El consejo no cambió durante décadas: utilice contraseñas complejas con mayúsculas, minúsculas, números y símbolos. La idea es hacer que las contraseñas sean más difíciles de descifrar para los piratas informáticos mediante métodos de fuerza bruta. Pero una guía más reciente muestra que debemos centrarnos en la longitud de la contraseña, en lugar de en la complejidad. La longitud es el factor de seguridad más importante y las frases de contraseña son la forma más sencilla de lograr que los usuarios creen (¡y recuerden!) contraseñas más largas.
Las matemáticas que importan
Cuando los atacantes roban hashes de contraseñas de una infracción, utilizan la fuerza bruta al realizar millones de conjeturas por segundo hasta que algo coincide. El tiempo que esto lleva depende de una cosa: cuántas combinaciones posibles existen.
Una contraseña «compleja» tradicional de 8 caracteres (P@ssw0rd!) ofrece aproximadamente 218 billones de combinaciones. Suena impresionante hasta que te das cuenta de que las configuraciones modernas de GPU pueden probar esas combinaciones en meses, no años. Aumente eso a 16 caracteres usando solo letras minúsculas y obtendrá 26 ^ 16 combinaciones, miles de millones de veces más difíciles de descifrar.
Esta es la entropía efectiva: la aleatoriedad real que un atacante debe atravesar. Tres o cuatro palabras comunes aleatorias unidas («alfombra-estática-pretzel-invocar») generan mucha más entropía que agrupar símbolos en cadenas cortas. Y los usuarios pueden realmente recordarlos.
Por qué las frases de contraseña ganan en todos los frentes
El argumento a favor de las frases de contraseña no es teórico, es operativo:
Menos reinicios. Cuando las contraseñas son fáciles de recordar, los usuarios dejan de escribirlas en notas Post-it o de reciclar variaciones similares entre cuentas. Los tickets del servicio de asistencia técnica caen, lo que por sí solo debería justificar el cambio.
Mejor resistencia al ataque. Los atacantes optimizan los patrones. Prueban palabras del diccionario con sustituciones comunes (@ por a, 0 por o) porque eso es lo que hace la gente. Una frase de contraseña de cuatro palabras evita estos patrones por completo, pero sólo cuando las palabras son realmente aleatorias y no están relacionadas.
Alineado con la guía actual. El NIST ha sido claro: priorizar la duración sobre la complejidad forzada. El mínimo tradicional de 8 caracteres debería ser cosa del pasado.
Una regla que vale la pena seguir
Deje de administrar 47 requisitos de contraseña. Ofrezca a los usuarios una instrucción clara:
Elija 3-4 palabras comunes no relacionadas + un separador. Evite letras de canciones, nombres propios o frases célebres. Nunca reutilice entre cuentas.
Ejemplos: horno-portátil-glaciar-mango o cricket.highway.mostaza.piano
Eso es todo. Sin mayúsculas obligatorias, sin símbolos obligatorios, sin teatro de complejidad. Sólo longitud y aleatoriedad.
Implementándolo sin caos
Los cambios en la autenticación pueden generar resistencia. A continuación se explica cómo minimizar la fricción:
Comience con un grupo piloto, consiga entre 50 y 100 usuarios de diferentes departamentos. Bríndeles la nueva orientación y supervise (pero no haga cumplir) durante dos semanas. Esté atento a los patrones: ¿la gente está recurriendo a frases de la cultura pop? ¿Están cumpliendo consistentemente los requisitos de longitud mínima?
Luego pase al modo de solo advertencia en toda la organización. Los usuarios ven alertas cuando su nueva contraseña es débil o ha sido comprometida, pero no están bloqueados. Esto genera conciencia sin crear cuellos de botella en el apoyo.
Haga cumplir sólo después de haber medido:
- Porcentaje de adopción de frase de contraseña
- Reducción del reinicio del servicio de asistencia técnica
- Accesos a contraseñas prohibidas de su lista de bloqueo
- Puntos de fricción informados por el usuario
Realice un seguimiento de estos como KPI. Ellos le dirán si esto está funcionando mejor que la política anterior.
Lograr que se mantenga con las herramientas políticas adecuadas
Su política de contraseñas de Active Directory necesita tres actualizaciones para admitir frases de contraseña correctamente:
- Eleve la longitud mínima. Pasa de 8 a 14+ caracteres. Esto admite frases de contraseña sin crear problemas para los usuarios que todavía prefieren las contraseñas tradicionales.
- Elimine las comprobaciones de complejidad forzadas. Deja de requerir mayúsculas, números y símbolos. La longitud ofrece una mayor seguridad con menos fricción para el usuario.
- Bloquee las credenciales comprometidas. Esto no es negociable. Incluso la frase de contraseña más segura no ayuda si ya se filtró en una infracción. Su política debe comparar los envíos con listas comprometidas conocidas en tiempo real.
El restablecimiento de contraseña de autoservicio (SSPR) puede ayudar durante la transición. Los usuarios pueden actualizar sus credenciales de forma segura cuando quieran y su servicio de asistencia técnica no debería ser el cuello de botella.
La auditoría de contraseñas le brinda visibilidad de las tasas de adopción. Puede identificar cuentas que todavía usan contraseñas cortas o patrones comunes y luego dirigirse a esos usuarios con orientación adicional.
Herramientas como Specops Password Policy manejan las tres funciones: extender los mínimos de la política, bloquear más de 4 mil millones de contraseñas comprometidas e integrarse con los flujos de trabajo SSPR. Las actualizaciones de políticas se sincronizan con Active Directory y Azure AD sin infraestructura adicional, y la lista de bloqueo se actualiza diariamente a medida que surgen nuevas infracciones.
Cómo se ve esto en la práctica
Imagine que su póliza requiere 15 caracteres pero elimina todas las reglas de complejidad. Un usuario crea bosquejo-de-fuente-posavasos-paraguas durante su próximo cambio de contraseña. Una herramienta como Specops Password Policy la compara con la base de datos de contraseñas comprometida: está limpia. El usuario lo recuerda sin un administrador de contraseñas porque son cuatro imágenes concretas unidas entre sí. No lo reutilizan porque saben que es específico de esta cuenta.
Seis meses después, no hay solicitud de reinicio. Sin notas adhesivas ni llamadas al servicio de asistencia técnica porque manipularon un símbolo. Nada revolucionario, simplemente simple y eficaz.
La seguridad que realmente necesitas
Las frases de contraseña no son una solución milagrosa. El MFA sigue siendo importante. La supervisión de credenciales comprometidas sigue siendo importante. Pero si está gastando recursos en cambios en la política de contraseñas, aquí es donde gastarlos: mínimos más largos, reglas más simples y protección real contra credenciales violadas.
Los atacantes todavía roban hashes y los aplican fuerza bruta fuera de línea. Lo que ha cambiado es nuestra comprensión de lo que realmente los ralentiza, por lo que su próxima política de contraseñas debería reflejar eso. ¿Interesado en probarlo? Reserve una demostración en vivo de la política de contraseñas de Specops.