Imagen de una llave y código binario que representa una guía efectiva para políticas de contraseñas.
Aprende a crear políticas de contraseñas seguras y efectivas con nuestra guía. Protege tus datos.
Seguridad
·8 Minutos de lectura

Tu Guía: Política de Contraseñas Efectiva

A pesar de los continuos recordatorios sobre la concienciación en seguridad, en las empresas se observa a menudo una actitud perezosa y distraída en la gestión de las contraseñas. En cambio, es importante establecer políticas de contraseñas rigurosas, fijando reglas claras y precisas. Aquí hablaremos de algunas prácticas recomendadas.

Tabla de Contenido

¿Qué es una política de contraseñas?

La política de contraseñas corporativa es un conjunto de reglas que ayudan a los empleados de la empresa a crear contraseñas seguras y a usarlas correctamente para mejorar la seguridad de la información. Define los requisitos para las contraseñas y las acciones que se deben evitar al trabajar con ellas.

Ilustración de una mano sosteniendo un candado y una pantalla con contraseñas, representando el concepto de política de contraseñas.
Imagen que ilustra el concepto de política de contraseñas para la seguridad informática. Protege tus datos.

Para que la política de protección de contraseñas sea confiable, es necesario:

  • Formular requisitos claros para la creación de contraseñas.
  • Asegurarse de que todo el equipo las cumpla, incluyendo a los gerentes.
  • Realizar capacitaciones regulares al personal sobre las normas de seguridad de la información y explicar la importancia de las contraseñas.
  • Actualizar oportunamente las políticas teniendo en cuenta los cambios en la empresa y las nuevas amenazas a la seguridad.

Una buena política de contraseñas es aquella que los empleados pueden comprender y aplicar diariamente. Dependiendo de las necesidades de la organización, puede ser recomendable u obligatoria.

Importante: la capacitación por sí sola no es suficiente; es necesario proporcionar los medios técnicos que ayuden a los usuarios a cumplir con la política (por ejemplo, herramientas para crear y almacenar contraseñas) y controlar el cumplimiento de las reglas.

Configuraciones que considera la política de contraseñas

La política de contraseñas debe lograr un equilibrio entre seguridad y comodidad. Una política débil hace que los datos sean vulnerables, mientras que una política demasiado estricta irrita a los usuarios y puede hacer que los empleados ignoren las reglas.

Requisitos de complejidad

Una contraseña larga y compleja es la más segura.

  • La longitud debe ser de al menos 8 a 10 caracteres, pero preferiblemente más.
  • Es necesario usar mayúsculas y minúsculas, así como números y caracteres especiales.
  • No se deben usar simples sustituciones de letras por números (“Pa$$w0rd” es una mala opción).

Usa nuestro Generador de Contraseñas Gratis y Seguro

Consejo: usar una frase sin sentido, una frase de una canción o un libro como contraseña (por ejemplo, “ElSolBrillaFuerte@Mañana2025”) la hace más memorable y, al mismo tiempo, segura, siempre que cumpla con todas las demás recomendaciones. Lee más en: Esta es la Mejor Forma de Crear una Contraseña Segura

Qué evitar en las contraseñas

Además de lo que los usuarios deben hacer, la política de contraseñas también debe indicar qué no se debe hacer. La lista puede incluir lo siguiente:

  • No usar palabras de diccionario.
  • Información personal (nombre, fecha de nacimiento, lugar de nacimiento, cargo, números de teléfono, números de casa o calle, nombre del cónyuge o de los hijos).
  • Patrones simples, como QWERTY, asdfgh o 123456.
  • No se deben usar cambios simples (agregar un número o símbolo) en las contraseñas antiguas. Por ejemplo, en lugar de Password123, hacer Password123!. Las nuevas contraseñas deben cumplir con los requisitos de complejidad.
  • También se debe prohibir el uso de la misma contraseña en varias cuentas.

Dato interesante: las estadísticas muestran que muchas personas ignoran estas reglas:

Caducidad

Para mejorar la seguridad, es necesario cambiar la contraseña después de un cierto tiempo. Así es como suele ocurrir:

  • En la configuración de seguridad, los administradores establecen un período de validez para las contraseñas, por ejemplo, 90 días.
  • El sistema rastrea automáticamente este período para cada contraseña y almacena la información sobre la fecha del último cambio.
  • Algún tiempo antes de la caducidad (por ejemplo, 7 días antes), los usuarios comienzan a recibir notificaciones sobre la necesidad de cambiar la contraseña. Pueden ser mensajes en el mensajero corporativo, correos electrónicos o ventanas emergentes al iniciar sesión en el sistema.

Los ataques de fuerza bruta y los ataques de diccionario pueden romper contraseñas sencillas. Por lo tanto, la política debe exigir a los usuarios que creen contraseñas complejas para proteger las cuentas contra el hacking.

Métodos de gestión de la política de contraseñas

La gestión de las contraseñas y su protección durante el almacenamiento y la transmisión son una parte crítica de la seguridad corporativa. Estos son los puntos principales que se deben incluir en la política:

Imagen de manos usando un portátil con iconos de candados, mostrando métodos de gestión de políticas de contraseñas.
Descubre los mejores métodos para gestionar eficazmente las políticas de contraseñas y reforzar la seguridad.

Establecer el cambio de contraseña al primer inicio de sesión

Al acceder por primera vez al sistema o aplicación corporativa, el nuevo empleado o usuario recibe una contraseña temporal. Para proteger los datos y la cuenta, es necesario exigir un cambio obligatorio de contraseña en el primer inicio de sesión. El usuario ingresa la contraseña temporal y luego crea una nueva que cumpla con la política de contraseñas.

Esto es necesario por varias razones. Primero, el empleado recordará mejor una contraseña que él mismo haya creado y tendrá que recuperarla con menos frecuencia. Segundo, las contraseñas predeterminadas que proporciona el sistema suelen ser débiles y más fáciles de hackear.

Aplicar la autenticación multifactorial (MFA)

La MFA aumenta significativamente la seguridad de las cuentas. Esto se debe a que los hackers no podrán acceder a las cuentas, incluso si obtienen los nombres de usuario y las contraseñas.

Por lo tanto, la política de contraseñas debe obligar a los usuarios a utilizar la autenticación multifactorial para todas las cuentas que admitan esta función.

Con la MFA activada, se requieren datos adicionales además del nombre de usuario y la contraseña para confirmar la identidad del empleado, como una huella dactilar, un escaneo facial, un código de SMS o tokens de hardware.

Indicar el umbral de bloqueo de la cuenta

Esto significa que la cuenta se bloqueará automáticamente después de un cierto número de intentos de inicio de sesión fallidos. Esta medida protege contra los ataques de fuerza bruta y los ataques de diccionario.

Por lo general, para las cuentas de usuario estándar, es suficiente un bloqueo de 30 a 60 minutos. Pero para las cuentas con acceso a infraestructura importante o con derechos ampliados, es necesario prever un desbloqueo manual por parte del administrador.

Agregar recomendaciones para el almacenamiento de contraseñas

Muchos empleados, por costumbre, anotan las contraseñas en notas adhesivas, cuadernos o notas en el teléfono. Y esta es una mala práctica. De esta manera, las contraseñas se vuelven inseguras, incluso si son largas y complejas.

Por lo tanto, la política debe incluir recomendaciones para el almacenamiento seguro de las credenciales. Una de las maneras es utilizar un gestor de contraseñas. Este es un programa que ayuda a cifrar y almacenar de forma segura todas las contraseñas del usuario bajo la protección de una contraseña maestra.

Los gestores de contraseñas pueden crear combinaciones complejas y únicas en un par de clics. Permiten compartir contraseñas con colegas de forma segura cuando sea necesario. Otra función útil es el autocompletado, donde las credenciales se ingresan automáticamente en los sitios guardados.

Esta función no solo simplifica el trabajo del usuario, sino que también protege contra los ataques de phishing. Un sitio de phishing, por muy parecido que sea al original, no tendrá la misma URL que el original. Por lo tanto, el gestor de contraseñas no ingresará automáticamente las credenciales guardadas.

Establecer las consecuencias para los infractores de la política

La política de uso de contraseñas es un documento importante para garantizar la seguridad de la organización. Sirve como guía en caso de que surjan dudas sobre las normas de uso y gestión de contraseñas.

Pero la política será inútil si no se cumple. Por lo tanto, el documento debe describir cómo se pretende garantizar el cumplimiento de las normas y exponer las consecuencias del incumplimiento intencional de la política (apercibimiento, pérdida de la prima, etc.).

Y es aún mejor centrarse en las medidas que, en primer lugar, previenen las infracciones. Esto se puede lograr mediante la realización regular de cursos de formación sobre seguridad de la información y velando por que los empleados comprendan no sólo las normas, sino también sus objetivos.

Conclusión

La política de contraseñas de seguridad de la información establece las reglas básicas para la creación y el uso de contraseñas, pero no protege contra las filtraciones causadas por el phishing o la ingeniería social.

Concluimos esta guía práctica sobre la correcta gestión de contraseñas destacando una medida más general que cualquier empresa u organización debería adoptar: la creación de un reglamento interno para el uso de los servicios y dispositivos informáticos de la empresa. Entonces, ¿Cómo Implementar una Política de Ciberseguridad Efectiva?

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda