Política de contraseñas Mejores prácticas 2025 para una seguridad sólida

Una política de contraseñas sólida suele ser la primera línea de defensa contra los ciberataques, pero muchas organizaciones siguen aplicando directrices obsoletas que las exponen a riesgos significativos.

Según el DBIR 2025 de Verizon, las credenciales comprometidas siguen siendo una de las principales tácticas de pirateo informático -utilizadas en el 22% de las violaciones e implicadas en el 88% de los ataques a aplicaciones web básicas-, lo que pone de manifiesto cómo las contraseñas débiles o robadas siguen impulsando una gran parte de las violaciones de datos.

La seguridad de las contraseñas nunca ha sido tan importante, sobre todo teniendo en cuenta que un gran número de trabajadores sigue trabajando desde casa. La superficie de amenaza se ha ampliado, por lo que es crucial que las organizaciones actualicen su política de contraseñas para educar al personal sobre cómo crear contraseñas seguras y proporcionar una defensa sólida contra las ciberamenazas.

Las orientaciones anteriores sobre la seguridad de las contraseñas tendían a centrarse en la unicidad, la complejidad, la longitud mínima de la contraseña y los cambios regulares de la misma; sin embargo, los últimos consejos se han alejado de esto, ya que muchas de estas prácticas sobre contraseñas podrían, de hecho, hacer que los usuarios crearan contraseñas más débiles en lugar de más fuertes.

Mejores prácticas de política de contraseñas

Aumentar la longitud de las contraseñas y reducir la atención prestada a su complejidad

En el pasado, los consejos sobre la seguridad de las contraseñas se han centrado en gran medida en la creación de contraseñas complejas, pero esto a menudo conduce a la reutilización de las contraseñas existentes con pequeñas modificaciones. Según el Consejo Nacional de Ciberseguridad«Los requisitos de complejidad suponen una carga adicional para los usuarios, muchos de los cuales utilizarán patrones predecibles (como sustituir la letra ‘o’ por un cero o utilizar caracteres especiales) para cumplir los criterios de ‘complejidad’ exigidos.

Los atacantes están familiarizados con estas estrategias y utilizan este conocimiento para optimizar sus ataques». La longitud de la contraseña suele ser un factor mucho más importante, ya que una contraseña más larga es estadísticamente más difícil de descifrar. El NIST y Microsoft aconsejan una longitud mínima de 8 caracteres para una contraseña generada por el usuario, y para reforzar la seguridad de las cuentas más sensibles, el NIST recomienda a las organizaciones fijar la longitud máxima de la contraseña en 64 caracteres. Esto permite el uso de frases de contraseña. Una frase de contraseña es una contraseña compuesta por una frase o una combinación de palabras. Ayuda a los usuarios a memorizar contraseñas más largas y dificulta a los piratas informáticos su adivinación por fuerza bruta.

Compruebe las contraseñas contra las listas negras

La reutilización de contraseñas es un problema común y, según una encuesta de Google/Harris, el 52% de las personas reutilizan la misma contraseña en varias cuentas. Este comportamiento arriesgado ha provocado un enorme aumento de los ataques de relleno de credenciales, ya que los piratas informáticos intentan sacar provecho de los miles de millones de credenciales comprometidas que se pueden comprar en la web oscura. Utilizando estas credenciales robadas, los piratas informáticos pueden intentar acceder a otras cuentas de usuario utilizando la misma contraseña comprometida.

Para combatir esta amenaza, el NIST recomienda que las organizaciones utilicen un software que filtre las contraseñas contra una lista negra que incluya palabras del diccionario, cadenas repetitivas o secuenciales, contraseñas robadas en violaciones anteriores, frases de contraseña de uso común u otras palabras y patrones que los piratas informáticos podrían adivinar. Este proceso de filtrado ayuda a los usuarios a evitar seleccionar contraseñas que supongan un riesgo para la seguridad y les avisará si una contraseña anteriormente segura queda expuesta en el futuro.

Elimine los restablecimientos periódicos de contraseña

Muchas organizaciones exigen a sus empleados que cambien sus contraseñas a intervalos regulares, a menudo cada 30, 60 o 90 días. Sin embargo, estudios recientes han demostrado que este enfoque de la seguridad de las contraseñas suele ser contraproducente y, de hecho, puede empeorar la seguridad. Normalmente, los usuarios tendrán varias contraseñas que necesitan recordar, por lo que cuando se ven obligados a realizar un restablecimiento periódico, recurrirán a patrones de comportamiento predecibles, como elegir una nueva contraseña que sea sólo una variación menor de la anterior.

Pueden actualizarla cambiando un solo carácter o añadiendo un símbolo que parezca una letra (como ! en lugar de I). Si un atacante ya conoce la contraseña existente del usuario, no será demasiado difícil descifrar la versión actualizada. El NIST recomienda eliminar este requisito para que la seguridad de las contraseñas sea más fácil de usar, y Microsoft lo aconseja: «Si nunca se roba una contraseña, no hay necesidad de caducarla. Y si tiene pruebas de que una contraseña ha sido robada, es de suponer que actuará inmediatamente en lugar de esperar a que caduque para solucionar el problema.»

Permitir copiar y pegar la contraseña

El NIST ha revisado sus orientaciones anteriores y ahora recomienda el uso de «copiar y pegar» al escribir una contraseña. Esto ayuda a promover el uso de gestores de contraseñas, lo que sin duda aumenta la seguridad al permitir a los usuarios generar contraseñas más largas y más difíciles de descifrar.

Limitar los intentos de contraseña

Mediante un ataque de fuerza bruta, los piratas informáticos pueden intentar violar una cuenta entrando sistemáticamente y probando todas las combinaciones posibles de letras, números y símbolos hasta dar con la combinación de contraseña correcta. Una de las mejores formas de defenderse contra este tipo de ataque es limitar el número de intentos de contraseña que una misma dirección IP puede realizar en un plazo determinado.

No utilice sugerencias de contraseña

Las organizaciones utilizan con frecuencia las sugerencias de contraseña para ayudar a sus usuarios a recordar contraseñas complejas. Puede tratarse de una simple indicación o de que el usuario responda a una pregunta personal como «¿en qué ciudad nació?» o «¿cómo se llama su primer colegio?». Las respuestas a muchas de estas preguntas pueden ser encontradas fácilmente en las redes sociales por un atacante decidido. Esto socava la seguridad, por lo que el NIST ha aconsejado a las organizaciones que abandonen esta práctica, ya que podría aumentar las posibilidades de que se produzca una brecha.

Utilice la autenticación multifactor

La autenticación multifactor (MFA) es una de las formas más eficaces de proporcionar protección adicional a una cuenta protegida por contraseña. Según Microsoft, las cuentas tienen más de un 99,9% menos de probabilidades de verse comprometidas si se activa el MFA.

Se pueden utilizar tres tipos de autenticación:

  • Algo que sepa: Una contraseña, un PIN, un código postal o la respuesta a una pregunta (por ejemplo, el apellido de soltera de su madre).
  • Algo que usted tenga: Un token, un teléfono, una tarjeta de crédito, una SIM o una llave de seguridad física.
  • Algo que usted es: Datos biométricos como la huella dactilar, la voz o el reconocimiento facial.

Algunos de estos métodos de verificación son sin duda más seguros que otros, pero en esencia significa que aunque alguien robe o adivine una contraseña, no podrá acceder a la cuenta sin otro factor de autenticación.

Formar al personal sobre las mejores prácticas en materia de contraseñas

Hay muchos consejos contradictorios sobre lo que constituye una contraseña segura, por lo que es crucial que su personal entienda las mejores prácticas y esté totalmente versado en lo que su política de contraseñas requiere de ellos. La formación sobre concienciación en materia de seguridad debe educar al personal en:

  • Los riesgos de reutilizar las mismas contraseñas en las cuentas de casa y del trabajo
  • Cómo crear contraseñas fuertes y seguras
  • Cómo habilitar MFA
  • Cómo utilizar un gestor automático de contraseñas para almacenarlas de forma segura

Capacite a su equipo con una sólida seguridad de contraseñas

Desde la plataforma de gestión de riesgos humanos que gestiona el riesgo de los empleados, hasta la formación automatizada de concienciación sobre seguridad y las simulaciones avanzadas de phishing que mantienen alerta al personal, todas las soluciones están diseñadas para ser sencillas y eficaces. La Inteligencia y el Análisis de Riesgos proporcionan información procesable, mientras que la Gestión del Cumplimiento garantiza que los requisitos normativos se cumplan sin esfuerzo. Una Política de contraseñas seguras integrada permite a los empleados crear y mantener credenciales seguras, reduciendo las vulnerabilidades asociadas a las contraseñas débiles o reutilizadas.

Combinando estas herramientas con una formación continua y unos hábitos digitales inteligentes, su equipo podrá navegar con confianza por el mundo digital a la vez que reduce el riesgo de ciberataques y refuerza la cultura general de seguridad.

Refuerce la seguridad de su organización con la plataforma todo en uno de MetaCompliance, diseñada para ayudar a su equipo a implantar y mantener sólidas políticas de ciberseguridad, incluidas las mejores prácticas de contraseñas seguras.

Preguntas frecuentes sobre seguridad y política de contraseñas

¿Qué hace que una contraseña sea segura?

Una contraseña segura es larga, única y difícil de adivinar, preferiblemente una frase de contraseña formada por varias palabras no relacionadas.