¿Contraseñas que nunca caducan? Por qué aún no deberíamos abandonar la caducidad de contraseñas.
Table of Contents
El restablecimiento de contraseñas mediante tickets al service desk y llamadas al soporte es una carga diaria para los equipos de TI. Por su parte, los usuarios también se frustran cuando la notificación de “es hora de cambiar tu contraseña” aparece en mitad de una jornada laboral intensa, especialmente cuando descubren que no pueden simplemente añadir un “!” al final de su contraseña anterior. Aun así, pese a la frustración tanto de los usuarios como de los equipos de TI, aplicar una caducidad periódica de contraseñas ha sido durante años una práctica estándar en las organizaciones.
En los últimos años, esta práctica ha sido cada vez más cuestionada. Microsoft, por ejemplo, ha llegado a afirmar que la caducidad de contraseñas “hace más daño que bien”. Sin embargo, eliminar la caducidad periódica, aunque pueda resultar atractivo para equipos de TI sobrecargados, no es la mejor opción para la mayoría de las organizaciones. ¿El principal motivo? La falta de capacidad para detectar con rapidez una cuenta comprometida. Dado que muchas organizaciones no pueden identificar de inmediato un secuestro de cuentas (account takeover), forzar la caducidad regular de contraseñas sigue siendo una medida de mitigación importante frente al riesgo de reutilización de credenciales.
Echemos un vistazo al estado actual de la caducidad de contraseñas, qué tipo de ataques puede ayudar a mitigar y qué alternativas tienen hoy los equipos de TI.
¿De dónde viene el estándar de restablecimiento cada 90 días?
Hoy en día, almacenar contraseñas en texto plano es poco habitual. Las organizaciones que utilizan Active Directory las almacenan como hashes, lo que significa que las contraseñas reales de los empleados se procesan mediante una función hash criptográfica (CHF). Cuando un usuario introduce su contraseña, esta se vuelve a procesar con la misma función y se comprueba que el resultado coincida con el hash almacenado en la base de datos. Debido a la naturaleza unidireccional de estos algoritmos, los atacantes deben recurrir a técnicas de cracking de contraseñas.
En la práctica, esto implica intentar adivinar contraseñas mediante ataques de fuerza bruta. Para ello, los atacantes deben identificar el algoritmo de hash utilizado y probar posibles combinaciones, comparando el resultado con el hash almacenado en la plataforma. Las organizaciones pueden dificultar aún más este proceso mediante el uso de salting, una técnica que añade una cadena aleatoria de caracteres a cada contraseña antes de aplicar el hash.
Los ataques de fuerza bruta no son una ciencia exacta, especialmente cuando se utilizan hashing y salting. El tiempo necesario para descifrar una contraseña depende de varios factores, como la potencia computacional de la que disponga el ciberdelincuente y la fortaleza de la contraseña. Durante años, el consenso entre los especialistas en seguridad fue que 90 días ofrecían el mejor equilibrio entre adelantarse a estos ataques y no obligar a los usuarios a cambiar sus contraseñas con demasiada frecuencia. Sin embargo, los avances recientes en automatización y hardware han reducido significativamente los tiempos de cracking.
Este enfoque basado en el tiempo necesario para descifrar contraseñas dio lugar a numerosas recomendaciones y estándares de cumplimiento, incluido el requisito de caducidad cada 90 días. Hasta hace unos seis años, esta era la recomendación estándar del NIST, y sigue siendo la recomendación vigente para PCI.
Descubre también cómo reiniciar el contador de caducidad de contraseñas en Active Directory.
¿Por qué quieren las organizaciones eliminar la caducidad de contraseñas?
Uno de los argumentos más habituales en contra de la caducidad periódica es que fomenta la reutilización de contraseñas débiles mediante pequeños cambios incrementales. Por ejemplo, Mallorca1! pasa a convertirse en Mallorca2!, ya que el usuario quiere seguir utilizando una contraseña que ya tiene memorizada. El verdadero problema, en este caso, no es el restablecimiento en sí, sino una política que permite el uso de contraseñas débiles.
Pero ¿qué ocurre si obligamos a los usuarios a restablecer periódicamente contraseñas únicas y robustas? Aquí la experiencia de usuario puede convertirse en un obstáculo, sobre todo si la organización no dispone de una plataforma de restablecimiento que ofrezca ayuda u orientación. Aun así, se trata de una molestia relativamente menor: nadie va a actualizar su currículum simplemente por tener que cambiar una contraseña. El verdadero impacto de la caducidad periódica suele estar en la carga adicional que genera para el service desk.
Desde el punto de vista de la organización, los restablecimientos tienen un coste directo. Según Gartner, entre el 20 % y el 50 % de las llamadas al service desk de TI están relacionadas con contraseñas. Forrester Research estima que el coste laboral de cada restablecimiento ronda los 70 dólares, una cifra que se acumula rápidamente cuando los usuarios olvidan las nuevas contraseñas únicas que se les obliga a crear. Y, una vez restablecida la contraseña, el ciclo vuelve a empezar.
Si quieres saber dónde y cómo configurar las contraseñas de Active Directory para que nunca caduquen, consulta nuestra guía.
¿Realmente necesitamos caducidades periódicas de contraseñas?
Nunca querrías prescindir de un sistema rápido y eficaz para restablecer contraseñas, ya que inevitablemente habrá situaciones en las que sea necesario cambiarlas de inmediato. Por ejemplo, cuando una cuenta ha sido comprometida, las credenciales se han filtrado en una brecha de datos, se detecta malware en un dispositivo o se ha utilizado una red no segura. En algunos casos, incluso es necesario realizar un restablecimiento masivo de contraseñas de Active Directory en toda la organización.
Entonces, si ya contamos con mecanismos eficaces para restablecer contraseñas cuando es necesario, ¿qué aporta realmente una política de caducidad?
La reutilización de contraseñas es uno de los principales motivos por los que la caducidad sigue siendo útil. Incluso en organizaciones con políticas sólidas que obligan a utilizar passphrases robustas, ¿qué ocurre si un empleado decide usar la misma contraseña para Facebook, Netflix y todas sus aplicaciones personales? Un estudio de Google reveló que el 65 % de las personas reutiliza contraseñas, lo que incrementa considerablemente el riesgo de compromiso, independientemente de las medidas internas de seguridad.
Las políticas de “contraseñas que nunca caducan” ofrecen más oportunidades a los atacantes, especialmente cuando muchas credenciales no cumplen requisitos básicos de seguridad. Los atacantes pueden mantenerse por debajo de los umbrales de bloqueo durante más tiempo y disponer de mayor margen para adivinar contraseñas. Además, incluso una contraseña fuerte puede verse comprometida mediante phishing, brechas de datos u otros incidentes sin que el usuario sea consciente de ello. Nuestro Specops Weak Password Report 2023 reveló que el 83 % de las contraseñas comprometidas cumplían los requisitos de longitud y complejidad de los estándares regulatorios.
En muchos casos, no es posible saber que unas credenciales han sido comprometidas hasta que el atacante ya ha llevado a cabo el ataque. El Instituto Ponemon estima que una organización tarda una media de 207 días en descubrir una brecha. Una caducidad forzada puede ayudar, pero en muchos casos el atacante ya habrá logrado su objetivo antes de que llegue la fecha de caducidad. Por este motivo, NIST y otros estándares solo recomiendan contraseñas sin caducidad cuando existen herramientas capaces de detectar cuentas comprometidas.
¿Qué pueden hacer las organizaciones en su lugar?
La caducidad puede ayudar a reducir la reutilización de contraseñas, pero debe formar parte de una estrategia más amplia. La mejor aproximación es establecer una política que guíe a los usuarios a crear passphrases robustas de al menos 20 caracteres, combinando distintos tipos de caracteres. Como muestra la tabla a continuación, esto reduce significativamente la exposición a ataques de fuerza bruta.
Una forma de incentivar a los usuarios a crear contraseñas más largas es la caducidad basada en la longitud. Con este enfoque, las contraseñas más largas y fuertes pueden utilizarse durante más tiempo antes de caducar. Así, no es necesario aplicar un periodo fijo de 90 días (salvo para cumplir estándares como PCI), siempre que los usuarios cumplan los requisitos definidos en la política.
Sin embargo, incluso las contraseñas más robustas pueden verse comprometidas, por lo que deben existir medidas capaces de detectarlo a tiempo. Una vez comprometida, el tiempo necesario para descifrar una contraseña, como ocurre con las del extremo inferior derecho de la tabla anterior, pasa a ser prácticamente “inmediato”. Las organizaciones necesitan una estrategia cohesionada para protegerse tanto de contraseñas débiles como de credenciales comprometidas.
Si te interesa gestionar todo esto de forma automatizada desde una interfaz sencilla integrada en Active Directory, Specops Password Policy puede ser una herramienta clave en tu estrategia de ciberseguridad. Gracias a su servicio Breached Password Protection, Specops puede comprobar de forma continua y bloquear el uso de más de 4.000 millones de contraseñas comprometidas conocidas.
Última actualización el 13/01/2026