Índice:
Últimamente, se ha hablado mucho de la seguridad de las contraseñas, sobre todo durante la pandemia, cuando la gente se vio obligada a trabajar online desde casa. Naturalmente, una de las preguntas que más se hace la gente es con qué frecuencia se deben cambiar las contraseñas.
Te sorprenderá saber que, en realidad, cambiar las contraseñas con mucha frecuencia no es recomendable. De hecho, en lugar de reforzar la seguridad, puede producir el efecto contrario, ya que las personas tienden a escoger contraseñas parecidas por pura frustración. Así pues, ten en cuenta este consejo para empezar.
El problema de los cambios frecuentes
Durante mucho tiempo, se ha considerado que conviene cambiar las contraseñas cada 30, 60 o 90 días, es decir, cada tres meses más o menos. Lamentablemente, eso ha causado un gran problema, especialmente con las empresas que fuerzan estos cambios frecuentes. Incluso Wired trató de mejorar ligeramente el mismo problema de no cambiar las contraseñas con frecuencia.
Actualmente, los empleados y las personas en general tienen que memorizar cada vez más contraseñas, con lo que es menos probable que creen contraseñas largas y seguras, como es lógico.
Por supuesto, hacer cambios frecuentes tiene cierta lógica, o por lo menos la había cuando se recomendó. Cuanto más a menudo cambies la contraseña, menos probable es que alguien la descifre, ¿verdad? En realidad, no es así, sino todo lo contrario.
Lo cierto es que, si se obliga a la gente a crear contraseñas nuevas con mucha frecuencia, al final terminan haciendo pequeñas variaciones de la contraseña anterior.
Además, imagina que acabas de empezar a trabajar o estás en mitad de algo y, de repente, se te pide que cambies una contraseña. Para quitarte el trámite de encima, seguramente elegirás una contraseña sencilla y fácil de recordar, que por tanto también será fácil de adivinar.
Recomendaciones del NIST
Recientemente, el NIST(Instituto Nacional de Normas y Tecnología) presentó unas pautas sobre cuándo cambiar las contraseñas. Admiten que existe un gran problema con los cambios frecuentes y recomiendan, entre otras cosas, disminuir la frecuencia de los cambios y reducir la complejidad de las contraseñas.
También abogan por utilizar contraseñas largas, pero fáciles de recordar, como las que contienen varias palabras. Del mismo modo, las empresas y los sitios web no deben obligar a cambiar las contraseñas de modo aleatorio o arbitrario, y deben tener buenas razones para hacerlo, de forma que los empleados no se desmotiven.
También recomiendan que las empresas prueben otros métodos para mitigar el problema en caso de que una contraseña se filtre, como la autenticación de dos factores. En realidad, existen muchas maneras de proteger la información que no implican centrarse exclusivamente en una contraseña de texto.
El mejor momento para cambiar la contraseña
Entonces, ¿cuál es el mejor momento para cambiar la contraseña, si no es cada 30, 60 o 90 días?
En primer lugar, si el servicio que utilizas informa de que se ha producido una filtración, debes cambiar la contraseña inmediatamente. Del mismo modo, si te llega un aviso de que alguien ha accedido a tu cuenta y no has sido tú, también debes cambiarla de inmediato. Si recibes una solicitud de autenticación de dos factores que no has hecho tú, probablemente también debas cambiar la contraseña en ese momento.
En cuanto a los problemas locales, si encuentras un virus o una descarga de malware en tu ordenador que ha estado merodeando sin control durante un tiempo, querrás cambiar tus contraseñas, ya que es probable que estén comprometidas. Dicho esto, quiero aclarar que si cuentas con un buen antivirus que detecta el virus o el malware antes de que empiece a actuar, no debes preocuparte de nada. Por otro lado, si recientemente has iniciado sesión en un equipo público o compartido, puede ser buena idea cambiar la contraseña: quién sabe si había un keylogger instalado en ese ordenador.
Si has compartido una contraseña con otra persona, quizá también debas cambiarla. Si se trata de una cuenta compartida y la otra persona todavía la utiliza, asegúrate de no usar esa misma contraseña en ningún otro lugar. Por otro lado, si la otra persona ya no la utiliza, no hay inconveniente en cambiarla por motivos de seguridad.
Para terminar, en realidad sí que existe un periodo de tiempo tras el cual conviene cambiar la contraseña: un año, más o menos. Es una buena cantidad de tiempo, ya que ha pasado suficiente como para que no sientas que tienes la obligación de crear una nueva contraseña (y, por lo tanto, una mala) pero también para que empieces a considerar que es un riesgo para la seguridad de tu cuenta, especialmente en cuanto a los ataques de ransomware o de «pharming».
Consejos para cambiar la contraseña
Ahora que sabes cuándo cambiar la contraseña, ¿cuál es la mejor manera de hacerlo?
Aquí tienes unos consejos:
Es mejor que utilices un generador de contraseñas si no se te ocurre una buena combinación de contraseñas de 12 o 16 caracteres (sí, lo sabemos, es bastante difícil).
Como no todos tenemos una memoria excelente, considera utilizar una frase de contraseña. Se trata de una cadena de palabras que tienen sentido juntas. Por ejemplo: «Veinte niños en el tren», que tiene 23 caracteres y es fácil de recordar.
Es muy recomendable descargar un gestor de contraseñas, que te permite guardar muchas contraseñas complejas y añadir una capa más de seguridad. La contraseña maestra que uses puede ser increíblemente larga y compleja, pero no te dejes llevar por una falsa sensación de seguridad: debes aplicar igualmente las prácticas que hemos recomendado anteriormente. Consulta esta guía para elegir el mejor gestor de contraseñas si necesitas un poco de ayuda para decidir qué producto es el más adecuado para ti.
Deja de reutilizar contraseñas. Esto es muy importante: si alguien ha conseguido una contraseña antigua, te aseguro que intentará utilizarla, junto con todas sus variantes.
Si el servicio o sitio web que utilizas tiene autenticación multifactor, aprovéchala. Es una capa adicional de seguridad que puedes añadir sin mucho esfuerzo.