Saltar al contenido
Think Tecno

¿Debería obligarse a los usuarios a restablecer sus contraseñas con regularidad?

Uno de los consejos de seguridad de cuentas más comunes es que los usuarios deben cambiar sus contraseñas con regularidad. El razonamiento detrás de este enfoque es minimizar el tiempo que una contraseña es válida en caso de que se vea comprometida. Toda la estrategia se basa en el asesoramiento histórico de los principales grupos de ciberseguridad como el NIST estadounidense o el Instituto Nacional de Estándares y Tecnología.

Durante décadas, los gobiernos y las empresas han seguido este consejo y han obligado a sus usuarios a restablecer las contraseñas con regularidad, generalmente cada 90 días. Sin embargo, con el tiempo, la investigación mostró que este enfoque no funcionó como se esperaba y en 2017 NIST junto con el del Reino Unido NCSC, o el Centro Nacional de Seguridad Cibernética, cambiaron su tablero para requerir cambios de contraseña solo en caso de una sospecha razonable de compromiso.

¿Por qué se cambió el consejo?

El consejo de cambiar las contraseñas con regularidad se implementó originalmente para aumentar la seguridad. Desde una perspectiva puramente lógica, el consejo de actualizar periódicamente las contraseñas tiene sentido. Sin embargo, la experiencia del mundo real es ligeramente diferente. La investigación ha demostrado que obligar a los usuarios a cambiar sus contraseñas de forma regular hace que sea mucho más probable que empiecen a usar una contraseña similar que simplemente podrían aumentar. Por ejemplo, en lugar de elegir contraseñas como “9L = Xk & 2>”, los usuarios utilizarían contraseñas como “¡Primavera de 2019!”.

Resulta que, cuando se ven obligados a inventar y recordar varias contraseñas y luego cambiarlas con regularidad, las personas utilizan constantemente contraseñas fáciles de recordar que son más inseguras. El problema con las contraseñas incrementales como “Spring2019!” es que se entienden fácilmente y por tanto también facilitan la predicción de cambios futuros. Combinado, esto significa que forzar un restablecimiento de contraseña solicita a los usuarios que elijan contraseñas que sean más fáciles de recordar y, por lo tanto, más débiles, lo que generalmente socava activamente el beneficio previsto de reducir el riesgo futuro.

Por ejemplo, en el peor de los casos, un hacker podría comprometer la contraseña “Spring2019!” a los pocos meses de su vigencia. En este punto, pueden probar variantes con “Otoño” en lugar de “Primavera” y probablemente tendrán acceso. Si la empresa detecta esta infracción de seguridad y luego obliga a los usuarios a cambiar sus contraseñas, es muy probable que el usuario afectado simplemente cambie su contraseña a “¡Invierno de 2019!” y piensa que estás a salvo. El pirata informático, conociendo el patrón, podría intentar hacer esto si puede obtener acceso nuevamente. Dependiendo de cuánto tiempo un usuario se adhiera a este patrón, un atacante podría usarlo para iniciar sesión durante varios años, mientras el usuario se siente seguro porque cambia regularmente su contraseña.

¿Cuál es el nuevo consejo?

Para ayudar a alentar a los usuarios a evitar contraseñas estereotipadas, el consejo es restablecer las contraseñas solo cuando exista una sospecha razonable de que han sido comprometidas. Al no obligar a los usuarios a recordar regularmente una nueva contraseña, es más probable que elijan una contraseña segura en primer lugar.

Junto con esto, hay una serie de otros consejos destinados a fomentar la creación de contraseñas más seguras. Estos incluyen asegurarse de que todas las contraseñas tengan al menos ocho caracteres como mínimo absoluto y que el número máximo de caracteres sea de al menos 64 caracteres. También recomendó que las empresas comiencen a alejarse de las reglas de la complejidad hacia el uso de listas de bloqueo mediante el uso de diccionarios de contraseñas débiles como “ChangeMe!” y “Password1” que satisfacen muchos requisitos de complejidad.

La comunidad de ciberseguridad está de acuerdo casi unánimemente en que las contraseñas no deben caducar automáticamente.

Nota: Desafortunadamente, en algunos escenarios, es posible que aún deba hacer esto, ya que algunos gobiernos aún tienen que cambiar las leyes que exigen la caducidad de la contraseña para sistemas confidenciales o clasificados.