"); } "); } else document.write("
");
"Si no la han robado, no hay que cambiarla y si lo han hecho, no hay que esperar a que caduque para modificarla", explica el consultor principal de la compañía Ampliar foto Una mujer ante un ordenador infectado por un ransomware. Getty Images
Microsoft renuncia a la caducidad de las contraseñas. A partir de ahora, no exigirá su cambio periódico tras comprobar que es una medida inútil e incluso peligrosa. Esta medida pretendía evitar que una cuenta fuera pirateada, pero según reconoce Aaron Margosis, consultor principal de la compañía, su efectividad es nula. “Si una contraseña no ha sido robada no hay necesidad de cambiarla. Y si hay evidencia de que ha sido robada, hay que actuar de inmediato, sin esperar a que caduque”, explica en el blog de seguridad de la compañía (Microsoft Security Guidance blog).
Para saber, por ejemplo, si una dirección de correo ha estado en manos ajenas, existen páginas web en las que se almacenan los casos detectados, como Have I been pwned?, donde hay registradas más de 5.000 millones de cuentas afectadas en alguna ocasión.
Margosis reconoce el problema de las contraseñas, evidenciado en un reciente informe que desvela que solo un 15% de los usuarios utiliza métodos seguros de identificación y que la gran mayoría utiliza claves vulnerables como una sucesión de números, sus nombres o los de sus equipos o grupos favoritos.
La razón es la pereza y la dificultad para recordar contraseñas consideradas fuertes (aquellas que alternan mayúsculas y minúsculas con números y caracteres especiales). “Cuando una persona es obligada a cambiar la contraseña, realiza pequeñas y predecibles alteraciones sobre la ya usada”, escribe el consultor.
Aunque Microsoft renuncia a la caducidad, mantiene la recomendación de utilizar esas mencionadas contraseñas fuertes y recurrir siempre que sea posible a procesos de verificación en dos pasos (uso de otro dispositivo complementario para garantizar la autenticidad del usuario) o programas de reconocimiento de datos biométricos, como la cara o la huella digital.
“La caducidad periódica de la contraseña es una fórmula antigua y obsoleta con muy poco valor y creemos que no es válida dentro de nuestra política de seguridad”, reconoce Margosis.
El Centro de Ciberseguridad Nacional de Reino Unido (National Cyber Security Centre, NCSC), en un informe que presenta esta semana, refleja que, pese a las continuas advertencias, solo un 15% de los usuarios recurre a métodos seguros mientras más de 40 millones de personas mantienen como contraseña de sus aparatos informáticos la más sencilla sucesión de números (123456), dígitos iguales (111111), la palabra password o contraseña o las primeras letras del teclado (qwerty).
Otras claves usadas habitualmente son el nombre propio, el de equipos de fútbol, grupos de música o personajes de ficción. "El problema de estas contraseñas es que son transparentes. Si en las redes mostramos que una persona sigue al Betis o le gusta Pokemon, quien quiera acceder a nuestros datos probará con éstas o dispondrá de robots y programas para hacerlo", advierte Alejandro Martínez, experto en seguridad en la red.
Hay herramientas para hacer más seguras las cuentas y Microsoft anima a usarlas. Una de ellos el uso del token electrónico, un dispositivo que almacena o genera claves, firmas digitales o datos biométricos. Las tarjetas de crédito con lector de huellas han comenzado a implantarse y también existen teclados virtuales que cambian de posición el código cada vez que se usa. Además, hay programas gestores de contraseñas para organizar y proteger las claves, así como para crearlas de forma aleatoria.
Para empresas y colectivos, han comenzado a proliferar servicios en la nube donde la entidad que presta las facilidades asume también la seguridad. Microsoft dispone de Azure, una plataforma que no se menciona en la entrada de la compañía sobre el fin de la caducidad y que, según la empresa utiliza "controles multinivel integrados e inteligencia artificial frente a amenazas de rápida evolución".