Durante años se repitió como una obligación, cambiar las contraseñas cada cierto tiempo era la manera “segura” de cuidar cualquier cuenta digital. Sin embargo, las recomendaciones han cambiado de manera drástica. Expertos en ciberseguridad y organismos como el Instituto Nacional de Estándares y Tecnología (NIST) revelaron que esta práctica, lejos de aportar seguridad, puede abrir nuevas puertas para los ciberdelincuentes. Hoy, la prioridad ya no es la frecuencia del cambio, sino la calidad de la contraseña y los mecanismos que la acompañan.
No más cambios obligatorios, qué se descubrió realmente
Las últimas directrices señalaron que forzar a los usuarios a modificar sus contraseñas cada uno o tres meses provoca un efecto inesperado, la creación de claves débiles y repetitivas. Esto sucede porque la carga mental de tener que recordar nuevas contraseñas una y otra vez lleva a escoger opciones fáciles, predecibles o muy similares entre sí. En lugar de elevar la seguridad, la reduce.
Los expertos explican que esta tendencia se observa en bases de datos filtradas, patrones evidentes, números añadidos al final, símbolos obvios y combinaciones que cualquier atacante prueba en sus primeros intentos. Por eso, organismos internacionales recomiendan que los cambios solo se realicen si hay sospechas reales de que la cuenta fue comprometida, si existe una filtración de datos o si un servicio avisa sobre actividad sospechosa. Dejar de cambiar por rutina no significa descuidarse, sino actuar con criterio.
Te podría interesar
Cómo crear una contraseña segura sin caer en los viejos errores
La nueva estrategia es clara, una contraseña fuerte supera por mucho a una contraseña cambiada cada mes. Los especialistas recomiendan que las claves incluyan letras en distintas combinaciones, números y símbolos, pero sin formar palabras reconocibles. Además, piden evitar datos personales como fechas, nombres o información fácil de asociar al usuario.
La longitud también importa. Aunque ocho caracteres siguen siendo el mínimo básico, muchos expertos ya sugieren llegar a 15 para elevar el nivel de protección. A mayor cantidad de caracteres aleatorios, más difícil será para un sistema automatizado descifrar la clave, incluso con equipos modernos capaces de probar millones de combinaciones por segundo.
Te podría interesar
Otro punto clave es no repetir contraseñas en diferentes servicios. Cada plataforma, sobre todo las bancarias o las que guardan información sensible, debe tener su propia credencial. Si una se filtra, las demás permanecen seguras.
Multifactor y gestores: las herramientas que realmente te protegen
El gran aliado de la seguridad actual es la autenticación multifactor (MFA). Activarla en todas las cuentas posibles crea una barrera adicional que incluso un ciberdelincuente con tu contraseña difícilmente podrá superar. Este sistema funciona porque requiere algo más, un código temporal, un mensaje, un token o un reconocimiento biométrico.
Para quienes sienten que tantas contraseñas fuertes son imposibles de recordar, existe una solución práctica, los gestores de contraseñas. Estas aplicaciones crean claves complejas, las guardan cifradas y permiten usarlas desde cualquier dispositivo. Esto elimina el hábito de elegir claves simples “para no olvidarlas” y facilita adoptar contraseñas mucho más extensas y seguras.
El cambio de enfoque ya impacta en usuarios, empresas y sistemas institucionales. En un mundo donde los ciberataques se vuelven más sofisticados, la seguridad digital evoluciona, no se trata de cambiar contraseñas sin parar, sino de usar las correctas y acompañarlas con herramientas que realmente protegen.