Enaela García CEO de CYCSAS
Las contraseñas continúan siendo uno de los mecanismos de autenticación más utilizados a nivel global y, al mismo tiempo, uno de los más vulnerables cuando no se gestionan correctamente. De acuerdo con múltiples reportes de ciberseguridad, una proporción significativa de incidentes de acceso no autorizado tiene su origen en credenciales comprometidas, ya sea por reutilización, baja complejidad o exposición previa en filtraciones de datos.
Desde una perspectiva técnica, la protección de contraseñas debe abordarse como un control preventivo esencial, no como una práctica opcional. Una contraseña robusta debe cumplir con criterios mínimos de entropía. Esto implica no solo longitud, sino imprevisibilidad. Las mejores prácticas actuales recomiendan: longitud mínima de 12 a 16 caracteres, uso de frases de paso (passphrases) con palabras no correlacionadas e inclusión de distintos tipos de caracteres únicamente cuando no afecten la longitud total.
La rotación periódica de contraseñas debe aplicarse de forma basada en riesgo. Para sistemas críticos o con información sensible, se recomienda: cambios programados cada 90 a 180 días, rotación inmediata ante indicios de compromiso, accesos anómalos o filtraciones confirmadas. La rotación sin un evento de riesgo puede ser contraproducente si fomenta la reutilización de patrones predecibles, por lo que debe complementarse con políticas de historial de contraseñas.
No todas las credenciales tienen el mismo impacto. Cuentas con privilegios elevados, accesos administrativos, correos electrónicos corporativos y servicios de identidad centralizada deben contar con controles reforzados. En estos casos, la contraseña debe ser solo uno de los factores de autenticación, complementada con mecanismos como: autenticación multifactor (MFA), tokens físicos o aplicaciones de autenticación, restricciones por ubicación, dispositivo o comportamiento.
El envío de contraseñas por correo electrónico o su almacenamiento en archivos sin cifrar sigue siendo una práctica de alto riesgo.
Las recomendaciones de CYCSAS: implementar políticas de contraseñas basadas en estándares reconocidos, forzar MFA en accesos críticos, monitorear intentos de autenticación fallidos y patrones anómalos y capacitar a usuarios como parte integral de la estrategia de seguridad.
enaela.garcia@cycsas.com.mx
contacto@cycsas.com.mx
