¿Las contraseñas se deben cambiar periódicamente? Esto dicen los expertos

Hoy en día no es extraño manejar varias contraseñas distintas para identificarnos en plataformas online, apps y la larguísima lista de proveedores de servicios que forman parte de nuestra vida digital.

Una contraseña robusta, como sabe cualquiera que haya tratado de crear una desde cero, debe incluir caracteres especiales, números y letras; una contraseña débil usa fechas de cumpleaños, nombres conocidos o mascotas, lo que nos hace más vulnerables.

La realidad de los ciberataques

Según un informe de Verizon, el 81 % de las brechas de seguridad relacionadas con contraseñas están vinculadas al uso de contraseñas débiles o reutilizadas. Otro estudio reciente, esta vez de Nordpass, reveló que millones de usuarios siguen utilizando combinaciones como “123456” o “password”, muy fáciles de romper por cualquier ciberdelincuente con un poco de maña. Esto evidencia que no solo es importante elegir contraseñas robustas, sino también gestionarlas de manera eficaz.

Bien. Hay una nueva lección que debemos aprender, y es de las contraintuitivas. Contra esa creencia tan extendida que dice que cambiar contraseñas frecuentemente mejora la seguridad, los expertos han hablado: quizá no sea la mejor idea.

Deja de cambiar tus contraseñas todos los meses

La advertencia más reciente sobre esta regla de ciberseguridad tan extendida ha sido promovida por por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas), una agencia del Departamento de Comercio de los Estados Unidos cuya misión principal es desarrollar y promover estándares, mediciones y tecnologías que impulsen la innovación y mejoren la competitividad económica. El NIST propone nuevas reglas para contraseñas seguras.

Su nueva recomendación ha sido publicada en el Borrador Público Inicial de las Directrices de Identidad Digital. Hay dos frases clave que desmienten el clásico aviso de cualquier app o servicio que nos habla de contraseñas caducadas o claves que hay que modificar cada poco tiempo: "Los verificadores no deberán imponer reglas adicionales" y "deberán forzar un cambio si hay evidencia de compromiso".

Sobre las contraseñas caducadas, el NIST aclara: “Cuando las credenciales se eligen correctamente, el requisito de cambiarlas periódicamente, normalmente cada uno o tres meses, puede en realidad reducir la seguridad, porque cambiar contraseñas frecuentemente incentiva contraseñas más débiles que son más fáciles de recordar".

Cómo crear contraseñas muy seguras

Los expertos recomiendan seguir estos principios:

Hoy en día, estamos registrados en una infinidad de plataformas y servicios, y es importante tener en cuenta que las contraseñas han dejado de ser la única protección para nuestras cuentas.

Cuando una plataforma o servicio nos pide cambiarlas, por tercera o cuarta vez en un año, tendemos a elegir claves más débiles y fáciles de recordar. Tiene lógica apostar por una contraseña robusta a largo plazo, o alternar la contraseña fija con sistemas de identificación más modernos.

Los Passkeys y la autenticación de dos factores (2FA) son alternativas seguras para proteger nuestras cuentas, usando huella digital o reconocimiento facial. No solo nos evitamos memorizar combinaciones complejas, sino que la 2FA dificulta el acceso de ciberdelincuentes. Son formas tanto o más seguras de identificarnos en cualquier plataforma, ya que nos permiten usar nuestra huella digital o el reconocimiento facial. No solo nos libramos de memorizar interminables combinaciones de caracteres, sino que se lo ponemos más difícil a los ciberdelincuentes.