Expertos en ciberseguridad recomiendan establecer contraseñas que contengan más de ocho caracteres, combinando letras, números y símbolos. Además, se sugiere cambiarlas periódicamente para evitar vulnerabilidades. Sin embargo, un reciente documento del Instituto Nacional de Estándares y Tecnología (NIST) propone lo contrario: modificar las contraseñas frecuentemente puede ser más inseguro que mantener una fija.
Según la experiencia del NIST, la regla de cambiar contraseñas constantemente lleva a los usuarios a crear palabras más sencillas para recordarlas fácilmente. Además, este protocolo puede resultar en cambios predecibles, como alterar solo el último número de una serie. Ejemplos de una mala práctica son “Contraseña2023” y “Contraseña2024”. El instituto recomienda cambiar la contraseña solo si hay evidencia de que ha sido comprometida.
“El análisis de bases de datos de contraseñas violadas revela que el beneficio de tales reglas es menos significativo de lo que se pensaba inicialmente, y los impactos en la usabilidad y la memorabilidad son graves”, menciona el documento del NIST.
Entre otras recomendaciones del NIST, se incluye evitar preguntas de recuperación de clave basadas en información personal o sugerencias de respuestas. También se incentiva a las plataformas a activar la funcionalidad de copiar y pegar contraseñas, ya que esto aumenta la probabilidad de usar palabras complejas o códigos aleatorios.
¿Podrás abrir tus documentos actuales de Word dentro de 20 años? Probablemente no, a menos que tomes antes las medidas necesarias para prolongar la vida útil de esos archivos digitales.
Las contraseñas ya no son garantía de seguridad
Un usuario que emplee una contraseña larga y compleja o una sencilla y predecible es igualmente vulnerable a métodos alternativos de recopilación de información, como el phishing, la ingeniería social o los virus que registran pulsaciones de teclas. Los expertos recomiendan reforzar las habilidades preventivas al navegar por internet o descargar elementos externos.
El 4 de julio, un usuario desconocido publicó en un foro de hacking el archivo “RockYou2024”, que contenía 9,948,575,739 contraseñas robadas. Este acto fue catalogado como la mayor filtración de datos de la historia. Tras la revelación, analistas de ciberseguridad sugirieron de inmediato actualizar las contraseñas, aunque no se tuviera la certeza de aparecer en la lista.
Ante la oleada de filtraciones, las passkeys o claves de acceso se presentan como la mejor alternativa a las contraseñas tradicionales. Estos códigos, generados mediante criptografía de clave pública, se almacenan en el dispositivo o en el gestor de contraseñas y permiten iniciar sesión en sitios web y aplicaciones utilizando la huella dactilar, el reconocimiento facial o un PIN. Google, Apple, Microsoft, Amazon, GitHub, PayPal, Nintendo y más de 100 sitios web ya admiten las passkeys en lugar de las contraseñas.