Las contraseñas siguen siendo uno de los principales vectores de ataque en las brechas de seguridad. Por ello, establecer políticas robustas para la creación y gestión de contraseñas es fundamental para reducir riesgos. A continuación, te compartimos recomendaciones técnicas clave:

- Cumple con criterios de complejidad
Para minimizar el riesgo de ataques de fuerza bruta o diccionario, las contraseñas deben cumplir con los siguientes requisitos mínimos:
- Longitud: 12-16 caracteres como mínimo.
- Contenido: Combinación de letras mayúsculas, minúsculas, números y caracteres especiales.
- Ausencia de patrones comunes: Evita palabras del diccionario, repeticiones de caracteres o combinaciones triviales como «Admin123!». En este post te mostramos más ejemplos.
- Implementa un sistema de contraseñas únicas por servicio
El uso de una contraseña única para cada servicio evita que un compromiso en un sistema (por ejemplo, un ataque a través de una brecha de datos en un proveedor) afecte a otras cuentas. Esto es crítico en servicios críticos como correo electrónico, plataformas de trabajo colaborativo o herramientas financieras.
- Adopta gestores de contraseñas
Un Password Manager no solo reduce la necesidad de recordar contraseñas, sino que también puede generar credenciales altamente complejas y únicas. Ejemplos recomendados incluyen:
- Bitwarden (Open Source)
- 1Password (Enfocado en equipos)
- LastPass
- Ciclo de rotación de contraseñas
Si bien las políticas de cambio de contraseñas periódicas han sido cuestionadas en los últimos años, en ciertos entornos críticos (por ejemplo, sistemas con datos confidenciales o regulados), es buena práctica rotarlas cada 90 a 180 días.
- Aplica la autenticación multifactor (MFA)
La autenticación multifactor (2FA o MFA) agrega una capa de seguridad al exigir algo más que la contraseña. Métodos preferidos:
- Generadores de código TOTP (como Google Authenticator o Authy).
- Tokens hardware como YubiKey.
- Autenticación basada en biometría.
- Detecta y mitiga vulnerabilidades
- Supervisa credenciales comprometidas: Herramientas como Have I Been Pwned permiten verificar si un hash de tus contraseñas ha sido filtrado en incidentes de seguridad.
- Políticas de bloqueo: Configura bloqueos automáticos después de varios intentos fallidos para reducir la probabilidad de ataques de fuerza bruta.
- Almacenamiento seguro: Las contraseñas deben almacenarse en bases de datos como hashes seguros generados con algoritmos robustos (por ejemplo, bcrypt o Argon2) y con sal aleatoria para cada entrada.
- Educa a los usuarios finales
En entornos empresariales, refuerza la educación del personal sobre la importancia de contraseñas fuertes y su papel en la seguridad global del sistema.
- Automatiza auditorías periódicas
Implementa herramientas para revisar continuamente la robustez de las contraseñas y realizar auditorías de cumplimiento en tus sistemas.