Durante años, la idea de que hay que cambiar periódicamente las contraseñas ha sido considerada una medida esencial en materia de ciberseguridad: empresas, instituciones y usuarios han seguido esta práctica con la creencia de que ayudaría a proteger datos y sistemas.

Sin embargo, un creciente consenso entre los expertos indicaría ahora que esta política es no solo ineficaz... sino también perjudicial para la seguridad.

Recientemente, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés) ha actualizado sus recomendaciones en materia de seguridad digital y ha concluido que no se debe exigir a los usuarios cambiar sus contraseñas periódicamente porque eso conduce a la creación de contraseñas débiles y predecibles, facilitando así el trabajo de los ciberdelincuentes en lugar de dificultarlo.

La inesperada postura del NIST está respaldada por "décadas de investigaciones"

La evidencia científica

Expertos como Alan Woodward, de la Univ. de Surrey (Reino Unido), y Angela Sasse, del University College de Londres, han subrayado los efectos negativos de estos cambios obligatorios. El primero, por ejemplo, que estas políticas ponen una carga excesiva sobre los hombros de los usuarios, quienes, al verse obligados a renovar sus claves con frecuencia, optan por soluciones fáciles de recordar, pero fácilmente vulnerables.

En Genbeta

Un hacker ha contado los errores que cometemos al elegir una contraseña. No querrás repetirlos

Esto incluye patrones predecibles como agregar números consecutivos a palabras …