Blog

Cambiar las contraseñas regularmente no garantiza la seguridad

Cambiar las contraseñas regularmente no garantiza la seguridad

Muchas organizaciones y usuarios domésticos piensan que debe tratarse a las contraseñas igual que a la ropa interior: hay que cambiarlas regularmente y no compartirlas con nadie.Sin embargo, muchas veces obligar a los usuarios a cambiar las contraseñas cada cierto tiempo no mejora la seguridad, sino que puede tener el efecto contrario.

No es un misterio que a la gente nos gusta hacer las cosas lo más fáciles posible, y que las contraseñas largas y complejas son un engorro para muchos usuarios.

Nadie quiere (o no puede) recordar contraseñas que parecen estar escritas en mandarín, y mucho menos inventar una nueva cada pocas semanas.

Por lo tanto, es una práctica común utilizar variantes de una misma contraseña, o cosas fáciles de memorizar pero inseguras como 1234567890, qwerty, password1, nombres de mascotas o fechas de cumpleaños que pueden obtenerse en pocos segundos mediante un ataque de diccionario o de fuerza bruta.

Pero el hecho es que una contraseña debe ser lo suficientemente larga y compleja para que sea difícil de romper.

Solo la longitud y la complejidad pueden hacer que se requiera un esfuerzo desproporcionadamente grande para poder romperla mediante fuerza bruta.

El tiempo que lleva descifrar una contraseña aumenta exponencialmente con cada dígito, letra o carácter especial adicional.

Por lo tanto, los administradores han ideado formas para evitar que las contraseñas se reutilicen al tiempo que aumentan su complejidad.

Por ejemplo prohíben el uso de cualquiera de las últimas veinte contraseñas, o adoptan políticas draconianas que requieren al menos un dígito y varios caracteres especiales.

Los que utilizamos ordenadores corporativos, hemos de bregar con el mensaje "Su contraseña no cumple con las pautas de seguridad" cuando nos obligan cambiarla cada cierto tiempo.

Pero un ataque exitoso de phishing, hace que una contraseña larga y complicada (por ejemplo E##P-$TFyqvn%R5r9u) no sirva para nada, ya que si caemos en la trampa se la serviremos al villano en bandeja.

Tampoco podemos hacer mucho, si el servicio al que estamos suscritos almacena nuestra contraseña en texto plano sin cifrar y sufre una fuga de datos, o ingresamos nuestros credenciales en sitios web que carecen del protocolo HTTPS.

Para empeorar las cosas, muchos usuarios de Internet todavía usan la misma contraseña para servicios diferentes. En el peor de los casos, un delincuente solo tiene que obtenerla para poder tener acceso a cuentas bancarias en línea, redes sociales etc.

Lo que realmente proporciona seguridad es la llamada autenticación multifactor.

En lugar de depender únicamente de un nombre de usuario y una contraseña para el inicio de sesión, agrega una capa adicional de seguridad para garantizar que las personas que intentan acceder a una cuenta en línea son quienes dicen ser.

autenticación multifactor

De esta manera, el robo de  la contraseña no se convierte en un problema especialmente grave, ya que un atacante todavía necesita el segundo factor de inicio de sesión.

Este puede ser un token de hardware, una función biométrica o una contraseña de un solo uso enviada a una aplicación instalada en un teléfono inteligente.

También se están implementando los tokens FIDO2, un procedimiento que no solo permite un inicio de sesión cifrado y anónimo, sino que prescinde totalmente de la contraseña.

Las fugas de datos ocurren constantemente.

Los afectados descubren que su contraseña se ha convertido en presa de los delincuentes cuando es demasiado tarde, y alguna de sus cuentas ya a sido pirateada.

Los verificadores de fugas de datos pueden ser utilizados por cualquier persona, simplemente ingresando su dirección de correo electrónico en un formulario para determinar si los datos asociados con esta dirección se han visto afectados por fugas importantes.

Si tus contraseñas son lo suficientemente largas y complejas, y no aparecen en ninguna lista negra, no tiene sentido que las cambies constantemente a no ser que se hayan visto comprometidas, o alguna de las cuentas asociadas a ellas haya sido pirateada.

Utiizando la autenticación multifactor puedes seguir utilizandolas durante meses (e incluso años) sin problemas.

Avisos de seguridad

Hosting Optimizado: Tu web más rápida y segura que nunca.