Rotación de contraseñas - Cambios periódicos de credenciales
Lectura de 2 min aprox.
La rotación de contraseñas es la práctica operativa de cambiar las contraseñas a intervalos fijos. Reglas como «cambiar cada 90 días» se consideraban antes una buena práctica de seguridad, pero en 2017 el NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.) desaconsejó explícitamente los cambios periódicos en SP 800-63B, marcando un gran cambio de paradigma en la gestión de contraseñas. Hoy en día, la rotación «basada en eventos», que no cambia una contraseña salvo que haya indicios de compromiso, se está convirtiendo en el estándar internacional.
El cambio de paradigma impulsado por NIST SP 800-63B
Revisada en 2017, NIST SP 800-63B (Directrices de Identidad Digital) desaconsejó claramente los cambios periódicos de contraseña que antes se consideraban de sentido común. Detrás de esta revisión había varios estudios que mostraban los efectos negativos de los cambios periódicos en el comportamiento de los usuarios. Un estudio de la Universidad de Carolina del Norte (2010) reveló que muchos usuarios obligados a cambiar la contraseña periódicamente hacían cambios con patrones que solo modificaban el número final, como «Password1!» → «Password2!» → «Password3!».
Por qué los cambios periódicos son contraproducentes
Imponer cambios periódicos debería, en teoría, mejorar la seguridad, pero numerosos estudios han demostrado que en la práctica resulta contraproducente por las siguientes razones.
Cambios que solo incrementan el número final. Los atacantes pueden adivinarlos fácilmente a partir de la contraseña anterior.
Agotados por los cambios frecuentes, los usuarios eligen contraseñas débiles y fáciles de recordar. Un ejemplo clásico de fatiga de contraseñas.
Incapaces de recordarlas todas, los usuarios las anotan en notas adhesivas o archivos, lo que aumenta el riesgo de fuga física.
Excepciones - Casos que requieren un cambio inmediato
Los cambios periódicos están desaconsejados, pero en los siguientes casos es imprescindible cambiar la contraseña de inmediato. Esto es la esencia de la rotación basada en eventos.
- Cuando se confirma una filtración de credenciales (detectada mediante Have I Been Pwned, etc.)
- Cuando recibes la notificación de una filtración de datos
- Cuando se registran en los logs indicios de acceso no autorizado
- Cuando se detecta una infección por malware y las contraseñas pueden haber sido robadas
- Cuando se asume la cuenta de un empleado que se va o es trasladado
La situación actual en las empresas japonesas
Incluso ahora, en 2026, nueve años después de la revisión del NIST, muchas empresas japonesas siguen imponiendo cambios periódicos de contraseña. En 2018, el Ministerio del Interior y Comunicaciones publicó la opinión de que «los cambios periódicos son innecesarios», pero no pocas organizaciones no han actualizado sus normas internas. En particular, las entidades financieras y los organismos públicos tienden a conservar las reglas antiguas, alegando coherencia con los estándares de auditoría y los requisitos de cumplimiento. El artículo sobre políticas de contraseñas corporativas explica en detalle cómo revisarlas a nivel organizativo.
| Aspecto | Cambio periódico (heredado) | Basado en eventos |
|---|---|---|
| Momento del cambio | Ciclo fijo, como cada 90 días | Solo cuando se detecta una filtración |
| Carga para el usuario | Alta (induce fatiga y simplificación) | Baja |
| Calidad de la contraseña | Tiende a disminuir | Fácil de mantener |
| Estándar aplicable | NIST antiguo, PCI DSS antiguo | NIST SP 800-63B (2017~) |
Pasos para la transición a la rotación basada en eventos
Para que una organización pase de los cambios periódicos a la rotación basada en eventos, debe avanzar en paralelo en las medidas técnicas y en la revisión de sus normas. Junto con revisar la política de contraseñas, es importante introducir un gestor de contraseñas e implantar un mecanismo de monitorización de filtraciones.
Errores comunes
La preocupación de que «dejar los cambios periódicos reducirá la seguridad» es persistente, pero es un malentendido. Lo que el NIST desaconsejó fueron los cambios «periódicos»; no niega cambiar las contraseñas en sí. De hecho, se recomienda encarecidamente cambiarla de inmediato cuando se sospecha una filtración. Lo importante es cambiar el desencadenante de los cambios, del «paso del tiempo» a la «ocurrencia de un evento de seguridad». Los aspectos psicológicos de las contraseñas se explican en detalle en el artículo sobre psicología de las contraseñas.libros sobre seguridad de contraseñas (Amazon) también sirven de referencia.
Casos de uso reales
«En 2023 eliminamos la regla de cambiar las contraseñas cada 90 días e introdujimos un sistema de detección de filtraciones integrado con la API de Have I Been Pwned. Las solicitudes de restablecimiento de contraseña pasaron de 150 al mes a 20, reduciendo notablemente la carga de trabajo del servicio de asistencia. Al mismo tiempo, difundimos cómo crear contraseñas seguras mediante una formación para toda la empresa, y la calidad de las contraseñas también ha mejorado.»
¿Te resultó útil este artículo?