Deje de rotar contraseñas: Por qué eliminamos la regla "cada 90 días" de nuestros informes de pruebas de penetración
Durante años, las listas de verificación de seguridad se han tratado caducidad forzada de la contraseña Como si fuera la ley del diablo. Cada 30, 60 o 90 días, los usuarios tenían que inventar una nueva secuencia de símbolos y dígitos, o enfrentarse a la pantalla de bloqueo. Hoy, los principales organismos de normalización coinciden: esa regla es contraproducente, y la hemos eliminado de todos los hallazgos de aplicaciones web en nuestros informes de pruebas de penetración.
¿Qué cambió?
| Pensamiento antiguo | Nueva guía basada en evidencia |
|---|---|
| Los cambios frecuentes de contraseña limitan el período en el que una contraseña robada resulta útil. | Los atacantes rara vez esperan meses para usar una credencial robada; mientras tanto, los reinicios autoimpuestos empujan a los usuarios honestos hacia patrones como ¡Invierno2025!, que son triviales de adivinar. |
| Los reinicios periódicos suponen que los usuarios pueden recordar secretos nuevos y sólidos sin necesidad de recurrir a alternativas. | Los usuarios a menudo reciclan ajustes (por ejemplo, “¡Contraseña1!” → “¡Contraseña2!”) o almacenan credenciales de forma insegura, lo que socava la seguridad y fortaleza de las contraseñas. |
| La expiración forzada reduce la ventana de ataque. | Los servicios modernos de notificación de infracciones y la autenticación multifactor reducen la ventana efectiva sin imponer fricción al usuario. |
| Es más fácil para los administradores aplicar una política uniforme. | Las políticas basadas en riesgos informadas por la detección de anomalías y los feeds de infracciones apuntan a los restablecimientos solo cuando es probable que haya un compromiso, lo que optimiza los esfuerzos de seguridad. |
Estándares clave
- NIST 800‑63B dice explícitamente los verificadores “NO DEBERÍA exigir que los secretos memorizados se cambien arbitrariamente”. (Páginas del NIST)
- El Reino Unido Centro Nacional de Seguridad Cibernética (NCSC) advierte que la expiración forzosa “perjudica la seguridad en lugar de mejorarla”.NCSC)
- Microsoft eliminó las políticas de expiración de contraseñas de su línea base de seguridad de Windows, calificándolas de poco valor en comparación con la MFA y el monitoreo de infracciones.Comunidad tecnológica)
¿Por qué eliminamos la rotación de contraseñas? Hallazgos
Durante las pruebas de penetración de aplicaciones web, solíamos marcar "La contraseña debe expirar cada X días" cuando faltaba esta configuración. Esta recomendación ya no existe. He aquí el motivo:
- El comportamiento del mundo real supera a la teoría. Los usuarios responden a los reinicios constantes reciclando ajustes (“¡Contraseña1!” → “¡Contraseña2!”) o escribiendo las contraseñas.
- Los controles modernos lo superan. Autenticación multifactor, API de alerta de infracciones y llaves maestras reducir el riesgo de manera mucho más efectiva.
- Alineación de estándares. Nuestros clientes realizan pruebas comparativas con NIST, ISO 27001, SOC 2 y CIS; ninguno exige reinicios periódicos a menos que se sospeche de un compromiso.
Lo que recomendamos en su lugar
- Una frase de contraseña larga y única por cuenta – Cuatro o cinco palabras al azar son suficientes.
- Activar MFA o, mejor, pasar a llaves de paso/FIDO2 donde la contraseña desaparece por completo.
- Esté atento al compromiso:integrar “han sido engañados” o filtraciones similares y fuerzan un reinicio solo si se filtra una credencial o aumenta la actividad sospechosa.
- Utilice un administrador de contraseñas, nuestra elección es Bitwarden De esta manera, el personal nunca reutiliza secretos en distintos sistemas.
- Revisar cuentas compartidas/de servicio anualmente; si no pueden usar MFA, programe un cambio manual.
El resultado final para los CISO
La caducidad obligatoria tenía sentido cuando las contraseñas eran la única línea de defensa. En 2025, es una reliquia que reduce la productividad y... debilita Postura de seguridad. Al alinear sus políticas con NIST, NCSC y Microsoft, y al adoptar la MFA y las claves de acceso, obtendrá una protección más sólida. y usuarios más felices.
Seguiremos eliminando vulnerabilidades reales durante su próxima prueba de penetración, pero no volverá a ver la “rotación de contraseñas de 30 días” en la lista de acciones.
trituradora anna
Anna es investigadora de seguridad en Sayfer. Le apasiona comprender e investigar los vectores de ataque y defensa que aparecen en las nuevas tecnologías emergentes.
¿Quieres escuchar más?
Una reunión de consultoría gratuita incluida.
