Saltar al contenido principal

Mejores prácticas de políticas de contraseñas para 2025

Lectura de 2 min aprox.

Una política de contraseñas es un conjunto de reglas y estándares que rigen la creación y la gestión de contraseñas dentro de una organización o servicio. Incluye requisitos como la longitud mínima, los tipos de caracteres, los periodos de caducidad y la gestión del historial. La guía más reciente del NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.), SP 800-63B, ha cambiado hacia priorizar la longitud y la aleatoriedad de las contraseñas en lugar de forzar cambios periódicos.

Casos de uso reales

«Revisamos nuestra política de contraseñas para cumplir con NIST SP 800-63B, eliminamos los cambios periódicos y pasamos a recomendar contraseñas generadas aleatoriamente de al menos 15 caracteres. Las solicitudes de restablecimiento de contraseña al servicio de asistencia bajaron de 200 al mes a 80.»

Las políticas de contraseñas modernas y las directrices del NIST

NIST SP 800-63B (revisión de 2024) exige contraseñas de al menos 8 caracteres (se recomiendan 15 o más) y no recomienda forzar cambios periódicos. A fecha de 2025, muchas empresas están revisando sus políticas para alinearse con esta directriz. La tradicional regla de «cambiar cada 90 días» era una causa de contraseñas débiles, en las que los usuarios solo cambiaban el dígito final. Hoy en día, el enfoque predominante es exigir un cambio únicamente cuando se ha confirmado una filtración. Además, se recomienda contrastar las contraseñas con una lista negra de contraseñas filtradas, lo que permite bloquear de antemano contraseñas peligrosas conocidas como «password123».libros sobre políticas de contraseñas (Amazon) te permiten aprender los estándares más recientes.

Escenarios de implementación empresarial

En una empresa mediana, migrar de la política tradicional de «8 o más caracteres, obligatorio mayúsculas, minúsculas, dígitos y símbolos, cambio cada 90 días» a «15 o más caracteres, generación aleatoria recomendada, cambio solo en caso de filtración» redujo en un 60% las solicitudes de restablecimiento de contraseña al servicio de asistencia. Al establecer una política, es importante considerarla junto con la implantación de un gestor de contraseñas en toda la empresa. Diseño de una política de contraseñas corporativa explica ejemplos concretos de configuración por sector.

Prácticas eficaces de gestión de contraseñas

Las contraseñas generadas aleatoriamente satisfacen plenamente los requisitos de las políticas de contraseñas modernas. Como medida contra el relleno de credenciales, es esencial usar una contraseña distinta para cada servicio. Combinadas con un gestor de contraseñas, incluso las contraseñas largas y aleatorias no suponen una carga de gestión. Un error común es pensar que «una contraseña compleja equivale a una segura», pero las sustituciones predecibles como «P@ssw0rd!» se descifran fácilmente con ataques de diccionario. Lo que de verdad importa es una longitud y una aleatoriedad suficientes.libros de gestión de seguridad de la información (Amazon) también son una referencia útil.

Términos relacionados

¿Te resultó útil este artículo?

XHatena