Contar con una contraseña robusta, única y que contenga números, mayúsculas y caracteres especiales es el primer paso para mantener protegidas nuestras cuentas y datos personales.
El segundo es cambiarla/actualizarla periódicamente, algo tan importante que en Estados Unidos hasta tiene un día especial en el calendario. Sí, cada 1° de febrero se celebra el Change your password day, con el loable objetivo de visibilizar y concientizar sobre un hábito tan fundamental.
En este artículo nos preguntaremos cada cuánto es conveniente cambiar las contraseñas de tus cuentas, cuáles son los pro y los contra de cambiarla con periodicidad y por qué no hay una regla general para responder a esta pregunta.
¿Cada cuánto cambiar tus contraseñas?
Las contraseñas son la puerta de entrada a nuestra vida digital, tanto para las redes sociales como para nuestras cuentas bancarias y otros tipos de servicios en los que se almacenan datos personales o información claramente sensible.
Que esa puerta tenga una llave robusta, fuerte y única para cada caso, representa un hábito tan saludable como aconsejable para estos tiempos que corren en los que la mayoría de nuestras actividades transcurren online.
También cambiar estas contraseñas periódicamente, es necesario, sobre todo si tenemos una contraseña simple, de no más de 7 caracteres que, para darnos una idea, puede ser vulnerada por un cibercriminal en dos segundos. Sí, dos segundos. Actualizarla periódicamente debe ser una de nuestras prioridades.
Ahora bien, ¿cada cuánto es recomendable cambiarla? ¿Una vez por mes? ¿Cada seis meses? ¿Anualmente? Hay una regla que habla de que una contraseña debe cambiarse cada 90 días. Pero ¿es realmente suficiente?
El sitio especializado Sans analiza esta cuestión en un artículo de Lance Spintzner donde el autor afirma que esta práctica reduce mínimamente los riesgos de seguridad, a la vez que representa un gran costo para la empresa que lo implemente. “Creo que nos beneficiaríamos mucho más si se dedicara esa misma cantidad de tiempo y recursos a enseñar a la gente a utilizar contraseñas seguras y únicas para cada cuenta. Y a proporcionarles herramientas y formación sobre gestores de contraseñas y verificación en dos pasos”, asegura el especialista.
Además, un estudio de la Universidad de Carnegie Mellon ha demostrado que cuando las personas se ven obligadas a cambiar sus contraseñas con frecuencia, no piensan demasiado en ello y solo implementan pequeñas “transformaciones” como el cambio del mes o el año. ¿El motivo? Esta es una solución fácil para recordar los cambios frecuentes.
Por último, como hemos analizado desde We Live Security, cambiar la contraseña regularmente, sin evidencia de que haya sido filtrada en una brecha, no hace que sea más segura.
¿Por qué es importante cambiar las contraseñas?
Lo reiteraremos hasta el cansancio: las contraseñas son las llaves de entrada a nuestra vida digital, y protegen los recursos y la información del acceso no autorizado de terceros. A nadie se le ocurre usar la misma llave para entrar a su casa, encender el automóvil y abrir su caja fuerte, como tampoco dejarla visible ni al alcance de la mano de cualquier persona.
Esto cobra más sentido cuando entran en juego los ciberatacantes, que dedican su tiempo y esfuerzo en encontrar nuevas y más eficaces maneras de acceder a la información personal y/o dinero de sus víctimas, y que cuentan con herramientas cada vez más eficaces a la hora de vulnerar las contraseñas. Como mencionamos, con la ayuda de software pueden descifrar una contraseña simple en dos segundos. Menos de lo que lleva leer esa línea de texto.
“Si la contraseña es de 10 caracteres y solo usa letras mayúsculas y minúsculas, debería cambiarse cada mes, ya que es el tiempo 'estimado' en que podría vulnerarse”, explica Camilo Gutierrez Manager of Awareness and Research para ESET Latinoamérica. “Si se le agrega números, podría cambiarse cada seis meses y si además tiene símbolos, podría actualizarse anualmente; siempre dependiendo del tipo de contraseña, la clave del banco que es más corta, por ejemplo, debe cambiarse más seguido”.
Ahora bien, para proteger un bien tan preciado como son nuestras contraseñas, existen diversos aliados o prácticas recomendadas que hacen de esta una tarea mucho más fácil y segura.
Hábitos de salud digital
Más allá de incorporar el hábito de actualizar periódicamente las contraseñas, existen otros puntos muy importantes a tener en cuenta para proteger nuestros datos personales y dinero de las siempre atentas garras del cibercrimen.
Por ejemplo, crear una contraseña fuerte, única y robusta es fundamental. Ahora bien, ¿qué es una contraseña fuerte? Aquella que incluye una extensión considerable, y además posee símbolos, mayúsculas, minúsculas y números.
Básicamente, cuando no es “123456”, “password”, ni figura en el listado de las contraseñas más utilizadas que se comparte cada año. Por si la inspiración no fluye, dejamos un pequeño recordatorio de cómo puede armarse una contraseña robusta y segura.
Almacenar estas contraseñas en un lugar seguro, y tener bien en claro en dónde no deben guardarse, completan el listado de buenos hábitos. Escribirlas en papel o notas adhesivas, o bien tenerlas guardadas en hojas de cálculo o documentos de texto en nuestro dispositivo, no es seguro. Tampoco lo es tenerlas almacenadas en los navegadores. Lo correcto es valerse de un administrador de contraseñas, para el cual solo se debe tener una contraseña maestra, y el resto estará protegido dentro del gestor.
El último gran aliado es el 2FA o doble factor de autenticación, que supondrá una capa de seguridad adicional contra distintos tipos de ataques que buscan vulnerar credenciales de inicio de sesión. Dicho de otra manera: el 2FA dificultará que terceros puedan acceder a nuestras cuentas en caso de que hayan obtenido alguna contraseña.
Este factor puede ser algo que la persona sabe (como una contraseña), algo que tiene (como un teléfono, un token) o una característica de quién es (huellas dactilares, iris, etc.).
Conclusión
Entonces, ¿cada cuánto se deben cambiar las contraseñas? Como vimos, es relativo: siempre que para tus cuentas elijas contraseñas únicas y robustas, actualizarlas con frecuencia representará una barrera más para que tus cuentas e información personal estén protegidas.
Muchas veces los cambios de contraseña obligados y frecuentes pueden ser contraproducentes si no se brindan elementos de concientización y aquellas herramientas que faciliten la tarea.
La utilización de un gestor de contraseñas y la activación de un doble factor de autenticación son dos grandes aliados para incorporar este buen hábito.