Cambiar o mantener las contraseñas, esa es la cuestión

Por varios años las empresas y organizaciones han incentivado el cambio de contraseña en las cuentas de sus usuarios de maneras no tan amigables, forzando esa modificación cada cierto tiempo, como 30 o 90 días.

Nunca he sido muy fan de estas obligaciones, porque si bien junto con el cambio de contraseña se implementan otras medidas de seguridad como la longitud de la contraseña o el tipo de caracteres que debe contener, los que generalmente debe incluir un número y un carácter especial, esta misma práctica obligatoria de cambio ha generado otros problemas de seguridad tanto para el usuario como para las empresas u organizaciones que están intentando mejorar su seguridad.

En general, en internet existe un consenso mayoritario respecto a que las contraseñas deben cambiarse cada cierto tiempo, pero esto genera una gran frustración sobre los usuarios porque, al año, y siendo conservador, en promedio tienen que pensar en cuatro contraseñas nuevas si se les solicita el cambio cada 90 días, y cambiarla aun más veces si existe una política en la que, con posterioridad a un bloqueo, se debe volver a cambiar contraseña.

Lo anterior, a su vez, genera otra serie de problemas a medida que se cambia más y más la contraseña y empiezan a aparecer las contraseñas fáciles de adivinar, pero que cumplen con la política. Por ejemplo, si el usuario trabaja en una organización de gobierno y todos los meses le piden cambiar la contraseña, los patrones de contraseña comienzan a ser los meses del año + un número + un carácter especial, que generalmente son “Mayo.2024” o “Junio.01”. Al analizar esta contraseña, cumple con la mayoría de las políticas de ciberseguridad, ya que tiene un largo de 8 caracteres o más, tiene un carácter especial (el punto), tiene al menos un número y tiene mayúsculas y minúsculas.

Esta práctica no solo se extiende a los usuarios que deben cambiar sus contraseñas, también ha sido adoptada por los mismos administradores de sistema que deben resetear y asignar nuevas contraseñas. Esto lo he visto muchas veces cuando nos toca realizar actividades de Red Team, y es una de las primeras cosas que probamos, porque tiene mayor eficiencia en términos de esfuerzo y resultados.

Finalmente, si bien es una práctica recomendada en su mayoría por la industria y adoptada ampliamente en las empresas y organizaciones, genera una falsa sensación de seguridad, porque le permite a un atacante intentar adivinar la contraseña de manera más rápida, y además, genera una frustración sobre los usuarios, sobre todo cuando estos no son muy cercanos a la tecnología.

A pesar de que el consenso en internet es mayoritario cuando se trata de cambiar la contraseña cada cierto tiempo, el Instituto Nacional de Estándares y Tecnología (NIST) se pronunció repecto a este problema y resolvió en sus pautas de contraseñas para el 2024, que los administradores debían enfocarse principalmente en la calidad de las contraseñas, más que en forzar su cambio constante.

El NIST sugiere ahora que las contraseñas se cambien una vez al año, o cuando exista una buena razón para ello, como cuando el usuario lo solicite o cuando existe una prueba real del compromiso de cuenta.

¿Por qué se llega a esta conclusión? El principal argumento del NIST es que los usuarios reutilizan contraseñas anteriores, a las que les agregan números o caracteres al final. Y aunque cumplen con el protocolo de complejidad, los descifradores de contraseñas son capaces de seguir este tipo de patrones entre los usuarios y eso, incluso, les ahorra tiempo para dar con una contraseña robada. Esto es exactamente lo mismo que mencionaba anteriormente y que hemos visto en actividades reales.

El NIST propone poner énfasis en los otros aspectos que refuerzan las contraseñas, como la longitud, la que la luz del argumento anterior es incluso más importante que la complejidad.De igual manera, le dan gran importancia al doble factor de autenticación y a medidas como utilizar un gestor de contraseñas, ya que permite utilizar contraseñas más largas y complejas sin la necesidad de memorizarlas. Acá no estamos hablando del gestor de contraseñas del navegador, sino que de herramientas como Keepass, un gestor de contraseñas que se instala en el equipo del usuario. Y si bien hemos visto que algunos gestores de contraseñas se han visto comprometidos por ataques de hackers, sigue siendo una práctica más segura.

El problema es cómo plantear dentro de las organizaciones la discusión respecto a este radical cambio de criterio. Después de todo, si cambiar periódicamente la contraseña fue por muchos años asumido como una medida de base para mejorar los estándares de ciberseguridad, el nuevo criterio de mantenerlas parece ir en desmedro de ese objetivo.

Hay que asumir, por ahora, que cambiar o mantener la contraseña son dos lados de un mismo argumento. Argumentar ambas posiciones permitirá que las empresas y organizaciones entiendan mejor que, en este aspecto, así como en muchos otros, los cambios de criterios en el tiempo solo buscan ajustarse a realidades que van cambiando como parte de un largo proceso de aprendizaje, de la sofisticación de los atacantes y del avance de las tecnologías.