- Un estudio ha señalado la mala práctica que lleva cambiar periódicamente de clave
Con cada vez más aspectos de nuestra vida digitalizados, la forma más popular de proteger nuestra información y lo que almacenamos en cada app, servicio o sistema es mediante las contraseñas. Estas claves alfanuméricas sirven para identificarnos y desbloquear el acceso, pero si son replicadas por otros, nuestros datos están en peligro.
Por eso desde siempre se han tomado medidas para evitar que nos roben o adivinen nuestras claves, desde poner contraseñas que combinan letras mayúsculas y minúsculas, números e incluso diferentes símbolos que podemos encontrar en un teclado.
Pero esa no es la única recomendación para fortalecer nuestra ciberseguridad, sino que desde siempre se ha recomendado cambiar tu contraseña cada cierto tiempo, para evitar (en caso de filtración de datos) que puedan acceder a nuestras cuentas.
Sin embargo, los expertos del Instituto de Tecnología y Estándares norteamericano (NIST) han actualizado sus pautas para garantizar la seguridad de las contraseñas, donde tras un estudio han descubierto que esta recomendación tan extendida se ha convertido en una vulnerabilidad y ajuste que no dificulta, sino que facilita un ciberataque.
Tal y como detalla el NIST en el apartado de Autenticadores de contraseñas, los verificadores y políticas de seguridad de contenido (CSP) "no deben exigir a los usuarios" que lleven a cabo esta recomendación, a no ser que haya una evidencia de que "el autenticador está comprometido".
Esto se debe a que los usuarios tienden a generar contraseñas cada vez más sencillas que puedan recordar cuando tienen que cambiarlas de forma habitual. Lo que hace que sus claves sean menos seguras y más fáciles de adivinar en una filtración o ataque.
Del mismo modo que estos expertos señalan que imponer reglas de composición, es decir, la contraseña debe llevar al menos una mayúscula, un número y un símbolo, tampoco ayuda, ya que estas reglas solo provocan cambios como introducir un número o un símbolo totalmente predecibles para los ciberdelincuentes.
Por ejemplo, un usuario que escoja la palabra 'contraseña' como contraseña, "sería relativamente probable que eligiera 'Contraseña1' si se le solicitara que incluya una letra mayúscula y un número o '¡Contraseña1!' si también se requiere un símbolo".
