Cada cuánto debemos cambiar todas nuestras contraseñas según tres expertos en ciberseguridad
Publicado el 18/02/2025 por Diario Tecnología Artículo original
Las contraseñas se han convertido en una parte esencial de la vida digital de todos. En combinación con otros métodos de verificación, son la puerta de entrada a casi todos los servicios digitales que utilizamos. Las necesitamos para hacer gestiones bancarias online, pero también para iniciar sesión en cuentas de correo electrónico, redes sociales, plataformas de streaming o tiendas online.
Al igual que las llaves de casa, las contraseñas deben estar bien protegidas para evitar disgustos. Pero a veces no basta con guardarlas bien: hay momentos en los que conviene cambiarlas o reforzar la seguridad con métodos adicionales. La cuestión es cuándo. En Xataka hemos preguntado a tres expertos en ciberseguridad para despejar dudas y conocer qué decisiones deberíamos tomar.
El problema de las brechas de seguridad
Francisco Valencia, CEO de la compañía de seguridad informática Secure&IT, abrió la conversación con una frase contundente: “El usuario tiene que pensar que las contraseñas tarde o temprano se van a exponer”. Lo que nos dice el experto es relevante, porque solemos navegar por este mundo cada vez más digital e interconectado sin ser completamente conscientes de las amenazas que nos rodean.
Valencia explica que la exposición de nuestras contraseñas, o lo que es lo mismo, que hayan sido comprometidas o reveladas, puede ocurrir de dos maneras: que nos las roben directamente o que las sustraigan de los servicios donde las hemos registrado. Cuando nos damos de alta en algún servicio online, este debería proteger nuestros datos de autenticación, sin embargo, como señala el especialista, muchas veces no es así.
Para ilustrarlo, el entrevistado recuerda el caso de Yahoo. En 2013, con Marissa Mayer al frente, la empresa protagonizó un colosal fallo de seguridad, considerado por muchos como uno de los más grandes de la historia, que dejó al descubierto los datos de 500 millones de cuentas. La plataforma “parecía razonablemente segura, pero le robaron las contraseñas e informó a los usuarios años después”, afirma.
Alejandro Botter, Cyber Security Evangelist de Check Point, revela que “es cada vez más común que se presente una brecha de datos”. El experto indica que este tipo de escenarios donde hay algún tipo de exfiltración de datos puede ocurrir en cualquier ámbito, desde un hotel hasta un banco, aunque este último debería, en teoría, contar con medidas de seguridad más robustas.
Si bien las filtraciones de nuestras contraseñas por parte de aquellos a quienes se las confiamos son una realidad, Botter advierte que las amenazas de seguridad más tradicionales, aquellas en las que entregamos nuestras contraseñas de manera involuntaria, siguen estando muy presentes. “Puede ser que accediéramos a un sitio que no era el correcto y dejáramos nuestra contraseña, o que se nos infectara el dispositivo”, explica.
También destaca que la concienciación es esencial para entender que los ciberdelincuentes no solo persiguen objetivos importantes, sino que cualquiera puede ser un blanco. “Mucha gente dice: ‘¿Dónde va a estar mi correo? No creo que me haya tocado a mí’”. En este aspecto, menciona que herramientas como “Have I Been Pwned?" dan cuenta de manera muy palpable la realidad de las fugas de información.
Preguntado sobre si deberíamos confiar en la página creada hace más de una década por el consultor en seguridad australiano Troy Hunt, Botter resalta el aspecto positivo de la plataforma, pero dice que “hay debate al respecto”, y que si ponemos únicamente el correo electrónico estamos suministrando información que “se consigue de distintas formas en Internet y que no es tan complejo de conseguir”.
¿En qué nos estamos equivocando con nuestras contraseñas?
Adrián Flecha, técnico de ciberseguridad de INCIBE- CERT, nos cuenta que “desde hace años, las contraseñas han sido el principal método de acceso a nuestras cuentas, pero también representan uno de los mayores riesgos de seguridad”. El especialista de este instituto español añade que “la realidad es que la mayoría de los usuarios reutiliza claves, elige combinaciones débiles o cae en ataques de phishing”.
Valencia respalda esta perspectiva con un ejemplo práctico: “Cuando hacemos una auditoría y, por ejemplo, encontramos una contraseña de un club de tenis de una persona, resulta que buscando contraseña por contraseña la vemos en otro montón de sitios porque ese mismo usuario ha puesto la contraseña en todos los lados. Y eso hace que la criticidad sea mayor aún”.
El CEO de Secure&IT enfatiza que uno de los problemas más críticos de la reutilización de contraseñas es que, generalmente, estas acaban filtrándose por el eslabón más débil. Dado que el usuario ha utilizado el mismo conjunto de caracteres en otros servicios, muchas veces junto con la misma dirección de correo electrónico, termina exponiendo todas sus cuentas de un modo que no hubiera ocurrido en caso de utilizar contraseñas diferentes.
“Las contraseñas no pueden ser la mismas en todos los sitios. La gente muchas veces tiene dos contraseñas, la fácil y la difícil, y resulta que pone la difícil en el banco y alguna cosa más y la fácil en todo lo demás. La contraseña no puede ser la misma, tiene que ser siempre diferente, tiene que ser aleatoria, tiene que ser difícil de recordar, etc.”. Esto, explica, nos obligará a usar una herramienta de gestión de contraseñas
El entrevistado añade algunos ejemplos bastante útiles: “Sabiendo la exposición, si me roban una contraseña, exclusivamente van a atacar al servicio donde la puse. Me roban la contraseña de Facebook, solamente afectará a Facebook, pero no a nada más. Hasta ahora la gravedad es que si me roban la contraseña de Facebook, resulta que vale también para mi banco y por lo tanto la exposición es mucho peor”.
Los usuarios nos solemos preguntar si utilizar un gestor de contraseñas es una buena idea. Flecha, de INCIBE, nos explica que “los gestores de contraseñas son una de las herramientas más seguras y prácticas para almacenar y gestionar nuestras credenciales de acceso”, y destaca algunas de sus ventajas. Enumera que no solo sirven para almacenar contraseñas, sino que también son útiles para generarlas.
“Si bien ninguna tecnología es infalible, un gestor bien diseñado ofrece mucha más seguridad que anotar contraseñas en papel o intentar recordarlas todas. Actualmente, no existe una alternativa manual que sea tan segura y práctica. Existen versiones en la nube y locales (sin conexión), pero en cualquier caso es fundamental reforzar su seguridad con buenas prácticas”, detalla Flecha sobre este asunto.
Para el especialista, la clave está en usar una contraseña maestra robusta, activar el doble factor de autenticación, asegurarse de que el gestor de contraseñas emplee un cifrado fuerte y hacer copias de seguridad cifradas para evitar la pérdida total de credenciales. “Los gestores de contraseñas no solo hacen la vida más fácil, sino que ayudan a proteger mejor nuestras cuentas en un entorno digital cada vez más complejo”, apunta.
¿Cómo mejorar la seguridad de nuestras cuentas?
Los tres expertos coinciden en que activar la verificación en dos pasos (2FA) es esencial. “El doble factor de autenticación es relevante porque el hecho de que la contraseñas pasa a ser una parte, pero no la única parte para poder acceder a una cuenta”, explica Botter. “No es 100% seguro, pero luego nos da un nivel bastante mayor de seguridad”, opina Valencia sobre las soluciones 2FA.
Flecha menciona que el uso de Passkeys es un buen recurso para mejorar la seguridad de las cuentas: “A diferencia de las contraseñas tradicionales, estas claves no pueden ser robadas mediante ataques de phishing ni filtraciones masivas. Además, se complementan con otros métodos, como la autenticación biométrica (huella dactilar o reconocimiento facial) o dispositivos físicos, como YubiKeys”.
Entonces, ¿cuándo es hora de cambiar las contraseñas?
Muchas veces nos preguntamos si es el momento de cambiar una contraseña, incluso si deberíamos cambiar todas nuestras contraseñas. Los especialistas han analizado este asunto desde diferentes perspectivas. Botter señala que, mientras los usuarios corporativos suelen actualizarlas con frecuencia, los particulares tienden a mantenerlas durante años.
El experto de INCIBE dice que si bien la recomendación habitual ha sido cambiar las contraseñas con frecuencia, esto también puede ser contraproducente. “En lugar de mejorar la seguridad, puede llevar a que muchas personas reutilicen la misma clave en diferentes cuentas o elijan combinaciones más débiles y fáciles de recordar, aumentando así su vulnerabilidad”.
Partiendo de esta premisa, recomienda cambiar la contraseña únicamente en situaciones de riesgo concretas, como recibir una alerta de actividad inusual o descubrir que hemos sido víctimas de phishing, conocer que un servicio que utilizamos ha sufrido una filtración de datos, reutilizar la misma contraseña en varias plataformas, haber iniciado sesión en dispositivos públicos o redes no seguras, haber sido víctimas de malware.
“Incluso si hemos sido víctimas de un incidente de seguridad, no es necesario cambiar todas las contraseñas indiscriminadamente. La prioridad debe ser evaluar qué cuentas pueden haberse visto afectadas y actuar solo sobre ellas”, dice el entrevistado.
¿Se avecina un futuro sin contraseñas?
Finalmente, Valencia reflexiona sobre la posibilidad de un futuro sin contraseñas, donde la autenticación biométrica juegue un papel central. “Creo que vamos a llegar a un momento en el que nos autenticaremos de otra forma, no solamente con la contraseña”, no responde, pero advierte que “cuando esa contraseña o cuando ese autenticador sea biométrico en todo aparecerán nuevos problemas”.
Indagando un poco más sobre este asunto, le hemos preguntado a qué tipo de problemas se refiere. “El problema de la biometría es que si me roban una contraseña, la puedo cambiar, pero si me roban el patrón biométrico no lo puedo cambiar, y por lo tanto puedo estar vulnerable para siempre. Así que la contraseña sola es insegura, la biometría sola también es insegura”, explica el especialista.
Imágenes | Freepik | Xataka
En Xataka | Barcelona se ha convertido en un inesperado e inquietante hub tecnológico. Uno lleno de startups de spyware
utm_campaign=18_Feb_2025"> Javier Marquez .