Por qué las contraseñas que nunca expiran pueden ser una decisión arriesgada En el mundo digital actual, las contraseñas son la primera línea de defensa contra el acceso no autorizado a cuentas y datos confidenciales. Durante años, se ha debatido sobre la mejor manera de gestionar las contraseñas para maximizar la seguridad. Uno de los conceptos más discutidos y controvertidos en este ámbito es el de las contraseñas que "nunca expiran". Aunque la idea de que una contraseña fuerte puede permanecer sin cambios para siempre parece atractiva y conveniente, esta práctica puede conllevar riesgos significativos que comprometen la seguridad de los usuarios y las organizaciones. Desde el punto de vista del usuario, el proceso de cambio de contraseña es a menudo visto como una molestia.
Recibir una notificación que dice "es hora de cambiar tu contraseña" puede resultar frustrante, especialmente cuando las nuevas opciones son rechazadas debido a las estrictas políticas de las organizaciones. Tanto los usuarios finales como los equipos de IT sienten esta presión. De hecho, se estima que entre el 20% y el 50% de las llamadas que reciben los departamentos de soporte técnico están relacionadas con la recuperación de contraseñas. Esto ha llevado a algunas organizaciones a tomar la decisión de permitir que las contraseñas permanezcan sin cambios de forma indefinida. Entonces, ¿por qué existe esta idea de que las contraseñas nunca deben expirar? Tradicionalmente, la política de reinicio de contraseñas cada 90 días se instauró para mitigar el riesgo de ataques de fuerza bruta.
Los atacantes suelen intentar descifrar contraseñas a través de la hash, un proceso que convierte contraseñas en cadenas irreconocibles. Cuando un usuario ingresa su contraseña, esta se convierte nuevamente en un hash y se compara con el almacenado. Si un atacante logra descifrar el hash, tiene acceso inmediato. Las políticas de expiración de contraseñas pretenden reducir la ventana de tiempo en la que una contraseña comprometida puede ser utilizada. Sin embargo, las tecnologías han avanzado a tal punto que la rapidez con la que un atacante puede crackear contraseñas ha mejorado significativamente.
Esto ha llevado a una reevaluación de la necesidad de políticas tan estrictas de cambio frecuente de contraseñas. Pero a pesar de que muchos estándares de cumplimiento, como PCI, todavía sugieren un periodo de expiración de 90 días, muchas organizaciones han optado por deshacerse de estas políticas. Una de las explicaciones más comunes para esta decisión es que obligar a los usuarios a cambiar sus contraseñas con frecuencia puede llevar a la creación de contraseñas débiles. Muchos usuarios hacen pequeñas modificaciones a sus contraseñas existentes, como cambiar un número o un carácter, lo cual no mejora la seguridad real. Este es un problema que generalmente se deriva de políticas que permiten contraseñas débiles en primer lugar.
La verdadera cuestión no son los cambios en sí, sino cómo se gestionan y qué tipo de contraseñas se permiten. Además de la creación de contraseñas más débiles, otro factor que a menudo se pasa por alto es el costo en términos de tiempo y recursos para los departamentos de IT. Cuando las contraseñas nunca expiran, se reduce significativamente la carga de trabajo relacionada con la gestión de contraseñas. Esto parece una solución atractiva para las empresas que buscan optimizar costes, pero las implicaciones en seguridad pueden ser desastrosas. Uno de los riesgos más graves asociados con el uso de contraseñas que no expiran es que una contraseña fuerte puede dar lugar a una falsa sensación de seguridad.
Así como un fuerte sistema de cerraduras no garantiza que una puerta permanezca cerrada si se tiene la clave, una contraseña robusta no es inmune a las amenazas. Desde el phishing hasta las filtraciones de datos y otros tipos de incidentes cibernéticos, los usuarios pueden estar en riesgo de comprometer su información sin darse cuenta. Un estudio realizado por Specops reveló que el 83% de las contraseñas comprometidas cumplían con las normativas sobre longitud y complejidad. Un problema adicional se presenta cuando los empleados reutilizan sus contraseñas en múltiples plataformas, como cuentas de redes sociales o aplicaciones de entretenimiento. Aunque una organización puede tener políticas estrictas que exijan contraseñas complejas y seguras, el riesgo aumenta exponencialmente si un empleado reutiliza la misma contraseña en varios servicios.
De acuerdo con una encuesta de LastPass, el 91% de los usuarios comprende el riesgo de reutilizar contraseñas, pero el 59% de ellos admite hacerlo de todos modos. Los cibercriminales también se benefician de las contraseñas que no expiran. Si un atacante obtiene acceso a las credenciales de un empleado, puede tener latitud para operar durante un período prolongado antes de que la organización se dé cuenta de la brecha de seguridad. Un estudio del Instituto Ponemon encontró que puede tomar a una organización hasta 207 días identificar una brecha de seguridad. Durante ese tiempo, un atacante puede haber cumplido su objetivo, lo que cuestiona la efectividad de las políticas de expiración de contraseñas.
Dadas las consideraciones anteriores, es indispensable que las organizaciones adopten un enfoque más integral para la gestión de contraseñas. Más allá de la simple expiración, deben fomentar la creación de contraseñas más seguras y robustas. Por ejemplo, se recomienda el uso de frases de paso de al menos 15 caracteres, lo que puede reducir significativamente la vulnerabilidad a ataques de fuerza bruta. La denominada "envejecimiento basado en la longitud" permite a los usuarios operar con contraseñas más largas durante periodos más extensos antes de ser forzados a cambiar. Sin embargo, incluso las contraseñas más seguras pueden verse comprometidas, por lo que es crucial establecer mecanismos para detectar cuentas que hayan sido violadas.
