Tan grandes son los cambios que se proponen en el mundo de la ciberseguridad que, hasta en internet, encontramos una dicotomía, misma que podemos corroborar haciendo el siguiente ejercicio: consulten en su buscador preferido “¿es conveniente cambiar las contraseñas periódicamente?”.
Cae como respuesta una avalancha de páginas, de empresas de seguridad incluso, que van a contarles las bondades de llevar adelante esta práctica en seguridad. Bueno, no lo hagan más.
Ha habido un importante cambio en el manejo de las contraseñas, desde agosto del 2025, propiciado por el NIST (Instituto Nacional de Estándares y Tecnología de los Estados Unidos), que advierte sobre los riesgos subyacentes en la práctica actual de cambio periódico, basados en años de experiencia. Ilustración NIST 800-63B
A las personas ya les cuesta administrar una contraseña robusta, imaginen que decidan tener una por cada sitio sensible que administren y que deban cambiarlas periódicamente.
La práctica de esta técnica, de acuerdo a lo que el NIST propone, ha generado solamente contraseñas más débiles, reutilizadas entre cuentas o que simplemente tuvieron un agregado de algún carácter especial al inicio o al final, causando más confusión y horas de asistencia a los usuarios por el olvido y posterior bloqueo de sus cuentas.
Aunque estas políticas buscan mejorar la seguridad, muchas veces logran lo contrario.
Las propuestas:
Eliminar la obligación de cambiar contraseñas con regularidad, una política obsoleta que puede debilitar la seguridad al fomentar contraseñas más simples.
Comprender que los requisitos de caracteres especiales y mayúsculas no añaden valor cuando las contraseñas son lo suficientemente largas y aleatorias.
Dejar de utilizar preguntas de seguridad para la recuperación de cuentas, ya que estas respuestas suelen ser fáciles de adivinar o encontrar en línea.
Enfocarse en sistemas de autenticación multifactorial que mejoran significativamente la seguridad y reducen la dependencia de contraseñas débiles.
Cambiar solo cuando hay evidencia de compromiso: La actualización obligatoria debe tener lugar cuando haya alguna evidencia de que dicha credencial ha sido comprometida.
Se busca con esto simplificar la gestión de contraseñas sin comprometer la protección de las identidades digitales. Todo hoy tiene 2FA o MFA (doble o múltiple factor de autenticación), úsenlos.
(*) Miguel Ángel Gaspar, +595 981 573157, miguel.gaspar@tekhnos.com