Últimamente, se ha hablado mucho de la seguridad de las contraseñas, sobre todo durante la pandemia, cuando la gente se vio obligada a trabajar online desde casa. Naturalmente, una de las preguntas que más se hace la gente es con qué frecuencia se deben cambiar las contraseñas.
Índice
Te sorprenderá saber que, en realidad, cambiar las contraseñas con mucha frecuencia no es recomendable. De hecho, en lugar de reforzar la seguridad, puede producir el efecto contrario, ya que las personas tienden a escoger contraseñas parecidas por pura frustración. Así pues, ten en cuenta este consejo para empezar.
El problema de los cambios frecuentes
Durante mucho tiempo, se ha considerado que conviene cambiar las contraseñas cada 30, 60 o 90 días, es decir, cada 3 meses más o menos. Por desgracia, esto ha provocado un problema muy grave, sobre todo en las empresas que obligan a realizar estos cambios tan frecuentes. Incluso Wired ha tratado el tema de no cambiar las contraseñas con frecuencia.
Actualmente, los empleados y las personas en general tienen que memorizar cada vez más contraseñas, con lo que es menos probable que creen contraseñas largas y seguras, como es lógico.
Por supuesto, hacer cambios frecuentes tiene cierta lógica, o por lo menos la había cuando se recomendó. Cuanto más a menudo cambies la contraseña, menos probable es que alguien la descifre, ¿verdad? En realidad, no es así, sino todo lo contrario.
Lo cierto es que, si se obliga a la gente a crear contraseñas nuevas con mucha frecuencia, al final terminan haciendo pequeñas variaciones de la contraseña anterior.
Además, imagina que acabas de empezar a trabajar o estás en mitad de algo y, de repente, se te pide que cambies una contraseña. Para quitarte el trámite de encima, seguramente elegirás una contraseña sencilla y fácil de recordar, que por tanto también será fácil de adivinar.
Recomendaciones del NIST
Recientemente, el NIST (Instituto Nacional de Estándares y Tecnología de Estados Unidos) creó unas pautas sobre cuándo conviene cambiar las contraseñas. Admiten que existe un gran problema con los cambios frecuentes y recomiendan, entre otras cosas, disminuir la frecuencia de los cambios y reducir la complejidad de las contraseñas.
También abogan por utilizar contraseñas largas, pero fáciles de recordar, como las que contienen varias palabras. Del mismo modo, las empresas y los sitios web no deben obligar a cambiar las contraseñas de modo aleatorio o arbitrario, y deben tener buenas razones para hacerlo, de forma que los empleados no se desmotiven.
También recomiendan que las empresas prueben otros métodos para mitigar el problema en caso de que una contraseña se filtre, como la autenticación en dos factores. En realidad, existen muchas maneras de proteger la información que no implican centrarse exclusivamente en una contraseña de texto.
El mejor momento para cambiar la contraseña
Entonces, ¿cuál es el mejor momento para cambiar la contraseña, si no es cada 30, 60 o 90 días?
En primer lugar, si el servicio que utilizas informa de que se ha producido una filtración, debes cambiar la contraseña inmediatamente. Del mismo modo, si te llega un aviso de que alguien ha accedido a tu cuenta y no has sido tú, también debes cambiarla de inmediato. Si recibes una solicitud de autenticación en dos factores que no has hecho tú, probablemente también debas cambiar la contraseña en ese momento.
En cuanto a problemas más localizados, si descubres un virus o malware que lleva un tiempo campando a sus anchas en tu ordenador, conviene que cambies las contraseñas, pues es probable que se hayan visto comprometidas. Dicho esto, quiero aclarar que si cuentas con un buen antivirus que detecta el virus o el malware antes de que empiece a actuar, no debes preocuparte de nada. Por otro lado, si recientemente has iniciado sesión en un equipo público o compartido, puede ser buena idea cambiar la contraseña: quién sabe si había un keylogger instalado en ese ordenador.
Si has compartido una contraseña con otra persona, quizá también debas cambiarla. Si se trata de una cuenta compartida y la otra persona todavía la utiliza, asegúrate de no usar esa misma contraseña en ningún otro lugar. Por otro lado, si la otra persona ya no la utiliza, no hay inconveniente en cambiarla por motivos de seguridad.
Para terminar, en realidad sí que existe un periodo de tiempo tras el cual conviene cambiar la contraseña: un año, más o menos. Un año es un buen plazo, ya que no es tan corto como para sentir que te están forzando a cambiar la contraseña (lo que podría llevarte a crear una poco segura), pero es lo bastante largo para que empieces a pensar que la seguridad de tu cuenta podría estar en peligro, sobre todo frente a riesgos como el ransomware o un ataque de «pharming».
Consejos para cambiar la contraseña
Ahora que sabes cuándo cambiar la contraseña, ¿cuál es la mejor manera de hacerlo?
Aquí tienes unos consejos:
Si no se te ocurre ninguna combinación buena de 12 o 16 caracteres (sabemos que es bastante difícil), recurre a un generador de contraseñas.
Como no todo el mundo tiene una memoria excelente, podrías usar una «frase de contraseña», es decir, una cadena de palabras que más o menos tienen sentido cuando se juntan. Por ejemplo: «Veinte niños en el tren», que tiene 23 caracteres y es fácil de recordar.
Es muy recomendable descargar un gestor de contraseñas, que te permite guardar muchas contraseñas complejas y añadir una capa más de seguridad. La contraseña maestra que uses puede ser increíblemente larga y compleja, pero no te dejes llevar por una falsa sensación de seguridad: debes aplicar igualmente las prácticas que hemos recomendado anteriormente. Consulta esta guía para elegir el mejor gestor de contraseñas si necesitas ayuda para decidir qué producto es el más adecuado para ti.
Deja de reutilizar contraseñas. Esto es muy importante: si alguien se ha hecho con una contraseña antigua, te aseguro que intentará utilizarla, junto con todas sus variantes.
Si el servicio o sitio web que utilizas tiene autenticación en dos factores, aprovéchala. Es una capa adicional de seguridad que puedes añadir sin mucho esfuerzo.