Cambiar tu contraseña regularmente hace que sea más difícil recordar buenas contraseñas
"Cambia tus contraseñas con regularidad" es un consejo común sobre contraseñas, pero no es necesariamente un buen consejo. No deberías molestarte en cambiar la mayoría de las contraseñas con regularidad; te anima a utilizar contraseñas más débiles y te hace perder el tiempo.
Sí, hay algunas situaciones en las que querrás cambiar tus contraseñas con regularidad. Pero ésas probablemente serán la excepción y no la regla. Es un error decirle a los usuarios habituales de ordenadores que necesitan cambiar sus contraseñas con regularidad.
La teoría de los cambios regulares de contraseña
Los cambios regulares de contraseña son teóricamente una buena idea porque garantizan que alguien no pueda adquirir tu contraseña y usarla para espiarte durante un prolongado período de tiempo.
Por ejemplo, si alguien adquirió tu contraseña de correo electrónico, podría iniciar sesión en tu cuenta de correo electrónico con regularidad y monitorear tus comunicaciones. Si alguien adquirió tu contraseña de banca en línea, podría espiar tus transacciones o regresar en varios meses e intentar transferir dinero a sus propias cuentas. Si alguien adquirió tu contraseña de Facebook, podría iniciar sesión como tu y monitorear tus comunicaciones privadas.
En teoría, cambiar tus contraseñas con regularidad, quizás cada pocos meses, ayudará a evitar que esto suceda. Incluso si alguien adquiriera tu contraseña, solo tendría unos meses para usar su acceso con fines nefastos.
Las desventajas
Los cambios de contraseña no deben considerarse de forma aislada. Si los seres humanos tuvieran un tiempo infinito y una memoria perfecta, los cambios regulares de contraseña serían una buena idea. En realidad, cambiar las contraseñas impone una carga a las personas.
Cambiar tu contraseña regularmente hace que sea más difícil recordar buenas contraseñas. En lugar de crear una contraseña segura y guardarla en la memoria, debes intentar recordar una nueva contraseña cada pocos meses. Los usuarios que se ven obligados a cambiar regularmente su contraseña por un sistema informático pueden terminar agregando un número, por lo que pueden usar contraseña1, contraseña2, etc.
Ya es bastante difícil cambiar tu contraseña con regularidad para una sola cuenta y recordar tu nueva contraseña cada vez. Pero todos tenemos muchas contraseñas: imagina tener que cambiar tu contraseña con regularidad y recordar constantemente contraseñas únicas y seguras para una gran cantidad de servicios.
Ya es básicamente imposible elegir y recordar contraseñas sólidas y únicas para cada sitio web; por eso recomendamos usar un administrador de contraseñas como LastPass o KeePass. Si cambias tu contraseña cada pocos meses, probablemente terminarás usando contraseñas más débiles y reutilizándolas en varios sitios web. Es mucho más importante usar contraseñas únicas y seguras en todas partes que cambiar tu contraseña con regularidad.
Por qué no es necesario cambiar las contraseñas
Cambiar regularmente tu contraseña no ayudará tanto como podrías pensar. Si un atacante obtiene acceso a tus cuentas, lo más probable es que utilice su acceso para causar daños de inmediato. Si obtienen acceso a tu cuenta bancaria en línea, iniciarán sesión e intentarán transferir dinero en lugar de sentarse y esperar. Si obtienen acceso a una cuenta de compras en línea, iniciarán sesión e intentarán pedir productos con la información guardada de tu tarjeta de crédito. Si obtienen acceso a tu correo electrónico, es probable que lo utilicen para enviar spam y suplantación de identidad, o intentar restablecer las contraseñas de otros sitios con él. Si obtienen acceso a tu cuenta de Facebook, probablemente intentarán enviar spam o estafar a tus amigos de inmediato.
Los atacantes típicos no retendrán tus contraseñas y no te fisgonearán durante un período prolongado de tiempo. Eso no es rentable, y los atacantes solo buscan ganancias. Notarás si alguien obtiene acceso a tus cuentas.
Cambiar tu contraseña con regularidad también es esencial si usas la misma contraseña en todas partes, porque es probable que tu contraseña se filtre constantemente cuando se ve comprometido uno de los servicios que usas. En lugar de cambiar esa contraseña única con regularidad, aquí debes lidiar con el problema real y usar contraseñas únicas en todas partes.
Cuándo deseas cambiar las contraseñas
Cambiar las contraseñas puede ayudar si alguien que no es un atacante tradicional tiene acceso a tu cuenta. Por ejemplo, supongamos que compartiste tus credenciales de inicio de sesión de Netflix con un ex; querrás cambiar tu contraseña para que no puedan usar tu cuenta para siempre. O, digamos que alguien cercano a ti obtuvo acceso a tu correo electrónico o contraseña de Facebook y usó tu contraseña para espiarte. Cuando cambias tus contraseñas, estás evitando principalmente este tipo de uso compartido y espionaje de cuentas, no evitando que tenga acceso alguien del otro lado del mundo.
Los cambios regulares de contraseña también pueden ser valiosos para algunos sistemas de trabajo, pero deben usarse con consideración. Los administradores de TI no deben obligar a los usuarios a cambiar sus contraseñas constantemente a menos que haya una buena razón: los usuarios simplemente comenzarán a usar contraseñas débiles, escribir contraseñas o incluso alternar entre dos contraseñas favoritas.
Los cambios de contraseña en respuesta a eventos específicos son algo bueno, por supuesto. Es una buena idea cambiar tus contraseñas en sitios web que eran vulnerables a Heartbleed pero que ahora lo han parcheado. También es una buena idea cambiar tu contraseña después de que te roban la base de datos de contraseñas de un sitio web.
Si estás reutilizando contraseñas para diferentes sitios web, cambiar tu contraseña en todos esos sitios es una buena idea si uno de esos sitios está comprometido. Pero esto es lo peor que puedes hacer: la verdadera solución aquí es usar contraseñas únicas, no cambiar constantemente tu contraseña compartida por una nueva en todos los servicios que usas.
Centrarse en los consejos útiles
El problema de aconsejar a las personas que cambien su contraseña con regularidad es que es un consejo que distrae mucho. El uso de contraseñas sólidas y únicas en todas partes ya es un consejo casi imposible de hacer si no estás utilizando un administrador de contraseñas para recordarlas por ti. La autenticación de dos factores también es útil, ya que puede evitar que se acceda a tus cuentas incluso si alguien roba tus contraseñas. En lugar de decirle a las personas que cambien sus contraseñas con regularidad, deberíamos brindarles consejos útiles como "use contraseñas únicas en todas partes", algo que la mayoría de la gente no hace actualmente.
Este no es el único consejo con el que no estamos de acuerdo. Para la mayoría de los usuarios domésticos, escribir algunas contraseñas en realidad no es una mala idea; definitivamente es mejor que reutilizar la misma contraseña en todas partes.
No somos los únicos que desaconsejamos los cambios de contraseña regulares e indiscriminados. El experto en seguridad Bruce Schneier ha escrito sobre por qué cambiar las contraseñas con regularidad no es un buen consejo, mientras que Microsoft Research también ha concluido que cambiar las contraseñas con regularidad es una pérdida de tiempo. Sí, hay algunas situaciones en las que es posible que desees hacer esto, pero dar consejos como "cambia tus contraseñas cada tres meses" a los usuarios de computadoras típicos está haciendo más daño que bien.