Contraseñas idénticas: los riesgos del uso repetido de contraseñas
Un inicio de sesión pirateado: todos los accesos en peligro.
Los administradores de TI son los principales responsables de proteger los sistemas y los datos. Un riesgo especialmente persistente son las contraseñas idénticas o reutilizadas. Con ellas, los usuarios abren, a menudo sin querer, la puerta a los atacantes para que realicen relleno de credenciales, se apropien de cuentas y se muevan lateralmente por la red. Los estudios demuestran que el uso de datos de acceso robados es uno de los vectores iniciales más comunes en los incidentes de seguridad (véanse las fuentes más abajo).
Riesgo de compromiso generalizado
Si se compromete una cuenta, los atacantes prueban automáticamente los mismos datos de acceso en otros servicios (relleno de credenciales). Una sola filtración puede provocar una reacción en cadena , desde el correo electrónico hasta las herramientas de colaboración y los servicios en la nube. Resultado: robo de datos, uso indebido de la identidad y acceso no autorizado a los recursos de la empresa.
Son especialmente críticos los «ataques básicos a aplicaciones web», en los que predominan los datos de acceso robados o reutilizados, lo que es una clara indicación de que la reutilización de contraseñas es directamente explotable en la práctica (véanse las fuentes).
Ransomware y apropiación de cuentas
Una vez que los atacantes disponen de datos de acceso válidos, pueden ampliar sus privilegios, moverse lateralmente por la red y desplegar software malicioso, hasta llegar a la implementación de ransomware. Por lo tanto, las recomendaciones oficiales hacen hincapié en: eliminar la reutilización de contraseñas y activar MFA resistente al phishing (por ejemplo, FIDO2/Passkeys) siempre que sea técnicamente posible (CISA, NIST).
Medidas para mejorar la seguridad de las contraseñas
Directrices (política)
- No cambiar las contraseñas de forma preventiva y periódica, solo cuando se sospeche o se demuestre que han sido comprometidas (NIST, NCSC).
- Una contraseña por cuenta/servicio : prohibir estrictamente su reutilización (NIST, NCSC).
- Aumentar la longitud mínima (por ejemplo, ≥ 14 caracteres) y evitar restricciones de complejidad innecesarias; en su lugar, apostar por la longitud, la singularidad y el bloqueo de «contraseñas comunes» (NIST).
- Compruebe las contraseñas contra listas comprometidas (NIST SP 800‑63B); consulte la nota práctica sobre Password Depot más abajo.
- MFA obligatorio, preferiblemente resistente al phishing (FIDO2/Passkeys), al menos para accesos de administrador, remotos y en la nube (CISA).
Controles técnicos
- Limitación de velocidad y supervisión Activar en los inicios de sesión; detectar y bloquear patrones sospechosos (por ejemplo, muchos intentos de inicio de sesión desde redes distribuidas) (NIST).
- Permitir «pegar» para que los gestores de contraseñas se puedan utilizar de forma segura: no prohibir copiar y pegar en el campo de la contraseña (NIST).
- Desafíos MFA basados en el riesgo e implementar un registro MFA coherente (CISA).
- Introducir claves de acceso siempre que sea posible; sustituir la introducción de contraseñas en el futuro.
- Identificar contraseñas comprometidas: comprobar en Password Depot mediante Extras → Comprobación de seguridad → Comprobar contraseñas comprometidas y cambiar inmediatamente las entradas afectadas.
Concienciación y operaciones
- Formar regularmente a los usuarios sobre el relleno de credenciales, el phishing y la reutilización de contraseñas (NCSC/CISA).
- Recomendar y proporcionar gestores de contraseñas; objetivo: contraseñas largas, aleatorias y únicas para cada servicio.
- Definir los incidentes (fugas, phishing, infección por malware) como motivo para cambiar inmediatamente la contraseña y renovar el token (NIST/CISA).
Texto claro: La reutilización es el verdadero enemigo. Los cambios forzados y periódicos sin motivo empeoran la calidad de las contraseñas y no resuelven el problema. Apueste por la longitud, la singularidad, la autenticación multifactorial (MFA)/claves de acceso y la verificación contra listas comprometidas (por ejemplo, directamente en Password Depot).
Conclusión: el uso repetido de contraseñas supone un riesgo considerable para la seguridad y favorece el robo de cuentas e incluso incidentes de ransomware. Los equipos de administración deben implementar directrices claras y actualizadas y asegurarlas técnicamente , incluida la comprobación periódica de contraseñas comprometidas con Password Depot, para proteger de forma sostenible las identidades y los sistemas.
Fuentes (selección)
- NIST SP 800‑63B: Directrices de identidad digital: secretos memorizados (entre otras cosas, no se imponen cambios; comparación con listas comprometidas; permitir pegar)
- CISA «Secure Our World»: Use Strong Passwords (recomendación sobre gestores de contraseñas y contraseñas únicas)
- NCSC (Reino Unido): Problemas con la expiración forzada de contraseñas y Aviso sobre el relleno de credenciales
- Verizon DBIR: Página del informe y resumen ejecutivo (actualizado anualmente)
- Have I Been Pwned: Pwned Passwords (fuente de datos pública para contraseñas comprometidas)