La seguridad informática es un reto en constante evolución. A medida que surgen nuevas amenazas y tecnologías, también cambian las recomendaciones sobre cómo proteger la información sensible. Una práctica muy arraigada durante años ha sido exigir a los usuarios que cambien sus contraseñas de manera periódica, generalmente cada 30, 60 o 90 días. Sin embargo, investigaciones recientes indican que esta práctica podría no ser tan efectiva como se pensaba anteriormente y, en algunos casos, incluso puede perjudicar la seguridad general. El cambio obligatorio de contraseñas fue diseñado para proteger las cuentas de accesos no autorizados.
En teoría, si un atacante consigue la contraseña, esta caducará tras un tiempo y será necesaria una nueva, reduciendo la ventana de vulnerabilidad. Sin embargo, estudios académicos realizados en universidades de renombre han demostrado que forzar a los usuarios a cambiar sus contraseñas frecuentemente lleva a comportamientos inseguros y predecibles. Uno de los estudios más reveladores fue llevado a cabo en la Universidad de Carolina del Norte, donde investigadores analizaron miles de contraseñas de cuentas desactivadas de estudiantes y personal universitario que estaban sujetos a un cambio obligatorio cada tres meses. Utilizando tecnologías avanzadas de descifrado, concluyeron que una gran mayoría de las contraseñas nuevas seguían patrones predecibles derivados de la contraseña anterior, como reemplazar letras por símbolos similares o simplemente incrementando números al final. Esta predictibilidad facilitó que atacantes pudieran anticipar las nuevas contraseñas con pocas conjeturas, incrementando el riesgo en lugar de mitigarlo.
Para un porcentaje significativo de cuentas, conocer una contraseña antigua permitió adivinar la nueva en menos de cinco intentos. Esto revela que la política de cambio frecuente puede hacer que los usuarios elijan contraseñas más débiles y faciliten el trabajo a quienes intentan vulnerar sus cuentas. Además, otro aspecto importante es la fatiga del usuario. La molestia de tener que recordar múltiples contraseñas cambiadas constantemente provoca que muchos opten por soluciones inseguras, como reutilizar variaciones de la misma contraseña o incluso apuntarlas en lugares no seguros. Este fenómeno es respaldado por estudios que indican que los usuarios hundidos en el estrés de la política de cambio terminan optando por contraseñas más simples, reduciendo la efectividad de la seguridad impuesta.
Por otro lado, se ha demostrado que sin la presencia de indicios de que la contraseña haya sido comprometida, cambiarla de forma regular no ofrece una protección significativa contra ataques modernos. Atacantes con acceso a archivos de contraseñas cifradas pueden emplear ataques offline masivos, tratando millones de combinaciones sin limitaciones de intentos, lo que logra socavar la utilidad de la renovación frecuente. La solución a este problema no es eliminar por completo la práctica de cambiar contraseñas, sino aplicarla de manera más inteligente. Los expertos sugieren que los usuarios cambien sus contraseñas solamente cuando exista una sospecha real de compromiso, como en casos de brechas de seguridad conocidas, o cuando exista evidencia de que su contraseña ha sido expuesta. También es fundamental fomentar la creación de contraseñas robustas desde un inicio.
En lugar de forzar cambios, se recomienda que las organizaciones implementen políticas que requieran contraseñas largas, complejas y únicas, y que utilicen tecnologías como funciones de hash lentas junto a salting para dificultar el descifrado. La incorporación de métodos de autenticación multifactor (MFA) es otra estrategia que potencia la seguridad sin generar la fricción que implica el cambio constante de contraseñas. La autenticación multifactor añade una capa extra, ya sea mediante códigos enviados al teléfono, aplicaciones de autenticación o biometría, lo que dificulta considerablemente el acceso no autorizado incluso en caso de que una contraseña sea comprometida. Desde una perspectiva organizacional, es importante realizar evaluaciones de riesgo periódicas para balancear la seguridad con la experiencia del usuario. Forzar cambios innecesarios puede resultar en frustración y menor productividad, además de potencialmente incrementar comportamientos inseguros.
Por ello, las políticas deben estar fundamentadas en evidencias y actualizadas conforme a las tendencias y hallazgos en ciberseguridad. En 2009, el Instituto Nacional de Estándares y Tecnología (NIST) ya había señalado que las políticas de expiración de contraseñas, aunque en ciertos casos pueden ser útiles para reducir el impacto de algunas exposiciones, tienden a ser ineficaces y frustrantes para los usuarios. La posición actual de este organismo y de otros expertos es que priorizar la longitud y complejidad de las contraseñas, junto con tecnologías adicionales de seguridad, brinda un mejor balance entre protección y usabilidad. En resumen, la obligatoriedad de cambiar contraseñas de forma periódica es una práctica que merece una revisión profunda y actualizada. Adoptar un enfoque basado en la evidencia científica, que promueva contraseñas fuertes desde el principio y que combine múltiples capas de seguridad, contribuirá a proteger la información sin generar molestias innecesarias a los usuarios.
Por ello, tanto individuos como organizaciones deben replantear sus estrategias de seguridad digital y evitar caer en dogmas antiguos que ya no se ajustan a las necesidades y retos actuales. La seguridad informática no es estática; requiere adaptabilidad, integración de nuevas tecnologías y, sobre todo, políticas flexibles que consideren el comportamiento humano y el equilibrio entre protección y experiencia del usuario. Al priorizar la educación en buenas prácticas, incentivando el uso de herramientas como gestores de contraseñas y autenticación multifactor, y haciendo cambios de contraseña solo cuando sea pertinente, se podrán establecer entornos digitales más seguros y eficientes. La fortaleza de la seguridad radica no solo en las medidas técnicas, sino también en cómo estas se adaptan a la realidad y capacidades de las personas que las utilizan.
