se lo pone más fácil a los hackers

Durante abriles, la idea de que hay que cambiar periódicamente las contraseñas ha sido considerada una medida esencial en materia de ciberseguridad: empresas, instituciones y usuarios han seguido esta experiencia con la creencia de que ayudaría a proteger datos y sistemas.

Sin requisa, un creciente consenso entre los expertos indicaría ahora que esta política es no solo ineficaz... sino todavía perjudicial para la seguridad.

Recientemente, el Instituto Doméstico de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés) ha actualizado sus recomendaciones en materia de seguridad digital y ha concluido que no se debe exigir a los usuarios cambiar sus contraseñas periódicamente porque eso conduce a la creación de contraseñas débiles y predecibles, facilitando así el trabajo de los ciberdelincuentes en empleo de dificultarlo.

La evidencia científica

Expertos como Alan Woodward, de la Univ. de Surrey (Reino Unido), y Angela Sasse, del University College de Londres, han subrayado los existencias negativos de estos cambios obligatorios. El primero, por ejemplo, que estas políticas ponen una carga excesiva sobre los hombros de los usuarios, quienes, al hallarse obligados a renovar sus claves con frecuencia, optan por soluciones fáciles de rememorar, pero fácilmente vulnerables.

Esto incluye patrones predecibles como amplificar números consecutivos a palabras comúnmente usadas, por ejemplo, "password1", "password2", y así sucesivamente.

Sasse, por su parte, resalta que este debate no es nuevo: su propia investigación ya había revelado que la carga cognitiva y la frustración asociadas con el cambio frecuente de contraseñas llevan a los usuarios a adoptar estrategias de administración de contraseñas poco seguras:

"El intriga es por qué este conocimiento sabio ampliamente aceptado no ha acabado cambiar la mentalidad de auditores, certificadores y una gran parte de la industria de la seguridad".

Un cambio de muestra (y dos consejos)

En sinceridad, la política que ahora asume el NIST ya había sido adoptada por el Centro Doméstico de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés): en 2018, este organismo publicó un referencia que concluía que la exigencia de cambios regulares de contraseña hacen que los usuarios tiendan a realizar modificaciones mínimas en sus claves previas, generando variaciones previsibles y vulnerables a ataques de fuerza bruta o técnicas de ingeniería social.

Las buenas prácticas en seguridad digital están evolucionando en torno a modelos que priorizan la protección efectiva sin imponer cargas innecesarias a los usuarios. Así, frente a la ineficacia de los cambios forzados de contraseña, expertos como Woodward abogan por:

• Adoptar sistemas de autenticación multifactor, que combinan el uso de una contraseña con un segundo autor de autenticación, como un código único enviado por SMS o una aplicación de autenticación. Según Woodward,

"Esto anula la mayoría de los ataques, ya que un atacante que logre obtener la contraseña de un heredero seguiría necesitando el segundo autor de autenticación".

• El NIST recomienda que las contraseñas sean largas y compuestas por frases fáciles de rememorar, pero difíciles de adivinar, en empleo de cadenas cortas de caracteres complejos que los usuarios tienden a olvidar.

Es hora de que empresas y usuarios adopten estas recomendaciones y dejen antes prácticas obsoletas que, acullá de proteger, facilitan el trabajo de los atacantes... esperamos no descubrir interiormente de diez abriles que había otras investigaciones que apuntaban en otro sentido.

Vía | New Scientist

Imagen | Marcos Merino mediante IA

En Genbeta | Si usas una de las contraseñas de esta serie, tienes el récord del inicio de sesión más hackeable de Internet