Buenas prácticas en materia de contraseñas para sectores regulados: una guía práctica de seguridad

Las mejores prácticas en materia de contraseñas se reducen a una lista breve, casi aburrida, pero que realmente funciona: utilizar un gestor de contraseñas para generar contraseñas largas y únicas para cada cuenta, activar la autenticación multifactorial (MFA) y no reutilizar nunca la misma contraseña en distintos servicios. Para los equipos de los sectores sanitario, jurídico y financiero, el mayor riesgo rara vez es una contraseña demasiado sencilla, sino una contraseña que se ha reutilizado o que ha sido robada. La mayoría de las violaciones de seguridad en cuentas comienzan hoy en día con credenciales que el atacante ya posee, no con las que ha adivinado, por lo que el verdadero objetivo es eliminar la reutilización e incorporar un segundo factor.

‍

Puntos clave

• Un gestor de contraseñas, junto con la autenticación multifactorial (MFA), bloquea la gran mayoría de los ataques automatizados destinados a apropiarse de cuentas. Esa combinación, y no el hecho de memorizar secuencias ingeniosas, es la clave de la seguridad de las contraseñas.
• La reutilización es la principal vulnerabilidad. Los estudios del sector revelan sistemáticamente que la mayoría de las personas reutilizan sus contraseñas, por lo que una sola filtración puede afectar en cadena a todas las cuentas que compartan esa contraseña.
• Las contraseñas débiles suelen ser predecibles, no aleatorias. Las variaciones de palabras relacionadas con las estaciones del año, los nombres de mascotas y los nombres de empresas son precisamente lo primero que prueban los atacantes.
• La amenaza ha pasado de consistir en adivinar contraseñas a robarlas, por lo que la originalidad y la autenticación multifactorial (MFA) son más importantes que la mera complejidad de los caracteres.
• Las credenciales laborales y personales nunca deben mezclarse. Mantenerlas separadas limita los daños cuando alguna de las dos se ve comprometida.

‍

¿Cuáles son las mejores prácticas en materia de contraseñas?

Las buenas prácticas en materia de contraseñas son el conjunto de hábitos y controles que evitan que las credenciales de las cuentas sean adivinadas, descifradas, reutilizadas o robadas. Abarcan cómo se crea una contraseña (longitud y aleatoriedad), cómo se almacena (en un gestor de contraseñas en lugar de en una nota adhesiva, una hoja de cálculo o el navegador), cómo se protege (autenticación multifactorial) y cómo se comparte (solo a través de canales seguros). Las recomendaciones actuales de los organismos de normalización han dejado de imponer reglas de caracteres complicadas y cambios frecuentes, para centrarse en la longitud, la singularidad y un segundo factor de autenticación sólido.

‍

Por qué la seguridad de las contraseñas es más importante que nunca

La estrategia de los atacantes ha cambiado. Hace una década, la principal preocupación era que alguien descifrara una contraseña débil mediante un ataque de fuerza bruta, probando numerosas combinaciones. Hoy en día, la mayor amenaza es el robo de credenciales: los atacantes obtienen contraseñas válidas a través de filtraciones de datos, phishing y malware de robo de información (software que recopila de forma silenciosa las contraseñas guardadas y las sesiones de inicio de sesión de un dispositivo infectado) y, a continuación, simplemente inician sesión. Según el Informe de Investigaciones sobre Fugas de Datos de Verizon, las credenciales robadas son una de las formas más habituales en que los atacantes consiguen su punto de acceso inicial, e IBM X-Force ha informado de que una gran parte de las intrusiones utilizan credenciales válidas y robadas, en lugar de recurrir a cualquier tipo de exploit.

‍

Esto es importante por una razón práctica. Si un atacante puede comprar o robar una contraseña que ya funciona, la seguridad de esa contraseña ya no te protege. Lo que te protege es que la contraseña sea única (para que no pueda desbloquear nada más) y que exista un segundo factor de autenticación entre la contraseña robada y la cuenta. Para los equipos sujetos a normativa que gestionan datos confidenciales, ese cambio es el argumento fundamental que justifica las prácticas que se describen a continuación.

‍

¿Qué hace que una contraseña sea segura?

Hay tres características que hacen que una contraseña sea segura: la longitud, el carácter aleatorio y la singularidad. La longitud es la más importante. El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), en su Publicación Especial 800-63B-4, recomienda un mínimo de 15 caracteres para una contraseña utilizada como único factor de autenticación (y admite longitudes de hasta al menos 64), mientras que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) recomienda que se intente alcanzar al menos 16 caracteres. La aleatoriedad implica evitar palabras del diccionario y datos personales. La singularidad significa utilizar una contraseña diferente para cada cuenta.

‍

Una alternativa útil a una cadena aleatoria es una frase de contraseña: entre cuatro y siete palabras sin relación entre sí unidas entre sí, que es larga, difícil de descifrar y mucho más fácil de recordar. La CISA ofrece ejemplos como un puñado de palabras sin relación entre sí combinadas en una sola frase.

‍

‍

Esta es la diferencia en la práctica:

‍

‍

Cómo crear una contraseña segura

El método más rápido y fiable es dejar que un gestor de contraseñas te genere una. Cuando tengas que crear una manualmente (por ejemplo, la contraseña maestra que desbloquea el gestor), crea una frase de contraseña:

‍

1. Elige entre cuatro y siete palabras aleatorias que no tengan relación entre sí. Evita cualquier cosa relacionada contigo, con tu empresa o con la fecha.
2. Únelas en una sola frase. Puedes dejar los espacios o eliminarlos.
3. Es mejor añadir longitud que complejidad. Una frase más larga es mejor que una cadena corta con símbolos.
4. Asegúrate de que se utilice exactamente en un solo lugar y en ningún otro.
5. Nunca la guardes en texto sin cifrar. Memoriza la contraseña maestra y deja que el administrador se encargue del resto.

‍

Evita por completo los elementos predecibles. Los atacantes llevan a cabo ataques de diccionario (adivinaciones automatizadas utilizando listas de palabras comunes y contraseñas conocidas) y «credential stuffing» (reutilización de pares de nombre de usuario y contraseña filtrados en otras filtraciones). Las contraseñas más comunes que se han filtrado, como «123456», «admin» y «password» (identificadas habitualmente en los estudios de NordPass), se descifran al instante, al igual que las opciones contextuales, como el nombre de una mascota, el nombre de la empresa o una estación del año y un año.

‍

Deja de reutilizar contraseñas: la medida más importante

Si vas a cambiar un hábito, cambia este. Las encuestas citadas en estudios sobre seguridad muestran que la mayoría de las personas reutilizan las contraseñas en varias cuentas (Forbes Advisor ha publicado cifras que rondan el 78 %), y el análisis de filtraciones de SpyCloud ha revelado que una gran parte de las personas afectadas por filtraciones había reutilizado una contraseña que ya había sido comprometida anteriormente. La reutilización es lo que convierte una simple filtración en una reacción en cadena: un servicio afectado le da al atacante la clave de acceso a tu correo electrónico, y tu correo electrónico es la vía de acceso para restablecer todas tus demás cuentas.

‍

De ello se derivan directamente dos reglas. En primer lugar, utiliza una contraseña diferente para cada servicio, sin excepciones. En segundo lugar, mantén las credenciales laborales y personales completamente separadas. La contraseña de tu servicio de streaming no tiene nada que ver con los sistemas de la empresa, y una contraseña de la empresa nunca debe proteger una cuenta personal. Considera esta separación como una medida de seguridad, no como una cuestión de etiqueta: limita el alcance del impacto, de modo que una filtración en un ámbito no pueda extenderse al otro.

‍

¿Qué es un gestor de contraseñas? ¿Deberías utilizar uno?

Un gestor de contraseñas es una aplicación que genera, almacena y rellena automáticamente tus contraseñas dentro de una caja fuerte cifrada. Tú solo tienes que recordar una contraseña maestra segura, y el gestor se encarga de todo lo demás, incluidas las contraseñas largas y aleatorias que nunca podrías memorizar. Además, te avisa cuando hay contraseñas débiles o duplicadas para que puedas corregirlas. La CISA y la mayoría de los equipos de seguridad consideran que un gestor de contraseñas es la forma más sencilla de garantizar de manera realista el uso de contraseñas seguras y únicas para cada cuenta.

‍

Existen dos grandes categorías. Los gestores Personal están destinados a usuarios individuales y equipos pequeños. Enterprise , que suelen formar parte de la gestión de acceso privilegiado (PAM, la práctica de proteger y supervisar las credenciales administrativas de alto valor), añaden control centralizado, restricciones de acceso, auditoría e inicio de sesión único (SSO, que permite a los usuarios autenticarse una sola vez para acceder a múltiples aplicaciones autorizadas). Una advertencia: evita confiar en el almacenamiento integrado de tu navegador para las credenciales importantes, ya que las contraseñas almacenadas en el navegador pueden ser más fáciles de extraer de un dispositivo comprometido o robado que las que se encuentran en un gestor específico y cifrado.

‍

Activa la autenticación multifactorial (MFA)

La autenticación multifactorial (MFA) requiere una segunda prueba de identidad además de la contraseña, como un código de una aplicación de autenticación, una llave de hardware o una verificación biométrica. Dado que una contraseña robada o adivinada por sí sola no basta para acceder al sistema, la MFA bloquea la gran mayoría de los ataques automatizados y masivos, y tanto la CISA como Microsoft la recomiendan como medida de seguridad básica.

‍

No todos los factores son iguales. Siempre que sea posible, da preferencia a los métodos resistentes al phishing basados en los estándares FIDO2 y WebAuthn, incluidas las claves de acceso (claves criptográficas vinculadas a tu dispositivo que sustituyen por completo a la contraseña y funcionan como un método de inicio de sesión independiente, no solo como un segundo factor). Los códigos de un solo uso enviados por SMS son el factor común más débil, ya que son vulnerables al intercambio de tarjetas SIM y a los ataques al protocolo SS7, que pueden interceptar mensajes SMS a nivel de red; tanto el NIST como la CISA desaconsejan confiar en ellos cuando existen opciones más seguras.

‍

¿Deberías cambiar tus contraseñas con regularidad?

No, no según un calendario fijo, al menos no para las cuentas de usuario normales. El NIST desaconseja ahora los cambios periódicos obligatorios de contraseñas de usuario, ya que la rotación forzada lleva a las personas a utilizar patrones predecibles (Summer2025 se convierte en Summer2026) y a anotarse las contraseñas. En su lugar, cambia la contraseña cuando haya un motivo: una filtración conocida o sospechada, una notificación de violación de seguridad o una credencial de la que ya no tengas constancia. Incluso cuando estés «bastante seguro de que todo va bien», una exposición confirmada es motivo suficiente para cambiarla. (Las credenciales administrativas con privilegios elevados son una excepción y suelen cambiarse de forma rutinaria).

‍

Cómo compartir contraseñas de forma segura

A veces, es realmente necesario compartir una credencial. Cuando eso ocurre, el canal por el que se envía es tan importante como la propia contraseña. Nunca envíes una contraseña por Slack, correo electrónico o mensaje de texto, ya que puede quedar almacenada en un historial en el que se pueda buscar, reenviarse o quedar expuesta si alguna de las cuentas se ve comprometida. En su lugar, compártela a través de la función de intercambio seguro de un gestor de contraseñas, que mantiene la credencial cifrada y te permite revocar el acceso más adelante. Si alguna vez una contraseña llega a circular por un chat o por correo electrónico, considérala expuesta y cámbiala.

‍

Prácticas recomendadas sobre contraseñas para sectores regulados

Las organizaciones sanitarias, jurídicas y financieras tienen una obligación adicional, ya que las cuentas en cuestión suelen proteger datos regulados. En el ámbito sanitario, esto incluye la información sanitaria protegida (PHI, datos sanitarios identificables individualmente). Los marcos normativos establecen unas expectativas que la gestión de credenciales ayuda a cumplir. La Norma de Seguridad de la HIPAA, por ejemplo, exige controles de acceso y medidas de seguridad de autenticación para los sistemas que gestionan la PHI, y el uso de credenciales únicas junto con la autenticación multifactorial (MFA) son formas prácticas de cumplir dichos requisitos. (La HIPAA también regula las relaciones con los proveedores a través de un Acuerdo Business , o BAA, el contrato que hace que un proveedor de servicios sea responsable de proteger la PHI.)

‍

Hay un aspecto que conviene tener presente: el cumplimiento normativo y la seguridad están relacionados, pero no son lo mismo. Una política de contraseñas puede cumplir técnicamente con una lista de requisitos obsoleta, pero seguir dejando riesgos reales sin resolver, y una política que parezca estricta (cambios forzados frecuentes, reglas de complejidad de caracteres) puede resultar, en la práctica, más débil que otra más sencilla basada en la longitud, la singularidad, el uso de un gestor de contraseñas y la autenticación multifactorial (MFA). El objetivo para un equipo sujeto a regulación es contar con una política que sea defendible ante un auditor y, al mismo tiempo, genuinamente eficaz frente a las técnicas que utilizan hoy en día los atacantes. Las credenciales sólidas y únicas, la autenticación multifactorial (MFA), el intercambio seguro y un almacén cifrado respaldan los controles reconocidos en marcos normativos como HIPAA, SOC 2 e ISO 27001 sin sacrificar la facilidad de uso.

‍

Preguntas frecuentes

‍

¿Cuál es el tipo de contraseña más segura?

La contraseña más segura es una contraseña larga y aleatoria generada y almacenada por un gestor de contraseñas, ya que así nunca tienes que recordarla ni escribirla. En cuanto a la única contraseña que debes memorizar, una frase de contraseña compuesta por entre cuatro y siete palabras sin relación entre sí te ofrece longitud y facilidad para recordarla al mismo tiempo. En ambos casos, la contraseña debe ser exclusiva para una sola cuenta.

‍

¿Cuáles son las contraseñas más habituales que hay que evitar?

Los estudios sobre credenciales filtradas, como el análisis anual de NordPass, señalan una y otra vez que las mismas contraseñas ocupan los primeros puestos: 123456, admin y password. Cualquier palabra del diccionario, un nombre o el de una mascota, el nombre de una empresa o una estación del año seguida de un año caen en la misma trampa. Estas son las primeras opciones que prueba un ataque automatizado, así que evítalas por completo.

‍

¿Son seguros los gestores de contraseñas?

Sí, para casi todo el mundo, un gestor de contraseñas de confianza es mucho más seguro que las alternativas, que son la reutilización de contraseñas, las contraseñas débiles y las notas adhesivas. La caja fuerte está cifrada, y solo hay que proteger una contraseña maestra segura (a ser posible, una frase de contraseña) con la autenticación multifactorial (MFA) activada. La comodidad es también lo que hace que sea factible utilizar contraseñas seguras y únicas en docenas de cuentas.

‍

¿Qué longitud debe tener una contraseña?

Cuanto más larga, más segura. El NIST recomienda un mínimo de 15 caracteres para una contraseña de un solo factor y admite longitudes de hasta, al menos, 64, mientras que la CISA sugiere que se intente alcanzar al menos 16. Una frase de contraseña es una forma sencilla de alcanzar esa longitud sin crear algo imposible de recordar.

‍

¿Debería cambiar mis contraseñas con regularidad?

No hay un calendario fijo para las cuentas normales. El NIST desaconseja los cambios periódicos obligatorios, ya que fomentan patrones predecibles. Cambia la contraseña cuando se produzca un motivo real, como una notificación de filtración o cualquier indicio de que la cuenta se haya visto comprometida.

‍

¿Es seguro guardar las contraseñas en mi navegador?

En el caso de las cuentas importantes, un gestor de contraseñas específico es más seguro que el almacenamiento integrado en el navegador. Las contraseñas almacenadas en el navegador pueden ser más fáciles de extraer de un dispositivo perdido, robado o infectado por malware. Utiliza la opción del navegador para guardar los datos de inicio de sesión solo para cuentas de menor importancia, si es que lo haces.

‍

¿Cómo debo compartir una contraseña con un compañero de trabajo?

Utiliza la función de uso compartido seguro de un gestor de contraseñas, que mantiene las credenciales cifradas y te permite revocar el acceso más adelante. No las envíes por Slack, correo electrónico ni mensaje de texto. Si alguna vez has enviado una contraseña a través de alguno de esos canales, cámbiala.