Contraseñas idénticas: los riesgos de reutilizar contraseñas
Un inicio de sesión comprometido: todos los accesos en peligro.
Los administradores de TI soportan la mayor carga en la protección de sistemas y datos. Un riesgo especialmente persistente son las contraseñas idénticas o reutilizadas. Con ello, los usuarios –a menudo sin querer– abren la puerta de par en par a los atacantes para realizar credential stuffing, secuestro de cuentas y movimientos laterales en la red. Los estudios muestran que el uso de credenciales robadas figura entre los vectores iniciales más frecuentes en los incidentes de seguridad (véanse las fuentes más abajo).
- No utilice nunca la misma contraseña para distintas cuentas.
- No exigir cambios periódicos de contraseña sin motivo; en su lugar, contraseñas/frases de paso largas y únicas, y MFA/passkeys.
- Contrastar las contraseñas nuevas y existentes con listas de credenciales comprometidas; en Password Depot: Extras → Comprobación de seguridad → Comprobar en contraseñas Pwned.
Riesgo de compromiso transversal
Si una cuenta se ve comprometida, los atacantes prueban automáticamente las mismas credenciales en otros servicios (Credential‑Stuffing). Así, una sola filtración puede desencadenar una reacción en cadena; desde el correo electrónico y las herramientas de colaboración hasta los servicios Cloud. Resultado: robo de datos, suplantación de identidad y accesos no autorizados a recursos empresariales.
Son especialmente críticas las “Basic Web Application Attacks”, en las que predominan las credenciales robadas o reutilizadas, una clara señal de que la reutilización de contraseñas es directamente explotable en la práctica (véanse las fuentes).
Ransomware y secuestro de cuentas
Una vez que los atacantes obtienen credenciales válidas, pueden escalar privilegios, moverse lateralmente por la red y desplegar malware; incluso hasta la implementación de ransomware. Por ello, las recomendaciones oficiales subrayan: eliminar la reutilización de contraseñas y MFA resistente al phishing (p. ej., FIDO2/passkeys) allí donde sea técnicamente posible (CISA, NIST).
Medidas para mejorar la seguridad de las contraseñas
Directrices (Policy)
- No cambios preventivos y periódicos de contraseña; exigirlos solo si existe sospecha o prueba de compromiso (NIST, NCSC).
- Una contraseña por cuenta/servicio – prohibir estrictamente la reutilización (NIST, NCSC).
- Aumentar la longitud mínima (p. ej. ≥ 14 caracteres) y evitar requisitos de complejidad innecesarios; en su lugar, apostar por la longitud, la unicidad y el bloqueo de las «contraseñas comunes» (NIST).
- Comprobar las contraseñas frente a listas comprometidas (NIST SP 800–63B) – véase la nota práctica sobre Password Depot más abajo.
- MFA obligatoria, preferiblemente resistente al phishing (FIDO2/Passkeys), al menos para accesos de administrador, remotos y Cloud (CISA).
Controles técnicos
- Rate-Limiting y monitorización en los inicios de sesión; detectar y bloquear patrones sospechosos (p. ej., muchos intentos de inicio de sesión desde redes distribuidas) (NIST).
- Permitir «Pegar»/insertar, para que los gestores de contraseñas puedan utilizarse de forma segura; no prohibir el copiar/pegar en el campo de contraseña (NIST).
- Desafíos MFA basados en el riesgo y aplicar de forma sistemática el registro de MFA (CISA).
- Passkeys implantar donde sea posible; sustituir progresivamente la introducción de contraseñas.
- Identificar contraseñas comprometidas: En Password Depot mediante Extras → Comprobación de seguridad → Comprobar en contraseñas Pwned y cambiar de inmediato los registros afectados.
Práctica con Password Depot:
- Abra Extras → Comprobación de seguridad → Comprobar en contraseñas Pwned, para comprobar las contraseñas guardadas con listas de credenciales comprometidas.
- Realice esta comprobación con regularidad; en particular, después de filtraciones de datos públicas o incidentes de phishing.
- Sustituya de inmediato las contraseñas marcadas por frases de contraseña largas y únicas y active, siempre que sea posible, MFA/passkeys.
Concienciación y operaciones
- Formar periódicamente a los usuarios sobre credential stuffing, phishing y reutilización de contraseñas (NCSC/CISA).
- gestores de contraseñas; recomendarlos y proporcionarlos; objetivo: contraseñas largas, aleatorias y únicas para cada servicio.
- Definir los incidentes (filtraciones, phishing, infecciones por malware) como desencadenantes de un cambio inmediato de contraseña y la renovación de tokens (NIST/CISA).
En claro: La reutilización es el verdadero enemigo. Los cambios forzosos y periódicos sin motivo empeoran la calidad de las contraseñas y no resuelven el problema. Apóyese en la longitud, la singularidad, MFA/passkeys y la comprobación con listas comprometidas (p. ej., directamente en Password Depot).
Conclusión: La reutilización de contraseñas supone un riesgo de seguridad considerable y favorece la toma de control de cuentas, incluso hasta incidentes de ransomware. Los equipos de administración deben aplicar directrices claras y actualizadas y protegerlas técnicamente; incluida la comprobación periódica de contraseñas comprometidas con Password Depot; para proteger de forma sostenible las identidades y los sistemas.
Fuentes (selección)
- NIST SP 800–63B: Directrices de identidad digital – secretos memorizados (entre otros: sin cambios forzosos; comprobación con listas de credenciales comprometidas; permitir pegar)
- CISA “Secure Our World”: Use contraseñas seguras (recomendación de usar gestores de contraseñas y contraseñas únicas)
- NCSC (UK): Problemas de forzar el cambio periódico de contraseñas & Aviso sobre credential stuffing
- Verizon DBIR: Página del informe & Resumen ejecutivo (actualizado anualmente)
- Have I Been Pwned: Pwned Passwords (fuente de datos pública de contraseñas comprometidas)
Mantenga contraseñas únicas
Descubra cómo Password Depot le ayuda a gestionar cada contraseña de forma única y segura.
Consejos para crear contraseñas seguras