Guía completa para cumplir con las directrices de contraseñas de NIST

Muchos consideran las directrices del National Institute of Standards and Technology (NIST) como el estándar de oro como referencia en buenas prácticas de ciberseguridad. Pero, como probablemente habrás visto, NIST ha actualizado sus directrices de contraseñas en el borrador más reciente de su conocido documento SP 800-63B. El objetivo es ofrecer una mayor protección frente a los ciberataques centrados en contraseñas: a medida que los atacantes mejoran sus técnicas, nosotros también debemos evolucionar. A continuación, analizamos las nuevas recomendaciones y lo que implican para las organizaciones que buscan alinear sus prácticas de ciberseguridad con las directrices de NIST.

Darren James, Senior Product Manager en Specops Software, comentó sobre las nuevas directrices: “El reciente borrador publicado por el National Institute of Standards and Technology (NIST) supone un avance significativo en la modernización de las recomendaciones sobre gestión de contraseñas, tanto para organizaciones como para usuarios individuales. Aplaudimos al NIST por estas mejoras y animamos a las organizaciones a adoptar estas nuevas directrices para fortalecer su postura de ciberseguridad”.

¿Cuáles son las nuevas recomendaciones de NIST?

Puede que sea la primera vez que oyes hablar de NIST, o quizás ya hayas seguido sus recomendaciones anteriores durante años. Aunque las versiones anteriores (NIST 800-63b Password Guidelines and Best Practices de 2022-2023 y NIST 800-53 Guidelines and Requirements) siguen ofreciendo buenos consejos, este artículo se centra en las recomendaciones más recientes. Como verás, hay cambios significativos.

Durante años, las políticas de contraseñas no siempre han sido las más amigables para los usuarios. Los nuevos estándares buscan cambiar eso, introduciendo políticas más centradas en el usuario que faciliten una seguridad fuerte sin complicaciones. También incluyen recomendaciones sobre configuraciones heredadas que ya no se recomiendan. A continuación, destacamos los seis puntos clave de las nuevas directrices de NIST que tu organización debería tener en cuenta.

¿Por qué ha actualizado NIST sus recomendaciones sobre contraseñas seguras?

NIST actualizó sus directrices en agosto de 2024 para mejorar la seguridad y la usabilidad. En lugar de imponer cambios frecuentes y reglas estrictas de complejidad, ahora el enfoque se centra en contraseñas o frases de paso más largas y memorables, permitiendo espacios y todo tipo de caracteres, y bloqueando contraseñas comunes o filtradas. Esta aproximación refuerza la protección y reduce hábitos de riesgo como la reutilización o anotar contraseñas. El objetivo general de NIST es mejorar la seguridad sin sacrificar la experiencia del usuario.

Marco de ciberseguridad NIST: seis conclusiones clave

1. Longitud frente a complejidad

Durante años, la mayoría de las organizaciones han mantenido las mismas políticas de contraseñas: combinaciones de letras mayúsculas, números y símbolos para añadir complejidad. Sin embargo, NIST ahora recomienda centrarse en la longitud antes que en la complejidad. Los usuarios tienden a seguir patrones predecibles (por ejemplo, comenzar con una mayúscula y terminar con un número o símbolo, o sustituir letras por caracteres comunes como ‘a’ -> ‘@’). Esto genera variaciones previsibles de contraseñas débiles:

• admin -> Admin123!
• password -> P@ssword1
• welcome -> Welcome2?

Los atacantes aprovechan esta previsibilidad mediante herramientas de cracking híbridas, que prueban primero estas combinaciones populares. Por eso, NIST recomienda permitir a los usuarios crear frases de paso largas y fáciles de recordar, pero difíciles de adivinar. Una buena frase de paso puede ser tan sencilla como una cadena de palabras sin relación entre sí, como “sunset”, “stopwatch” y “fence”, formando una única frase de paso larga. ¿Cuál te resultaría más fácil de recordar? ¿La frase de paso de 25 caracteres o la contraseña compleja de 8 caracteres?

• sunset6-stopwatch-fence$
• P3*tnL@7

Si necesitas más ayuda con las frases de paso, aquí tienes una guía completa para ayudar a los usuarios a configurar frases de paso.

2. No forzar la expiración de las contraseñas con demasiada frecuencia

Durante años, se consideraba una buena práctica forzar cambios de contraseña frecuentes. NIST ya no recomienda esta medida, salvo que haya evidencia de un compromiso de seguridad. Una de las razones es que obligar a cambiar la contraseña con demasiada frecuencia suele generar malos hábitos: los usuarios acaban modificando solo unos pocos caracteres o recurriendo a patrones repetitivos. En Specops, no recomendamos eliminar las caducidades por completo debido al riesgo de reutilización. Pero tiene sentido ampliar los plazos cuando los usuarios utilizan contraseñas fuertes y cuentas con una herramienta que detecta contraseñas comprometidas.

Buenas prácticas de expiración de contraseñas

NIST recomienda cambiar las contraseñas solo cuando haya indicios de compromiso, ya que los cambios forzados frecuentes suelen generar hábitos más débiles. Aun así, algunos expertos señalan que la expiración de contraseñas puede seguir teniendo un papel cuando la capacidad de detectar brechas es limitada, ya que ofrece una capa de protección frente a exposiciones prolongadas. En resumen, lo recomendable es actualizar las contraseñas únicamente cuando exista evidencia de un compromiso, aunque los cambios periódicos pueden aportar una capa de seguridad adicional en determinadas situaciones.

3. Filtra contraseñas comunes o comprometidas

Una de las nuevas recomendaciones en el borrador de NIST es que las organizaciones comparen las contraseñas que los usuarios intentan establecer con listas de contraseñas filtradas o comunes. Estas listas incluyen contraseñas comprometidas habitualmente en incidentes anteriores, además de otras contraseñas débiles o fáciles de adivinar. Muchos usuarios no son conscientes de que están reutilizando una contraseña que ya ha sido expuesta, lo que los deja vulnerables a ataques. Los atacantes utilizan estas listas para acelerar sus intentos de descifrado, así que tiene todo el sentido que las organizaciones las usen también como medida defensiva.

¿Te interesa saber cuántos de tus usuarios están utilizando una contraseña comprometida ahora mismo? Puedes averiguarlo con un escaneo rápido de tu Active Directory mediante nuestra herramienta gratuita de auditoría: Specops Password Auditor. Specops Password Auditor es de solo lectura, no almacena datos de Active Directory ni realiza ningún cambio. Obtendrás un informe exportable y fácil de entender con las vulnerabilidades relacionadas con contraseñas que podrían servir como puntos de entrada para atacantes. Descárgala gratis aquí.

4. Permite contraseñas largas 

Como explicábamos en el primer punto, esta última revisión de NIST señala que la longitud es el factor más importante para la seguridad de una contraseña. Esto también está respaldado por la investigación de Specops sobre las mejores prácticas relacionadas con la longitud de las contraseñas. Sin embargo, este enfoque solo funciona si permites que los usuarios creen frases de paso largas desde el principio. Las directrices más recientes recomiendan permitir contraseñas o frases de paso de hasta 64 caracteres (aunque lo normal es que la mayoría de usuarios no necesite llegar a ese límite). Las contraseñas más largas son mucho más difíciles de descifrar, pero recuerda que incluso contraseñas largas y únicas no están completamente libres del riesgo.

5. Usa autenticación multifactor (MFA)

Puede parecer evidente, pero la MFA sigue estando lejos de ser algo universal. NIST recomienda firmemente utilizar MFA para añadir una capa adicional de protección a las contraseñas y considera que las organizaciones ya no deberían verla como algo opcional. Microsoft ha demostrado que el 99,9% de las cuentas comprometidas no tenía la MFA habilitada, así que debería entenderse como un requisito imprescindible dentro de la seguridad de las cuentas. Implementar MFA es, sencillamente, obligatorio para cualquier organización que quiera reforzar su postura de seguridad conforme a las recomendaciones más recientes de NIST. Esto aplica a todas las aplicaciones, incluido el propio entorno de Active Directory. Una opción: proteger el inicio de sesión en Windows con MFA mediante Specops Secure Access, nuestra solución para proteger el acceso a tu entorno de AD.

6. Evita pistas de contraseñas o preguntas de seguridad

En las directrices más recientes, NIST recomienda que las organizaciones se alejen de los métodos tradicionales de recuperación de contraseñas. Esto incluye las pistas de contraseña y las preguntas de seguridad basadas en conocimiento, que ya no se consideran seguras. Una vez más, todo se reduce al comportamiento predecible de las personas: los usuarios suelen elegir respuestas basadas en información que puede obtenerse fácilmente de redes sociales u otras fuentes públicas.

NIST sugiere abandonar este tipo de preguntas y, en su lugar, utilizar opciones de recuperación más seguras. Estas pueden incluir el restablecimiento de la contraseña mediante un enlace enviado por correo electrónico o el uso de MFA para verificar la identidad del usuario durante el proceso de recuperación. Con soluciones de restablecimiento de contraseña en autoservicio como Specops uReset, los propios usuarios pueden completar este proceso por sí mismos.

Checklist para alinearte con las nuevas directrices de NIST

Actualizar una estrategia de contraseñas no suele ser un proceso inmediato para la mayoría de las organizaciones. Aun así, hay varios pasos que puedes tener en cuenta mientras trabajas para cumplir con las recomendaciones de NIST:

1. Actualiza las políticas internas de contraseñas: Las organizaciones deben asegurarse de que sus políticas reflejan las recomendaciones más recientes de NIST, como priorizar la longitud frente a los requisitos estrictos de complejidad y ajustar los plazos de expiración de las contraseñas.
2. Utiliza listas de filtrado de contraseñas: Conviene empezar a usar herramientas que permitan aplicar listas de filtrado para evitar el uso de contraseñas comprometidas o muy comunes.
3. Apuesta por las frases de paso: Los usuarios probablemente necesiten formación sobre cómo usar frases de paso y entender mejor las ventajas de las contraseñas largas. Muestra buenos ejemplos para demostrar que una frase de paso larga puede ser más fácil de recordar que una contraseña corta y compleja.
4. Autenticación multifactor: Haz que la MFA sea obligatoria en todos los sistemas críticos y para los datos sensibles. La MFA proporciona una capa adicional de defensa frente a ciberataques.
5. Elimina las pistas de contraseña y las preguntas basadas en conocimiento: Adopta métodos de recuperación seguros y reemplaza los procesos débiles que dependen de información que un atacante podría adivinar con facilidad.
6. Formación en ciberseguridad para empleados: Explica a los usuarios por qué merece la pena seguir las directrices de NIST y cómo estas ayudan a mantener a todos más protegidos frente a los ciberataques.

Cómo ayudan las herramientas de terceros a aplicar las nuevas recomendaciones de NIST

Las organizaciones pueden tener dificultades para implementar las nuevas recomendaciones de NIST sobre seguridad de contraseñas si no cuentan con las herramientas adecuadas. Las políticas de contraseñas predeterminadas de Active Directory solo permiten unas pocas opciones básicas y no incluyen funcionalidades avanzadas como listas de filtrado o protección frente a contraseñas incrementales.

Specops Password Policy proporciona a las organizaciones las herramientas necesarias para aplicar las recomendaciones más recientes de NIST mediante funciones avanzadas y controles de política flexibles. Así es como Specops Password Policy puede ayudarte a cumplir las directrices de NIST: 

1. Escaneo continuo de contraseñas comprometidas

Specops Password Policy se integra con un filtrado dinámico que bloquea automáticamente las contraseñas que hayan aparecido en brechas conocidas. Esto coincide con la recomendación de NIST de comprobar las contraseñas frente a listas de contraseñas comprometidas, reforzando la seguridad al impedir el uso de contraseñas débiles o vulnerables. Specops Password Policy también incluye la función Breached Password Protection, que comprueba de forma continua tu Active Directory frente a una base de datos con más de cuatro mil millones de contraseñas únicas comprometidas.

2. Compatibilidad con frases de paso

Con Specops Password Policy, los administradores pueden configurar políticas que prioricen la longitud frente a la complejidad. Puedes crear reglas personalizadas que fomenten el uso de frases de paso más largas, junto con los requisitos de complejidad que tú decidas. 

3. Expiración forzada

Con Specops Password Policy puedes desactivar la expiración forzada de contraseñas o ampliar los intervalos entre expiraciones. También puedes configurar una expiración basada en la longitud, de modo que los usuarios sean recompensados con más tiempo hasta su próxima expiración cuando crean frases de paso largas y seguras, mientras que las contraseñas más cortas y menos seguras deben cambiarse con mayor frecuencia. 

4. Compatibilidad con Multi-Factor Authentication (MFA)

Specops se integra con una amplia variedad de soluciones de autenticación multifactor. Estas añaden una capa adicional de protección al inicio de sesión y aumentan considerablemente la seguridad de las cuentas. Y, lo más importante, MFA se considera ahora un requisito según NIST, no un simple “extra”. 

5. Recuperación segura de contraseñas

Specops Password Policy ofrece opciones de restablecimiento seguras y conformes con NIST que utilizan MFA para verificar la identidad del usuario antes de permitir el cambio de contraseña, reduciendo así los riesgos de los métodos de recuperación tradicionales. Specops Password Policy puede ayudar a las organizaciones a proteger el proceso de recuperación de contraseñas frente a ataques. 

Cumple las directrices de NIST con Specops Password Policy

NIST es un estándar de ciberseguridad ampliamente reconocido que muchas organizaciones utilizan para reforzar sus defensas frente a ciberataques. Las últimas directrices del estándar NIST 800-63B impulsan el abandono de configuraciones de contraseña obsoletas, como depender únicamente de la complejidad, las expiraciones frecuentes o los métodos de recuperación inseguros.

Las nuevas directrices actualizadas de NIST ofrecen un enfoque más seguro y más amigable para los usuarios, fomentando el uso de contraseñas más largas, más memorables y protegidas mediante MFA. Adoptar estas recomendaciones y utilizar herramientas como Specops Password Policy puede mejorar drásticamente la seguridad de tus contraseñas y ayudarte a protegerte frente a muchos tipos de ataques basados en credenciales.

¿Necesitas ayuda para que tu organización se alinee con las nuevas directrices de NIST? Contacta con nosotros para ver cómo puede integrarse Specops Password Policy en tu entorno.

Preguntas frecuentes