Esta es la razón por la que es más seguro NO cambiar de contraseñas con frecuencia

La mayoría de los usuarios conocen perfectamente las normas a seguir para crear contraseñas seguras, de acuerdo con las recomendaciones que expertos e instituciones dan regularmente. Ya sabe el lector: mínimo 8 caracteres, uso de mayúsculas y minúsculas y caracteres especiales. Es decir, usar contraseñas complejas que sean difíciles de averiguar, pero que también terminan resultando igualmente difíciles de recordar, y cambiarlas con frecuencia dada las habituales filtraciones de grandes bases de datos de usuarios. Pero esta aproximación supone, al final, una vulnerabilidad que los ciberdelincuentes pueden aprovechar y que es mejor evitar. Eso es lo que dice el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de Estados Unidos en la más reciente revisión de sus recomendaciones de seguridad con las contraseñas, en las que ya no figura la mezcla de diferentes tipos de caracteres ni el cambio periódico de las mismas.

Cuando el NIST presentó por primera vez sus recomendaciones, en 2017, apostaba por la complejidad como protección frente a los ciberdelincuentes. Sin embargo, contraseñas más complejas no equivalen necesariamente a más seguridad. Las directrices más recientes para los proveedores de servicios de credenciales (CSP) incluyen dejar de exigir a los usuarios que configuren contraseñas utilizando caracteres específicos (como los especiales), y de imponer cambios periódicos de contraseñas (comúnmente cada 60 o 90 días). Además, se ha indicado a los CSP que dejen de emplear la autenticación basada en preguntas de seguridad al restablecer contraseñas.

El NIST ahora recomienda prestar más atención a la longitud de la contraseña, ya que las largas son más difíciles de descifrar mediante ataques de fuerza bruta . Mejor que una sucesión de caracteres aleatorios es una frase que, sin ser predecible, sea fácil de recordar pero difícil de adivinar.

Por qué no debes cambiar periódicamente tus contraseñas

Este instituto también recomienda ahora que el restablecimiento de contraseñas se efectúe solo en caso de una violación de credenciales, pero no como una práctica de seguridad periódica. Obligar a los usuarios a cambiar sus contraseñas con frecuencia ha provocado que opten por contraseñas más débiles, recurriendo a variaciones fáciles de adivinar y que las reúsen en distintos servicios, disminuyendo su seguridad. Cuando las contraseñas son lo suficientemente largas y aleatorias, y no hay evidencia de una brecha de seguridad, forzar un cambio podría, potencialmente, conducir a una seguridad menor.

Otras recomendaciones del NIST incluyen una longitud mínima de 8 caracteres, 15 en algunos casos, permitir un número máximo de 64 caracteres en las contraseñas, así como la inclusión de caracteres ASCII y Unicode en ellas.

El NIST no es la única institución que apuesta por este enfoque, tras años de recomendar lo contrario. El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) recomienza un enfoque similar desde 2018, dado que los cambios regulares de contraseña llevan a que los usuarios reutilicen contraseñas con cambios mínimos, como añadir un carácter más, poniéndolo más fácil a los ciberdelincuentes.

Otra recomendación, tanto del NIST como del NCSC, es la de habilitar siempre la verificación en dos pasos que requiere confirmar, mediante un SMS enviado al móvil o una aplicación de autenticación como Google Authenticator, que el usuario es el legítimo propietario de una cuenta.