Las contraseñas son una de las pocas barreras que se salvaguardan archivos personales o confidenciales de otros usuarios y ciberdelincuentes. Aunque existen formas diferentes de identificarse o iniciar sesión —como una huella biométrica o una autenticación de dos factores— las contraseñas siguen siendo líderes en accesos. ¿Cada cuánto tiempo cambias las contraseñas?

¿Cada cuánto tiempo se aconseja cambiar las contraseñas?

Muchos expertos en ciberseguridad siguen aconsejando el cambiar todas las contraseñas cada pocos meses. Tiene lógica. Si una contraseña ha sido vulnerada, conviene cambiarla tan pronto como sea posible.

Aunque esta técnica en principio no hace mal, durante los últimos años han estado cambiando las directrices de identidad digital y se han ido actualizando con las Guías de Identidad Digital que desaconsejan su uso.

Uno de los problemas de cambiar con mucha frecuencia las contraseñas es debilitarlas en el proceso de cambio, por pura pereza mental. Probablemente, muchos usuarios se sientan identificados con elegir contraseñas como ‘María019’ o ‘Joseluisaaaa’ cuando no se sabe muy bien qué clave elegir.

Estas contraseñas basadas en patrones reconocibles son muy poco seguras y nada recomendables. Especialmente si custodian contraseñas maestras o superservicios como el ecosistema de Google o Facebook, que a su vez sirven como acceso para otros servicios. Estas sí hay que cambiarlas con frecuencia.

¿Cuándo hay que cambiar una contraseña?

Según las Guías de Identidad Digital antes enlazadas, los expertos en ciberseguridad aconsejan ahora cambiar las contraseñas cada vez que estas hayan podido ser vulneradas. Algunos ejemplos de esto podrían ser:

  • El servicio en cuestión (Google, Facebook, etc.) envía un aviso de que la contraseña ha sido vulnerada. Mejor cambiar la clave, pero sin pulsar en enlaces del aviso porque podría ser phishing, un tipo de timo.
  • Se ha extraviado el teléfono móvil, a menudo contenedor de nuestras contraseñas. Además de bloquear el teléfono a distancia, se aconseja cambiar las contraseñas en un ordenador u otro móvil.
  • Se detecta una actividad rara dentro de una cuenta. Quizá hemos sido nosotros mismos, pero mejor no jugársela.
  • Cuando sospechemos de un posible phishing o un timo parecido.
  • Cada año, si no se ha cambiado previamente. O cuando el servicio alerte de que resulta aconsejable cambiarla.

Cómo elegir una contraseña segura

Las contraseñas son una importante medida de seguridad contra el robo de información, y es necesario dedicarles unos minutos cada vez que se cambian. Según la Oficina de Ciberseguridad del Internauta, algo tan sencillo como añadir más caracteres o incluir caracteres más allá de letras y números reduce de forma notable la probabilidad de que alguien descubra la clave.

La contraseña elegida para un servicio, especialmente si este es crítico como la cuenta maestra de Google (que abre otros servicios), ha de cumplir:

  1. Ser única. Es decir, no usarla en ningún otro lugar.
  2. Ser larga. Tanto como sea posible. A más longitud, más robustez.
  3. Incluir caracteres que no sean letras ni números como @, #, ~, € o =.
  4. Ser fácil de recordar.
  5. No estar basada en datos personales como nombres, fechas de cumpleaños o mascotas.
  6. No elegir nunca una contraseña usada previamente.

Una forma relativamente sencilla de crear una contraseña fuerte podría ser la siguiente:

  • Buscar un libro o una revista que siempre se tenga por casa, o incluso que se localice fácilmente por internet.
  • Tomar las cinco primeras palabras de la tercera frase del primer capítulo.
  • Cambiaralgunas letras por números: A = 4, E = 3, I = 1, O = 0.
  • Cambiar espacios por el signo #.
  • Cuando haya que cambiarla, basta con avanzar un capítulo y repetir el proceso.

Autenticación de dos factores

Los factores de autenticación dobles o múltiples son aquellos que exigen dos pasos para poder acceder al servicio, generalmente combinando dos elementos de tres:

  • Algo conocido por el usuario, como una contraseña.
  • Algo que posee el usuario, como un token o el móvil.
  • Una característica física del usuario, como la huella biométrica.

La ventaja de combinar dos de estos sistemas para acceder es que la seguridad se multiplica de forma exponencial. Ahora, los ciberdelincuentes no solo necesitan una contraseña, sino también tener nuestras huellas o el móvil.

Acceder sin permiso a sistemas blindados con factores de autenticación doble o múltiple es notablemente difícil y exige una cantidad de recursos que a menudo no compensan la vulneración. Cuanto más complicado se le ponga al delincuente, mejor.