Skip to main content
Passwords

Es hora de caducar la caducidad de las contraseñas

By September 9, 2025No Comments9 min read

“Trata tu contraseña como tu cepillo de dientes. No dejes que nadie más la use, y consigue una nueva cada seis meses.” ¿Quién se acuerda de esta frase de Clifford Stoll? Ahora que hago uso de memoria, incluso la usaba en alguna presentación en el pasado. Aunque sigo sin dejar que nadie use mi contraseña, hace mucho que he dejado de cambiarla periódicamente.

La idea de que cambiar la contraseña cada poco tiempo nos aporta mayor seguridad es un concepto que necesita revisión urgente. Esencialmente, este requerimiento es cuando una organización obliga a que su equipo humano cambie sus contraseñas cada “x” número de días. Por lo general, suele ser cada noventa días; luego veremos el por qué. No cabe duda de que hay varias razones detrás de una política de expiración de contraseñas, pero lo cierto es que hoy en día, la mayoría se han quedado obsoletas.

Esta “norma” viene a consecuencia de nuestra historia en la TI. Hace unos cuantos años, era de conocimiento común en el sector que un ordenador medio tardaría aproximadamente 90 días en adivinar el hash de una contraseña media. En otras palabras, si un atacante era capaz de copiar los hashes de las contraseñas (las contraseñas no se cifran, sino se protegen con hashes unidireccionales) el ciberdelincuente podría adivinar estas contraseñas a través de unos procesos automatizados.

Por este motivo, se generalizó la idea de que, si una contraseña media podía ser descifrada en tres meses, la gente debería de protegerse cambiando sus contraseñas periódicamente, o como mínimo, cada 90 días.

Con el tiempo, esta directriz se convirtió en una recomendación y requisito para muchas normas diferentes y se incrustó en la esencia de la ciberseguridad. Las mayores multinacionales apostaban por ello y además, era un exigencia para sus usuarios y les obligaban a hacer estos cambios a través de políticas de seguridad bien definidas.

Si no defendías el concepto de cambio de contraseñas de forma frecuente, obviamente, no pertenecías a la élite de gurús de la seguridad TI.

Los años pasan y la TI y el ciberespacio de hoy no tiene nada que ver con el de hace unos años, y menos con el de hace unas décadas. Lo que se tardaba entonces en crackear una contraseña, hoy se hace en cuestión de segundos y de forma online.

Hay que poner las cosas en su sitio, lo que era considerado una buena práctica en aquel entonces, ya no lo es hoy porque el escenario ha cambiado por completo.

Veamos por ejemplo qué se establece como requisitos mínimos de contraseñas la ISO 27001 / ISO 27002, la PCI-DSS y la RGPD aunque no esté estrictamente definido.

ISO 27001 / ISO 27002 – Requisitos mínimos / Controles recomendados:

  • No se han establecido requisitos específicos de complejidad.
  • Política de contraseñas con requisitos de complejidad, restablecimiento periódico de contraseñas y controles técnicos. Deben aplicarse las buenas prácticas de contraseña/autenticación.

ISO27001

  • Los sistemas de gestión de contraseñas deben ser interactivos y que garanticen la calidad de estas.

ISO27002

  • Establecer el uso de identificadores de usuario y contraseñas individuales para mantener la trazabilidad.
  • Permitir que los usuarios seleccionen y cambien sus propias contraseñas e incluir un procedimiento de confirmación para permitir errores de entrada.
  • Imponer una selección de contraseñas de calidad.
  • Obligar a los usuarios a cambiar sus contraseñas en el primer inicio de sesión.
  • Imponer cambios de contraseña periódicos y según sea necesario.
  • Mantener un registro de las contraseñas utilizadas anteriormente y evitar su reutilización.
  • No mostrar las contraseñas en la pantalla cuando se introducen.
  • Almacenar los archivos de contraseñas por separado de los datos del sistema de aplicación.
  • Almacenar y transmitir las contraseñas de forma protegida.

 

En el caso de PCI DSS – Requisitos mínimos / Controles recomendados:

  • Exigir una longitud mínima de al menos siete caracteres.
  • Contener caracteres alfanuméricos.
  • Los usuarios deben cambiar las contraseñas al menos cada 90 días.
  • Los parámetros de las contraseñas están configurados para exigir que las nuevas contraseñas no puedan ser iguales a las cuatro utilizadas anteriormente.
  • Las contraseñas de primera vez para los nuevos usuarios, y las contraseñas de restablecimiento para los usuarios existentes, se establecen con un valor único para cada usuario y se cambian después del primer uso.
  • Las cuentas de usuario se bloquean temporalmente después de no más de seis intentos de acceso no válidos.
  • Una vez que se bloquea una cuenta de usuario, ésta permanece bloqueada durante un mínimo de 30 minutos o hasta que un administrador del sistema restablezca la cuenta.
  • Los tiempos de espera del sistema/sesión se han fijado en 15 minutos o menos.
  • Las contraseñas están protegidas con una fuerte criptografía durante su transmisión y almacenamiento.

RGPD – Requisitos mínimos / Controles recomendados:

  • No se han establecido requisitos específicos de complejidad.
  • Política de contraseñas con requisitos de complejidad, restablecimiento periódico de contraseñas y controles técnicos de esfuerzo. Deben aplicarse las mejores prácticas de contraseña/autenticación.

Seguimos guiándonos por estos requisitos y controles recomendados de buenas prácticas, porque el problema real es que a las organizaciones y a las normas de seguridad aún les queda por ponerse al día ya que siguen promoviendo esta fórmula anticuada. En mi opinión, esto es porque simplemente así se ha hecho desde siempre.

Los cambios de contraseña forzosos suponen un problema de productividad y un desafío innecesario para los usuarios, además de ser un riesgo y el motivo es simple: La máxima prioridad para la mayoría de los usuarios es asegurarse de no olvidar sus contraseñas y corren este riesgo cada vez que su contraseña caduca. Todos utilizan una variedad de mecanismos para hacer frente a este reto, como la elección de contraseñas derivadas de una secuencia fácil de recordar. Al final, somos humanos y nos ingeniamos métodos para hacer nuestras vidas un poco más fáciles.

Es poco probable que el usuario dedique su tiempo libre tratando de pensar en una contraseña inteligente, recordable, compleja y difícil de adivinar para usar cuando sea necesario. Cuando se enfrenta a la contraseña caducada, debe pensar inmediatamente en una y escribirla y repetirla con precisión. Claro está, los avisos de caducidad de las contraseñas siempre, siempre, las reconoce y le da a seguir hasta que llegue el día del bloqueo total.

Por ejemplo, si un usuario usa la contraseña “nolase20”, la gran mayoría de los sistemas darán por buena “nolase21”, y así sucesivamente. Los cambios de contraseña simplemente serán basados en la original y alteradas de forma secuencial. También, sabemos que los ciberdelincuentes conocen estos mecanismos de sobra y en caso de filtración de contraseñas, lo primero que buscarán son algoritmos en alteraciones y cambios en serie.

Además, el mayor riesgo para las contraseñas ya no es el cracking, sino la recolección de ellas. Los ciberdelincuentes de hoy usan keyloggers, phishing, contraseñas re-utilizadas, ingeniería social y una serie de otros métodos para conseguir credenciales. Básicamente, dado que el modelo de amenaza ha cambiado, si su contraseña se ve comprometida, es casi seguro que se extraerá en segundos, no en meses. Y cuando el ciberdelincuente consiga lo necesario, no va a esperar “90 días”, sino que la aprovechará en cuestión de minutos o como mucho, horas. Así que para cuando el usuario cambie su contraseña, el daño ya estará hecho.

Es preferible que los usuarios se conciencien en crear contraseñas complejas, tipo frases, como por ejemplo “l@Ch!c@d4Y3r>A|V3ga”. Una frase larga pero fácil de recordar sin tener que anotar. También, siempre usarla en combinación con otros mecanismos de autenticación como por ejemplo multi-factores, tokens, certificados, biometría, o por último y mi favorita, “PASSWORDLESS” y solo cambiarla si tienen motivos para creer que han sido comprometidas.

Desde hace algún tiempo, la NIST, a través de la Guía de Identidades Digitales SP 800-63-3 y Microsoft, han adaptado sus recomendaciones de contraseñas eliminando la referencia a la caducidad de 90 días. También lo ha hecho la National Cyber Security Center donde queda reflejado en este post.

El cambio regular de contraseñas sólo nos hace sentir más seguros. Realmente, no hace nada para protegernos. Lo que decía Stoll, “Trata tu contraseña como tu cepillo de dientes. No dejes que nadie más la use”. La última coletilla sobra.

admin

Author admin

More posts by admin
Share