Ciberconsejos | No es recomendable obligar a cambiar claves periódicamente

A principios del presente siglo se popularizó la idea de que era necesario cambiar nuestras claves cada cierto lapso de tiempo, generalmente uno o tres meses. Pero esa ha resultado ser una recomendación equivocada.

Como se explica en detalle en el siguiente artículo que publicó el CSIRT de la Agencia Nacional de Ciberseguridad en 2024, el responsable de hacer la recomendación reconoció en 2017 que la incluyó como parte de un informe del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. sin contar con evidencia que la respaldara.

Y lo que ha demostrado la evidencia que sí se ha logrado recopilar desde entonces es que obligar a cambiar contraseñas regularmente no solo no mejora la ciberseguridad, sino que tiende a disminuirla. Esto, porque los usuarios tienden a cambiar sus claves de formas muy simples, como agregando un número al final ("clave2", "clave3", etc.), o peor aún, a usar palabras comunes, que son más fáciles de recordar... pero también fáciles de adivinar.

Lo que si nos vuelve más seguros es crear buenas contraseñas, usar un gestor de claves y utilizar un segundo factor de autenticación.