Gestión de Identidad y Acceso (IAM)

Contraseñas seguras: mejores prácticas y recomendaciones actuales

Contraseñas Seguras

Gestionar contraseñas hoy en día se siente un poco como intentar mantener seca una galleta en medio del océano. Por mucho que te esfuerces, el entorno es hostil, las olas de filtraciones de datos (data breaches) son constantes y, admitámoslo, tu memoria no es la que era.

Durante años, nos han torturado con reglas quizás absurdas: añade una mayúscula, un número, un símbolo de exclamación y cámbiala cada 30 días. El resultado fue que la gente empezó a usar «Otoño2020!«, luego «Otoño2021!«, y así sucesivamente. Una brillantez táctica que se lo pone más fácil a los atacantes.

Por suerte, el sentido común ha llegado a la normativa internacional. En este artículo vamos a desgranar cómo las nuevas recomendaciones del NIST han dado un giro de 180 grados a lo que considerábamos «seguro» y por qué un gestor de contraseñas (password manager) no es un lujo para paranoicos, sino el equipo básico de supervivencia en la red.

La crisis de identidad digital: ¿Por qué tus contraseñas son un chiste?

El problema fundamental es que los humanos somos terribles generando aleatoriedad. Tendemos a patrones predecibles. Un atacante con acceso a una base de datos filtrada no necesita ser un genio de la NASA; solo necesita un buen diccionario (dictionary attack) y un poco de potencia de cálculo para probar miles de combinaciones por segundo.

Si tu contraseña tiene menos de 8 caracteres, da igual que pongas un símbolo de dólar o un emoji de berenjena: la entropía o entropy (magnitud física, fundamental en termodinámica, que mide el grado de desorden, aleatoriedad o incertidumbre de un sistema) es tan baja que un ordenador moderno la romperá antes de que termines de leer este párrafo.

La seguridad basada solo en el conocimiento (algo que sabes) está en cuidados intensivos, especialmente si ese «algo» es el nombre de tu perro seguido del año en que naciste.

El nuevo testamento del NIST: Longitud sobre complejidad

El Instituto Nacional de Estándares y Tecnología (NIST) publicó hace un tiempo la guía SP 800-63B, que es básicamente la biblia de la autenticación digital.

Criterios de contraseñas recomendados por NIST
El estándar NIST actual dicta una nueva doctrina: priorizar la longitud mediante ‘passphrases’, auditar contra listas de credenciales comprometidas y exigir siempre un factor físico o biométrico.

Si quieres entender cómo se protege la información hoy, tienes que mirar hacia ellos.

Longitud vs. Complejidad

La gran revelación es esta: la longitud importa más que los caracteres raros. El NIST recomienda el uso de frases de contraseña (passphrases), porque una frase larga es mucho más difícil de romper que una clave corta «compleja».

Por ejemplo:

  • MiGatoBailaSalsaEnElTejado es mucho más resistente que
  • P@ssw0rd!

La razón es matemática: la fuerza de una contraseña depende de su entropía, una medida de cuántas combinaciones posibles existen. Una fórmula simplificada es:

E = L × log₂(R)

Donde:

  • L es la longitud de la contraseña
  • R es el tamaño del conjunto de caracteres posibles

Al aumentar L, la dificultad de un ataque de fuerza bruta crece de forma exponencial, mucho más rápido que simplemente añadir símbolos extra.

El fin de la rotación arbitraria

¿Recuerdas cuando tu empresa te obligaba a cambiar la clave cada 90 días? El NIST dice que paremos ya. Obligar a cambios periódicos sin una razón de peso (como una sospecha de compromiso) solo lleva a que los usuarios elijan contraseñas más débiles y predecibles. Si la clave es buena, déjala estar. Cambiarla por deporte es como cambiar la cerradura de casa cada mes pero poner una llave que es casi igual a la anterior: solo genera frustración.

Anatomía de un robo: Cómo te quitan las llaves del reino

Antes de hablar de soluciones, entendamos cómo operan los «malos». No siempre es como en las películas con un encapuchado tecleando rápido.

  • Relleno de credenciales (Credential Stuffing): Si usas la misma clave en LinkedIn y en tu banco, y LinkedIn sufre una filtración, los atacantes usarán bots para probar ese correo y clave en miles de sitios. Es como tener una llave maestra que abre todas las puertas de tu barrio porque tú mismo decidiste que así fuera.
  • Ataques de diccionario (Dictionary Attacks): Listas enormes de palabras comunes y variaciones que se prueban automáticamente.
  • Phishing: A veces no necesitan romper nada, simplemente te piden la contraseña amablemente en una web que se parece a la de tu banco. Por eso es vital saber qué es un phishing y cómo evitar caer en la trampa.

Gestores de contraseñas: Tu búnker personal de secretos

Aquí llegamos al punto crítico. Si el NIST nos pide contraseñas largas, únicas y aleatorias para cada servicio, la memoria humana colapsa. Aquí es donde entra el gestor de contraseñas (password manager).

Un gestor es una base de datos cifrada (normalmente usando AES-256) que almacena todas tus credenciales. Tú solo tienes que recordar una única «Contraseña Maestra» (Master Password).

¿Nube o Local?

Existen dos grandes filosofías:

  1. En la nube (Cloud-based): Como Bitwarden o 1Password. La comodidad de tenerlo en el móvil y el PC sincronizado al instante. Usan una arquitectura de conocimiento cero (Zero-Knowledge): ellos guardan tus datos, pero como están cifrados con tu clave maestra (que ellos nunca ven), no pueden leerlos aunque quisieran (o aunque les hackeen a ellos).
  2. Local: Como KeePassXC. Tú eres el dueño del archivo de la base de datos. Si lo pierdes o no haces backup, mala suerte. Es para los que tienen un nivel de paranoia saludable y no confían en servidores ajenos.

¿Por qué son tan seguros?

Los gestores no guardan tu clave maestra. Usan funciones de derivación de claves (como PBKDF2 o Argon2) para transformar tu frase en una clave de cifrado. Esto hace que intentar adivinar tu base de datos mediante fuerza bruta sea computacionalmente carísimo. Para profundizar en cómo funcionan estos algoritmos, te recomiendo echar un vistazo a esta guía básica de criptografía para principiantes.

Práctica: Un pequeño script para entender la seguridad (entropía)

Si quieres comprobar si una contraseña es robusta, no te fíes de las barritas de colores de las webs. Puedes usar un pequeño script en Python para calcular la entropía teórica.

import math

def calcular_entropia(password):
    # Definimos el conjunto de caracteres (R)
    caracteres = 0
    if any(c.islower() for c in password): caracteres += 26
    if any(c.isupper() for c in password): caracteres += 26
    if any(c.isdigit() for c in password): caracteres += 10
    if any(not c.isalnum() for c in password): caracteres += 32
    
    if caracteres == 0: return 0
    
    # E = L * log2(R)
    entropia = len(password) * math.log2(caracteres)
    return entropia

pwd = "MiGatoBailaSalsa123!"
print(f"Entropía de '{pwd}': {calcular_entropia(pwd):.2f} bits")
Python

Nota: El NIST considera que por debajo de 64 bits de entropía, tu contraseña es básicamente un post-it pegado en la pantalla.

Checklist de supervivencia: Buenas prácticas

Para que no te conviertas en una estadística más de un ataque de ingeniería social, sigue estos pasos:

  • Usa un gestor de contraseñas: Sin excusas. Bitwarden es gratuito y de código abierto, pruébalo
  • Activa el MFA (Autenticación de Múltiple Factor): Si alguien te roba la contraseña, el MFA es la cerradura que no le deja pasar. Prioriza aplicaciones de autenticación o llaves físicas (FIDO2) sobre el SMS. Aprende más sobre por qué deberías usar MFA ya mismo.
  • Frases, no palabras: ElCieloEsAzul42* es mucho mejor que H4ck3r!.
  • Cero reutilización: Una cuenta, una contraseña. Si hackean tu cuenta de un foro de cocina, que no puedan entrar en tu correo principal.
  • Cuidado con las preguntas de seguridad: ¿El nombre de tu madre? Está en Facebook. ¿Tu primer coche? Está en Instagram. Miente en las preguntas de seguridad y guarda las «mentiras» en tu gestor de contraseñas.

Recomendaciones actuales del NIST sobre contraseñas, sin rollos

El NIST ya no prioriza la “complejidad” basada en símbolos obligatorios. En su lugar, recomienda:

  • Usar contraseñas largas o frases de contraseña (mínimo 12–16 caracteres).
  • Permitir claves fáciles de recordar pero difíciles de adivinar.
  • Evitar reglas artificiales como “debe incluir mayúsculas, números y símbolos”.
  • No forzar cambios periódicos de contraseña salvo sospecha de compromiso.
  • Bloquear contraseñas comunes o filtradas mediante listas de contraseñas prohibidas.
  • Complementar con MFA siempre que sea posible.
  • Esto cae en las certificaciones, tanto si estás de acuerdo como si no, así que recuérdalo.

En resumen: más longitud, más sentido común y menos reglas inútiles.

Conclusión

La seguridad de las contraseñas ha evolucionado de un juego de «adivina el símbolo» a una disciplina basada en la longitud y la gestión inteligente. Las directrices del NIST nos enseñan que la fricción innecesaria (como cambiar claves cada mes) solo genera inseguridad y patrones no recomendados. Lo que realmente necesitamos es entropía suficiente y un buen almacén digital.

En el mundo profesional, una política de contraseñas débil no es asumible. Implementar gestores de contraseñas en tu empresa y seguir los estándares actuales no solo te protege de ataques externos, sino que salva a tus empleados del agotamiento mental de recordar 50 claves distintas.

Si después de leer esto sigues usando «Password01», recuerda: el día que te hackeen, no digas que no te avisamos. La seguridad digital es un viaje, no un destino, y lo primero es dejar de usar el nombre de tu perro como escudo ante el cibercrimen organizado.

Suscríbete a RutaCiber.com

El principal objetivo de RutaCiber.com es educar en ciberseguridad. Si el artículo te ha sido útil, suscríbete aquí 👇

Sin spam, solo nuevos artículos | Política de privacidad

Carlos del Río Sáez
Carlos del Río Sáez
Especialista en tecnología y ciberseguridad con más de 17 años de experiencia en entornos educativos y corporativos. Enfocado en sistemas, IA aplicada y ciberdefensa. Ingeniero informático. Miembro de ISC2 (CC Certified) y Security+ Certified.
Conecta conmigo en LinkedIn

Artículos relacionados...