Las contraseñas o claves de ingreso son la primera línea de defensa para proteger los datos personales, cuentas bancarias y perfiles en redes sociales. No obstante, muchas de las prácticas que los usuarios creen que fortalecen su seguridad pueden, en realidad, estar exponiéndolos al riesgo de ciberataques.
Uno de los errores más comunes que comprometen la seguridad de las contraseñas es la práctica de cambiarlas con demasiada frecuencia, un consejo que, sorprendentemente, ha sido criticado recientemente por el Instituto Nacional de Estándares y Tecnología (NIST).
La organización experta ha propuesto eliminar la obligatoriedad de los cambios periódicos de contraseñas, argumentando que esta medida genera un efecto contrario al deseado.
Por qué es peligroso eliminar las contraseñas con mucha frecuencia
Durante mucho tiempo, las recomendaciones sobre ciberseguridad han insistido en que los usuarios deberían cambiar sus contraseñas periódicamente, generalmente cada tres o seis meses.
La lógica detrás de esta sugerencia es simple: si una contraseña ha sido comprometida, cambiarla con frecuencia reduce el tiempo que un ciberdelincuente puede usarla para acceder a una cuenta. Sin embargo, según el borrador público del NIST, esta práctica podría estar haciendo más daño que bien.
En lugar de motivar a los usuarios a crear combinaciones más seguras, la necesidad constante de cambiar contraseñas puede llevar a que opten por contraseñas más débiles y predecibles, simplemente porque son más fáciles de recordar.
De hecho, se ha observado que muchos usuarios tienden a modificar mínimamente sus contraseñas, lo que crea patrones que son fácilmente explotables por los ciberdelincuentes. Por ejemplo, alguien que cambia “Contraseña123″ por “Contraseña124″ no está protegiendo eficazmente su cuenta, sino que está creando una secuencia predecible.
Qué nunca debe contener una contraseña
El experto sugiere que las contraseñas no deben requerir una combinación rígida de caracteres especiales, letras mayúsculas y minúsculas o números, prácticas que se han considerado esenciales para una contraseña segura.
Además, el NIST propone la eliminación de preguntas de seguridad como método de recuperación de cuentas. Estas preguntas, como “¿Cuál es el nombre de tu primera mascota?”, son fáciles de adivinar con información disponible públicamente en redes sociales o por medio de ingeniería social.
En vez de depender de estas preguntas, el instituto recomienda la implementación de sistemas más robustos, como la autenticación multifactor (MFA), que añade una capa adicional de seguridad.
Cómo crear una contraseña segura para las cuentas personales
Una observación del experto es que las organizaciones y los usuarios deberían centrarse en crear contraseñas seguras desde el principio. Esto implica no solo elegir combinaciones que sean difíciles de adivinar, sino también evitar el uso de palabras comunes o patrones predecibles.
Las contraseñas más efectivas son aquellas que parecen aleatorias y no tienen ningún significado obvio o conexión personal. En lugar de usar “Verano2024″, una mejor opción sería algo más abstracto, como “M2jsLxP89″. Sin embargo, incluso las mejores contraseñas no garantizan una seguridad absoluta.
Por esta razón, los expertos en ciberseguridad coinciden en que las contraseñas deben ser solo una parte de un enfoque más amplio de protección de cuentas.
El uso de la autenticación multifactor, que requiere una segunda forma de verificación (como un código enviado al teléfono móvil o un token físico), es una medida efectiva para bloquear los intentos de acceso no autorizados.
Cuándo es necesario cambiar la contraseña
Una de las conclusiones importantes de las nuevas recomendaciones del NIST es que, las contraseñas solo deberían cambiarse si hay evidencia de que han sido comprometidas.
Esto contrasta con la antigua práctica de cambiar contraseñas de forma rutinaria, lo cual, según los estudios del instituto, puede generar una falsa sensación de seguridad.
Aunque el cambio periódico de contraseñas puede parecer una medida prudente, la realidad es que los ciberdelincuentes pueden aprovecharse de los patrones predecibles que se generan cuando los usuarios se ven forzados a cambiar sus contraseñas con frecuencia.