Resulta que obligarnos a cambiar regularmente de contraseña no era tan buena idea como parecía: se lo pone más fácil a los hackers
Durante años, la idea de que hay que cambiar periódicamente las contraseñas ha sido considerada una medida esencial en materia de ciberseguridad: empresas, instituciones y usuarios han seguido esta práctica con la creencia de que ayudaría a proteger datos y sistemas. Sin embargo, un creciente consenso entre los expertos indicaría ahora que esta política es no solo ineficaz... sino también perjudicial para la seguridad. Recientemente, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés) ha actualizado sus recomendaciones en materia de seguridad digital y ha concluido que no se debe exigir a los usuarios cambiar sus contraseñas periódicamente porque eso conduce a la creación de contraseñas débiles y predecibles, facilitando así el trabajo de los ciberdelincuentes en lugar de dificultarlo. La inesperada postura del NIST está respaldada por "décadas de investigaciones" La evidencia científica Expertos como Alan Woodward, de la Univ. de Surrey (Reino Unido), y Angela Sasse, del University College de Londres, han subrayado los efectos negativos de estos cambios obligatorios. El primero, por ejemplo, que estas políticas ponen una carga excesiva sobre los hombros de los usuarios, quienes, al verse obligados a renovar sus claves con frecuencia, optan por soluciones fáciles de recordar, pero fácilmente vulnerables. En Genbeta Un hacker ha contado los errores que cometemos al elegir una contraseña. No querrás repetirlos Esto incluye patrones predecibles como agregar números consecutivos a palabras comúnmente usadas, por ejemplo, "password1", "password2", y así sucesivamente. Sasse, por su parte, resalta que este debate no es nuevo: su propia investigación ya había revelado que la carga cognitiva y la frustración asociadas con el cambio frecuente de contraseñas llevan a los usuarios a adoptar estrategias de gestión de contraseñas poco seguras: "El misterio es por qué este conocimiento científico ampliamente aceptado no ha logrado cambiar la mentalidad de auditores, certificadores y una gran parte de la industria de la seguridad". Un cambio de paradigma (y dos consejos) En realidad, la política que ahora asume el NIST ya había sido adoptada por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés): en 2018, este organismo publicó un informe que concluía que la exigencia de cambios regulares de contraseña hacen que los usuarios tiendan a realizar modificaciones mínimas en sus claves previas, generando variaciones previsibles y vulnerables a ataques de fuerza bruta o técnicas de ingeniería social. Las buenas prácticas en seguridad digital están evolucionando hacia modelos que priorizan la protección efectiva sin imponer cargas innecesarias a los usuarios. Así, frente a la ineficacia de los cambios forzados de contraseña, expertos como Woodward abogan por: Adoptar sistemas de autenticación multifactor, que combinan el uso de una contraseña con un segundo factor de autenticación, como un código único enviado por SMS o una aplicación de autenticación. Según Woodward, "Esto anula la mayoría de los ataques, ya que un atacante que logre obtener la contraseña de un usuario seguiría necesitando el segundo factor de autenticación". El NIST recomienda que las contraseñas sean largas y compuestas por frases fáciles de recordar, pero difíciles de adivinar, en lugar de cadenas cortas de caracteres complejos que los usuarios tienden a olvidar. Es hora de que empresas y usuarios adopten estas recomendaciones y dejen atrás prácticas obsoletas que, lejos de proteger, facilitan el trabajo de los atacantes... esperamos no descubrir dentro de diez años que había otras investigaciones que apuntaban en otro sentido. Vía | New Scientist Imagen | Marcos Merino mediante IA En Genbeta | Si usas una de las contraseñas de esta lista, tienes el récord del inicio de sesión más hackeable de Internet - La noticia Resulta que obligarnos a cambiar regularmente de contraseña no era tan buena idea como parecía: se lo pone más fácil a los hackers fue publicada originalmente en Genbeta por Marcos Merino .
Durante años, la idea de que hay que cambiar periódicamente las contraseñas ha sido considerada una medida esencial en materia de ciberseguridad: empresas, instituciones y usuarios han seguido esta práctica con la creencia de que ayudaría a proteger datos y sistemas.
Sin embargo, un creciente consenso entre los expertos indicaría ahora que esta política es no solo ineficaz... sino también perjudicial para la seguridad.
Recientemente, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés) ha actualizado sus recomendaciones en materia de seguridad digital y ha concluido que no se debe exigir a los usuarios cambiar sus contraseñas periódicamente porque eso conduce a la creación de contraseñas débiles y predecibles, facilitando así el trabajo de los ciberdelincuentes en lugar de dificultarlo.
La evidencia científica
Expertos como Alan Woodward, de la Univ. de Surrey (Reino Unido), y Angela Sasse, del University College de Londres, han subrayado los efectos negativos de estos cambios obligatorios. El primero, por ejemplo, que estas políticas ponen una carga excesiva sobre los hombros de los usuarios, quienes, al verse obligados a renovar sus claves con frecuencia, optan por soluciones fáciles de recordar, pero fácilmente vulnerables.
Esto incluye patrones predecibles como agregar números consecutivos a palabras comúnmente usadas, por ejemplo, "password1", "password2", y así sucesivamente.
Sasse, por su parte, resalta que este debate no es nuevo: su propia investigación ya había revelado que la carga cognitiva y la frustración asociadas con el cambio frecuente de contraseñas llevan a los usuarios a adoptar estrategias de gestión de contraseñas poco seguras:
"El misterio es por qué este conocimiento científico ampliamente aceptado no ha logrado cambiar la mentalidad de auditores, certificadores y una gran parte de la industria de la seguridad".
Un cambio de paradigma (y dos consejos)
En realidad, la política que ahora asume el NIST ya había sido adoptada por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés): en 2018, este organismo publicó un informe que concluía que la exigencia de cambios regulares de contraseña hacen que los usuarios tiendan a realizar modificaciones mínimas en sus claves previas, generando variaciones previsibles y vulnerables a ataques de fuerza bruta o técnicas de ingeniería social.
Las buenas prácticas en seguridad digital están evolucionando hacia modelos que priorizan la protección efectiva sin imponer cargas innecesarias a los usuarios. Así, frente a la ineficacia de los cambios forzados de contraseña, expertos como Woodward abogan por:
- Adoptar sistemas de autenticación multifactor, que combinan el uso de una contraseña con un segundo factor de autenticación, como un código único enviado por SMS o una aplicación de autenticación. Según Woodward,
"Esto anula la mayoría de los ataques, ya que un atacante que logre obtener la contraseña de un usuario seguiría necesitando el segundo factor de autenticación".
- El NIST recomienda que las contraseñas sean largas y compuestas por frases fáciles de recordar, pero difíciles de adivinar, en lugar de cadenas cortas de caracteres complejos que los usuarios tienden a olvidar.
Es hora de que empresas y usuarios adopten estas recomendaciones y dejen atrás prácticas obsoletas que, lejos de proteger, facilitan el trabajo de los atacantes... esperamos no descubrir dentro de diez años que había otras investigaciones que apuntaban en otro sentido.
Vía | New Scientist
Imagen | Marcos Merino mediante IA
En Genbeta | Si usas una de las contraseñas de esta lista, tienes el récord del inicio de sesión más hackeable de Internet
-
La noticia
Resulta que obligarnos a cambiar regularmente de contraseña no era tan buena idea como parecía: se lo pone más fácil a los hackers
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
