Durante años se ha repetido como un mantra que cambiar las contraseñas cada cierto tiempo era esencial para mantener la seguridad en Internet. Sin embargo, expertos en ciberseguridad y organismos oficiales como el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) han comenzado a desmontar esta creencia.
En sus últimas recomendaciones, recogidas en la guía SP 800-63-4, el NIST advierte de que forzar a los usuarios a modificar sus contraseñas de forma periódica puede resultar contraproducente: en lugar de mejorar la protección, esta práctica lleva a usar claves más débiles, predecibles y fáciles de recordar.
La nueva estrategia pasa por mantener contraseñas robustas, únicas y difíciles de adivinar, solo modificándolas si hay indicios de que han sido comprometidas o si han aparecido en filtraciones de datos.
Además, los expertos insisten en que es fundamental complementar las contraseñas con sistemas de autenticación multifactor (MFA) y el uso de gestores de contraseñas para generar claves complejas sin necesidad de memorizarlas.
En un momento en el que los ciberataques son cada vez más frecuentes y sofisticados, estas recomendaciones suponen un cambio de paradigma que afecta tanto a usuarios como a empresas e instituciones.
Como decimos, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) —organismo federal que establece estándares tecnológicos para agencias gubernamentales, organizaciones de estándares y empresas privadas— ha propuesto prohibir algunos de los requisitos de contraseñas, como los restablecimientos obligatorios, el uso obligatorio o restringido de ciertos caracteres y el uso de preguntas de seguridad.
Según el borrado público de SP 800-63-4 compartido por NIST, “cuando las credenciales se eligen correctamente, el requisito de cambiarlas periódicamente, normalmente cada uno o tres meses, puede en realidad reducir la seguridad, porque la carga adicional incentiva el uso de contraseñas más débiles, que son más fáciles de configurar y recordar para las personas”.
Por consiguiente, las últimas directrices de los expertos apuntan que “los verificadores y los proveedores de servicios de comunicaciones no deben exigir a los usuarios que cambien sus contraseñas periódicamente. Sin embargo, deben forzar un cambio si hay evidencia de que el autenticador está comprometido”.
Una contraseña es un conjunto de caracteres utilizados para acceder a información reservada en un sistema, servicio, página web, ordenador, red social o dispositivo móvil.
Por norma general, los expertos en ciberseguridad recomiendan que los usuarios usen letras mayúsculas, minúsculas, números y símbolos; además, lo ideal es que tengan al menos ocho caracteres (o más) y que las letras no formen palabras ni que los números signifiquen algo relevante.
Otra clave es que cada cuenta tenga una credencial diferente —es decir, que no se repitan—, especialmente en cuentas financieras y de datos críticos. Si se utiliza una frase para la contraseña, el usuario debe asegurarse de evitar palabras o expresiones comunes, nombres o fechas sobre sí mismo o sus familiares.
Asimismo, se recomienda activar la autenticación multifactor (MFA) para tantas cuentas como sea posible. Este enfoque frustra los sistemas automatizados que los ciberdelincuentes utilizan para adivinar contraseñas o cuando introducen claves robadas.
Como todo esto suele ser complicado, los expertos recomiendan utilizar un administrador de contraseñas que cree claves aleatorias que se almacenen, encripten y sean accesibles de forma segura en todos los dispositivos personales. Esto reduce la carga de intentar recordar credenciales de inicio de sesión complicadas en varios sitios web, y hace que los usuarios apuesten por contraseñas más largas y robustas.
La credencial que tiene más éxito entre los españoles, pese a ser muy fácil de descifrar, es 'admin'. Seguida de esta, tenemos '123456'. Otras muy comunes que pueden suponer un riesgo para la seguridad informática del usuario son 'mallorca64', 'barcelona', '000000', 'Shell123' y 'carl0s'.
Aunque sean sencillas de memorizar, también son bastante vulnerables y un hacker podría descifrarla en menos de un segundo, por lo que los profesionales aconsejan cambiarlas.
20minutos
