Por qué no deberías cambiar tu contraseña tan a menudo

Informatec Digital » Recursos » Por qué no deberías cambiar tu contraseña tan a menudo

Durante años hemos escuchado que lo responsable era cambiar la contraseña cada poco tiempo, casi como si fuera hacer la declaración de la renta: tocaba sí o sí. Pero en los últimos años los principales organismos de referencia en ciberseguridad, como el Instituto Nacional de Estándares y Tecnología de EEUU (NIST), han revisado por completo esta recomendación y han llegado a una conclusión llamativa: forzar cambios frecuentes de contraseña suele empeorar la seguridad en lugar de mejorarla.

Este giro de criterio se apoya en datos de fugas masivas de credenciales, estudios de comportamiento de usuarios y la experiencia práctica de empresas y universidades. Hoy, la recomendación dominante es mantener contraseñas fuertes, largas y únicas, cambiarlas solo cuando exista sospecha o evidencia de compromiso, y apoyarse en herramientas como la autenticación multifactor (MFA) y los gestores de contraseñas para no volverse loco memorizando claves imposibles.

Por qué ya no se aconseja cambiar la contraseña tan a menudo

El NIST, que marca los estándares técnicos para agencias públicas de Estados Unidos y sirve de referencia para empresas de todo el mundo, ha dejado claro en su guía SP 800‑63‑4 que no se debe obligar a los usuarios a renovar su contraseña de forma periódica si no hay indicios de incidente de seguridad. Es un cambio radical respecto a las políticas clásicas de «cámbiala cada 30/60/90 días».

En el borrador público de estas directrices se explica que, cuando una contraseña se ha elegido correctamente (es larga, aleatoria y única), forzar cambios cada uno o tres meses reduce la seguridad: la carga de recordar nuevas claves empuja a la gente a simplificarlas, reutilizarlas o aplicar patrones previsibles, justo lo que aprovechan los atacantes.

Las recomendaciones actuales indican que los proveedores de servicios y los verificadores de identidad no deberían imponer caducidades periódicas de contraseña. En cambio, sí están obligados a forzar un cambio inmediato cuando haya señales de que el autenticador ha sido comprometido, por ejemplo, tras una fuga de datos, un acceso sospechoso o la presencia de la clave en bases filtradas.

Además, el NIST cuestiona otras exigencias tradicionales, como las reglas de composición rígidas (obligar sí o sí a mezclar mayúsculas, números y símbolos) o las célebres preguntas de seguridad tipo «nombre de tu primera mascota». La evidencia muestra que estas normas hacen que los usuarios se comporten de forma muy predecible, generando contraseñas como Contraseña2023, Contraseña2024 o Contraseña1!, que son un regalo para los atacantes.

El análisis de enormes bases de datos de contraseñas robadas revela que el beneficio real de estas reglas clásicas es mucho menor de lo que se pensaba, mientras que el impacto negativo en usabilidad y memorabilidad es enorme. Resumen: la gente termina buscando atajos fáciles, y esos atajos coinciden casi siempre.

Cómo realmente se comprometen tus contraseñas hoy en día

Más allá de si la cambias cada tres meses o no, tus cuentas se ven expuestas por la forma en que los ciberdelincuentes consiguen las contraseñas. El robo no suele llegar por una adivinación milagrosa de tu clave, sino por varios vectores muy concretos y conocidos.

Una de las vías más habituales son las filtraciones masivas de datos de servicios online. Redes sociales, foros, plataformas de juegos, comercios electrónicos o proveedores cloud sufren fallos de seguridad que exponen millones de combinaciones usuario‑contraseña, a veces incluso sin cifrar o con algoritmos ya rotos. Esas bases acaban revendidas en foros de hacking y en la dark web.

Otra forma clásica es que tu clave sea débil o demasiado común. Listas de las contraseñas más usadas en países como España muestran auténticas barbaridades como «admin», «123456», «000000», «password» o nombres y ciudades evidentes como «carl0s» o «barcelona». Ese tipo de combinaciones se rompen en menos de un segundo con herramientas de fuerza bruta automatizadas.

También están los ataques de phishing e ingeniería social, en los que un atacante te convence para que introduzcas la contraseña en una página falsa que imita a la de tu banco, de correo o de redes sociales. A veces se combina con malware tipo keylogger, que registra las pulsaciones de teclado para capturar cualquier credencial que introduzcas.

Por último, no hay que olvidar las vulnerabilidades de software y hardware. Sistemas sin actualizar, routers con firmware antiguo, aplicaciones con fallos de seguridad… todo esto puede permitir a un tercero acceder a tus contraseñas almacenadas o incluso cambiarlas y bloquear tu acceso legítimo. De ahí la insistencia de los expertos en mantener sistemas y dispositivos al día.

Por qué cambiarla “por si acaso” puede ser una mala idea

En este contexto, muchos usuarios asumen que cambiar la contraseña cada poco tiempo es una especie de cinturón de seguridad universal. Sin embargo, tanto el NIST como estudios de universidades como Carnegie Mellon coinciden en que los cambios frecuentes sin motivo aumentan el riesgo de malas prácticas.

Cuando un sistema obliga a modificar contraseñas de forma continua, la mayoría de la gente deja de pensarlo demasiado y aplica pequeñas transformaciones triviales: añadir o incrementar un número al final, cambiar el año, alternar un símbolo evidente… justo los patrones que los atacantes ya tienen contemplados en sus diccionarios.

Además, la incomodidad de estos cambios empuja a utilizar contraseñas cada vez más cortas y fáciles, o directamente a reutilizar la misma clave en distintos servicios con ligeras variaciones. Si un atacante rompe una de esas cuentas, tendrá pistas muy claras para el resto, multiplicando el daño potencial.

Muchos expertos apuntan que, si las empresas dedicaran el tiempo y dinero invertido en forzar cambios trimestrales de contraseña a formar a los usuarios en cómo crear claves robustas y únicas, y a desplegar gestores de contraseñas y verificación en dos pasos, la mejora real de seguridad sería mucho mayor.

Incluso compañías de seguridad reconocen que, sin evidencia de filtración, renovar la contraseña de forma rutinaria no la hace más segura. De hecho, puede generar una falsa sensación de protección mientras se mantienen otras debilidades más graves, como reutilizar la misma clave en múltiples sitios o no activar MFA.

Cuándo sí debes cambiar tu contraseña sin pensártelo

Aunque la rotación forzada deje de ser una buena práctica, eso no significa que debas aferrarte a la misma contraseña pase lo que pase. Hay situaciones en las que cambiarla de inmediato es imprescindible para reducir el riesgo.

Si una empresa en la que tienes cuenta anuncia una violación de datos, lo prudente es actualizar la contraseña de ese servicio cuanto antes, y también de otros donde la estés reutilizando (si es que has cometido ese pecado). A veces estas brechas tardan semanas en comunicarse, así que herramientas de monitorización de la dark web o servicios tipo «Have I Been Pwned» ayudan a detectar antes si tu email aparece en un listado filtrado.

Otro aviso claro son los intentos de acceso o cambio de contraseña no solicitados. Si recibes correos legítimos de «¿Has pedido restablecer tu contraseña?» o alertas de inicio de sesión desde ubicaciones o dispositivos que no reconoces, conviene cambiar inmediatamente la clave entrando tú mismo en el servicio (sin pinchar en enlaces sospechosos) y habilitar MFA si aún no lo has hecho.

Si sospechas que tu dispositivo ha sido infectado con malware, también debes cambiar las contraseñas, pero solo después de limpiar el equipo. De nada sirve renovar claves si el atacante sigue viendo todo lo que tecleas. Una vez el sistema esté desinfectado, hay que actualizar las credenciales de los servicios críticos (correo, banco, redes sociales, nube, etc.).

En el caso de que una de tus cuentas haya sido claramente hackeada (aparecen mensajes que tú no has enviado, compras que no has hecho, cambios de perfil extraños), hay que considerar comprometidas todas las cuentas que compartan la misma contraseña o variantes parecidas y cambiar sus claves inmediatamente.

En entornos corporativos, para cuentas de administrador o sistemas especialmente sensibles, muchas organizaciones siguen optando por rotar credenciales privilegiadas con cierta frecuencia, pero lo hacen de forma automatizada y generando contraseñas aleatorias fuertes, precisamente para evitar los errores humanos asociados a los cambios manuales.

Qué es hoy una contraseña segura (y qué no lo es)

Una contraseña no deja de ser un conjunto de caracteres que te da acceso a información privada o recursos valiosos: correo, redes sociales, banca online, panel de tu web, VPN de empresa, dispositivos móviles, etc. Que sea la única barrera entre tu vida digital y un atacante debería bastar para tomárselo en serio.

Los expertos llevan tiempo repitiendo que una buena contraseña debe ser larga, compleja y única. Tradicionalmente se hablaba de mínimo ocho caracteres, combinando mayúsculas, minúsculas, números y símbolos, y evitando palabras del diccionario o datos personales (fechas, nombres, matrículas…).

Las directrices más recientes del NIST ponen aún más énfasis en la longitud: recomiendan exigir al menos 8 caracteres, pero consideran deseable subir el listón a 15 o más, permitiendo hasta 64 caracteres de máximo. Cuanto más larga, más difícil es de romper con ataques automatizados, siempre que no sea una frase previsible.

Una buena estrategia para humanos es usar frases de contraseña: secuencias de palabras aleatorias mezcladas con símbolos y mayúsculas, que son fáciles de recordar para ti pero muy duras de atacar para un ordenador. Ejemplos del estilo «Marte-Ballena-Cerca4-Derretido» o «Minuto.Camión.Donde2.Intento» ofrecen una entropía muy alta sin depender de patrones típicos.

Lo que debes evitar son las contraseñas que aparecen año tras año entre las más usadas: «123456», «password», «qwerty», «111111», «admin», combinaciones de teclado evidentes, palabras sueltas, secuencias de números o claves basadas en información que cualquiera podría extraer de tus redes sociales (nombre de la pareja, equipo de fútbol, fecha de nacimiento…).

Igual de importante es que cada servicio utilice una contraseña diferente. Reutilizar la misma clave para correo, redes, banco y compras es como usar la misma llave para tu casa, el coche y la caja fuerte y, encima, dejar una copia en el felpudo. Si una de esas webs sufre una brecha, el atacante podría probar directamente esa combinación en el resto de servicios populares.

Autenticación multifactor, gestores de contraseñas y passkeys

La otra gran pata del cambio de paradigma es dejar de confiarlo todo a una sola clave, por buena que sea. Hoy se considera esencial complementar las contraseñas con autenticación multifactor (MFA) siempre que el servicio lo permita.

La MFA añade una segunda prueba de identidad que puede ser algo que sabes (la propia contraseña), algo que tienes (móvil, token físico, aplicación de códigos) o algo que eres (huella, rostro, iris). Así, aunque alguien robe tu contraseña, le será mucho más difícil entrar sin ese segundo factor.

Activar MFA en correo, redes sociales, banca online, servicios en la nube o acceso remoto de trabajo frustra muchos ataques automatizados basados en probar contraseñas robadas o débiles. Incluso si tu clave aparece en una filtración, el atacante se encontrará con un muro adicional difícil de saltar.

Para lidiar con el problema de recordar decenas de claves largas y únicas, los expertos recomiendan usar un gestor de contraseñas. Estas herramientas generan claves aleatorias muy complejas, las almacenan cifradas en una bóveda y las rellenan por ti al iniciar sesión. Tú solo tienes que proteger una contraseña maestra fuerte y, si es posible, activarle también MFA.

Un buen gestor evita prácticas peligrosas como anotar contraseñas en papeles, hojas de cálculo sin cifrar o notas del móvil, o dejar que el navegador las guarde sin más. Además, facilita que utilices contraseñas mucho más largas de lo que podrías recordar por tu cuenta, lo que mejora la resistencia ante ataques.

En paralelo, empiezan a popularizarse las passkeys o claves de acceso, una alternativa moderna a la contraseña tradicional basada en criptografía de clave pública. Las passkeys se almacenan en el dispositivo o en un gestor compatible y permiten iniciar sesión usando la huella, el reconocimiento facial o un PIN local, sin enviar una contraseña reutilizable al servidor.

Gigantes como Google, Apple, Microsoft, Amazon, PayPal o GitHub ya soportan passkeys, y más de un centenar de webs y apps se están sumando. Aunque las contraseñas no van a desaparecer de la noche a la mañana, el futuro apunta a sistemas passwordless que mitiguen muchos de los problemas actuales de robo y reutilización.

Buenas prácticas de seguridad de contraseñas en el día a día

Más allá del debate sobre la caducidad, tu objetivo debe ser reducir al mínimo la superficie de ataque que ofrecen tus contraseñas. Eso pasa por combinar varias buenas prácticas sencillas de incorporar si se hace con cabeza.

En primer lugar, comprométete a no reutilizar la misma contraseña en más de una cuenta, sobre todo en servicios críticos como correo, banco, tiendas online con tarjeta guardada y accesos de trabajo. Si hoy ya la estás reutilizando, marca como prioridad cambiar esas claves y separarlas usando un gestor.

Al actualizar una contraseña, evita hacer «trampas» como modificar solo un carácter (añadir un número al final, sustituir una letra por un símbolo similar, etc.). Los ciberdelincuentes conocen perfectamente estos patrones y las herramientas de ataque los integran de serie.

Valora usar frases de contraseña largas para aquellas cuentas que quieras recordar de memoria (por ejemplo, la contraseña maestra del gestor). Combina varias palabras sin relación aparente, introduce mayúsculas en posiciones poco obvias y añade algún número o símbolo entre medias para aumentar la entropía.

Cuando no necesites memorizar la contraseña porque usarás un gestor, aprovecha sus generadores de contraseñas y passphrases. Estos crean cadenas aleatorias como «3>ZfrT61(9#X;?Kdk4FQ» o frases complejas de forma automática y las guardan en tu bóveda. Lo importante aquí no es tanto poder recitarlas de memoria como asegurarte de que nadie más pueda adivinarlas.

En el plano operativo, evita a toda costa almacenar contraseñas en texto plano en tu ordenador o móvil, ya sea en notas, documentos sueltos, fotos de post‑its o correos que te envías a ti mismo. Cualquier malware, robo de dispositivo o acceso físico no autorizado convertiría todo eso en un mapa del tesoro para un atacante.

Finalmente, acostúmbrate a revisar periódicamente si tus cuentas han aparecido en filtraciones conocidas, usando servicios de comprobación de brechas o las funciones de seguridad de tu propio gestor de contraseñas o navegador. Si detectas que una clave se ha visto expuesta, ahí sí toca cambiarla sin dudar.

En un mundo donde las filtraciones de datos se cuentan por miles de millones y surgen alternativas como MFA y passkeys, la estrategia ganadora ya no pasa por machacarte cambiando contraseñas cada poco tiempo, sino por construir un ecosistema de acceso robusto y manejable: claves largas y únicas, protección multifactor, herramientas que te faciliten la gestión y atención a las señales de compromiso real. Si ajustas tus hábitos en esa dirección, tus cuentas estarán mucho mejor defendidas aunque no recuerdes la última vez que cambiaste la contraseña «por calendario».