Un cambio de paradigma: los expertos descartan la práctica de cambiar periódicamente las contraseñas

Un cambio de paradigma: los expertos descartan la práctica de cambiar periódicamente las contraseñas

En un giro radical en la forma en que abordamos la seguridad en línea, un grupo de expertos en ciberseguridad ha lanzado un llamado a revisar la práctica tradicional de cambiar periódicamente las contraseñas. Según estos expertos, esta práctica, que ha sido considerada durante mucho tiempo como una medida de seguridad fundamental, puede ser en realidad ineficaz y insegura. De hecho, argumentan que los usuarios pueden olvidar fácilmente sus contraseñas y, en última instancia, comprometer la seguridad de sus cuentas en línea. En este sentido, los expertos proponen un enfoque más integral y basado en la evidencia para abordar la seguridad en línea, que priorice la autenticación multifactor y la vigilancia constante de las actividades sospechosas.

Deshacerse de la rutina: expertos descartan la práctica de cambiar periódicamente las contraseñas

Una contraseña es un conjunto de caracteres utilizados para acceder a información reservada en un sistema, servicio, página web, ordenador, red social o dispositivo móvil. Por norma general, los expertos en ciberseguridad recomiendan que los usuarios usen letras mayúsculas, minúsculas, números y símbolos; además, lo ideal es que tengan al menos y que las letras no formen palabras ni que los números signifiquen algo relevante.

Otros tips claves son que cada cuenta tenga una credencial diferente —es decir, que no se repitan— y que se cambien con frecuencia para evitar algún tipo de vulnerabilidad por parte de los ciberdelincuentes. Sin embargo, éste último consejo parece que no es efectivo, ya que un grupo de expertos rechaza la idea de actualizar periódicamente las contraseñas.

Un cambio de paradigma en la ciberseguridad

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) —organismo federal que establece estándares tecnológicos para agencias gubernamentales, organizaciones de estándares y empresas privadas— ha propuesto prohibir algunos de los requisitos de contraseñas, como los restablecimientos obligatorios, el uso obligatorio o restringido de ciertos caracteres y el uso de preguntas de seguridad.

Según el borrador público de SP 800-63-4 compartido por NIST, cuando las credenciales se eligen correctamente, el requisito de cambiarlas periódicamente, normalmente cada uno o tres meses, puede en realidad reducir la seguridad, porque la carga adicional incentiva el uso de contraseñas más débiles, que son más fáciles de configurar y recordar para las personas.

Por consiguiente, las últimas directrices de los expertos apuntan que los verificadores y los proveedores de servicios de comunicaciones no deben exigir a los usuarios que cambien sus contraseñas periódicamente. Sin embargo, deben forzar un cambio si hay evidencia de que el autenticador está comprometido.

Recomendaciones para crear contraseñas seguras

Para crear contraseñas seguras, se recomienda:

• Usar contraseñas diferentes, especialmente en cuentas financieras y de datos críticos.
• Activar la autenticación multifactor (MFA) para tantas cuentas como sea posible.
• Utilizar un administrador de contraseñas que cree claves aleatorias que se almacenen, encripten y sean accesibles de forma segura en todos los dispositivos personales.

Contraseñas que no debes usar nunca

La Guardia Civil revela las contraseñas más vulnerables, entre las que se encuentran:

• 'admin', que es la credencial que más éxito tiene entre los españoles, pese a ser muy fácil de descifrar.
• '123456', que es otra de las contraseñas más comunes y vulnerables.
• 'mallorca64', 'barcelona', '000000', 'Shell123' y 'carl0s', que también son muy comunes y pueden suponer un riesgo para la seguridad informática del usuario.

Aunque sean sencillas de memorizar, también son bastante vulnerables y un hacker podría descifrarla en menos de un segundo, por lo que los profesionales aconsejan cambiarlas.