La verdad detrás de "incluir mayúsculas, minúsculas, números y símbolos"

Cada vez que creas una cuenta nueva, te dicen: "La contraseña debe tener al menos 8 caracteres e incluir mayúsculas, minúsculas, números y símbolos". Molesto, ¿verdad? Pero esta regla tiene una historia sorprendente - y la impactante verdad de que en realidad no es muy efectiva.

Donde todo comenzó - el documento NIST de 2003

El origen de las reglas de complejidad de contraseñas se remonta a "NIST Special Publication 800-63", publicado en 2003 por el Instituto Nacional de Estándares y Tecnología (NIST). Este documento recomendaba que "las contraseñas deben mezclar mayúsculas, minúsculas, números y símbolos", y los servicios web de todo el mundo adoptaron esta regla.

Sin embargo, en 2017, el autor del documento, Bill Burr, confesó en una entrevista con el Wall Street Journal que "gran parte de ese consejo estaba equivocado". Las reglas de complejidad simplemente llevaron a los usuarios a crear patrones predecibles como "P@ssw0rd!" y contribuyeron poco a la mejora real de la seguridad.

Por qué las contraseñas complejas son menos efectivas de lo que piensas

Los humanos responden a las reglas de complejidad con un comportamiento notablemente predecible.

  • ¿Necesitas mayúsculas? Solo poner en mayúscula la primera letra (Password)
  • ¿Necesitas números? Añadir 1 o 123 al final (Password1)
  • ¿Necesitas símbolos? Añadir ! al final (Password1!)
  • Reemplazar "a" por "@" y "o" por "0" (P@ssw0rd)

Los atacantes conocen bien estos patrones y los incluyen en sus listas de ataques de diccionario. En otras palabras, incluso una contraseña que parece compleja puede ser fácilmente descifrada si el patrón es predecible.

Qué hace que una contraseña sea realmente fuerte

Las directrices revisadas del NIST de 2017 cambiaron el enfoque de las reglas de complejidad a priorizar la "longitud".

  • Contraseñas largas (frases de contraseña): Una frase de contraseña que combina 4-5 palabras aleatorias como "correct horse battery staple" es más fuerte y más fácil de recordar que una contraseña corta y compleja
  • Gestores de contraseñas: Herramientas que generan y gestionan contraseñas aleatorias únicas para cada servicio. El enfoque más seguro
  • Autenticación de dos factores (2FA): Usar una aplicación de autenticación o llave de seguridad además de tu contraseña. Previene el inicio de sesión no autorizado incluso si tu contraseña se ve comprometida

Una contraseña aleatoria de 8 caracteres (con mayúsculas, minúsculas, números y símbolos) tiene aproximadamente 6 cuatrillones de combinaciones posibles. Mientras tanto, una frase de contraseña de 4 palabras comunes en inglés tiene aproximadamente 1,8 cuatrillones de combinaciones. La longitud es más efectiva que la complejidad.

Las contraseñas más utilizadas del mundo

Según la investigación de la firma de seguridad NordPass, las 5 contraseñas más utilizadas apenas cambian de año en año.

  • #1: 123456
  • #2: password
  • #3: 123456789
  • #4: 12345
  • #5: 12345678

Estas contraseñas pueden ser descifradas en menos de un segundo. Incluso si las contraseñas se almacenan como hashes, contraseñas tan simples hacen que esa protección sea inútil.

Resumen

Las reglas de complejidad de contraseñas se originaron en un documento del NIST de 2003, pero el propio autor admitió que estaban "equivocadas". Las frases de contraseña largas son más fuertes y más fáciles de recordar que las contraseñas cortas y complejas. Combinar un gestor de contraseñas con autenticación de dos factores te hace aún más seguro.

Términos relacionados en este artículo

Autenticación de dos factores Un método de autenticación que no depende solo de contraseñas. Tu última línea de defensa cuando las contraseñas se ven comprometidas. Cifrado Las contraseñas se almacenan en los servidores usando hashing (cifrado unidireccional). Phishing No importa cuán fuerte sea tu contraseña, si la introduces en un sitio de phishing, será robada.