Consiste en la práctica de cambiar las contraseñas a intervalos regulares para reducir las posibilidades de acceso no autorizado. Desde hace tiempo se considera una medida de ciberseguridad fundamental, especialmente en entornos que manejan datos sensibles.
Aunque algunas normas recientes como las directrices del NIST (SP 800-63B) desaconsejan realizar cambios frecuentes y forzosos de la contraseña sin motivo, la rotación de contraseñas sigue teniendo un rol vital para muchas organizaciones. Ayuda a mitigar los riesgos relacionados con las credenciales caducadas o comprometidas y forma parte de una estrategia de seguridad por capas cuando se implementa adecuadamente.
A pesar de la evolución de directrices como la NIST SP 800-63B, que desaconseja realizar cambios frecuentes de la contraseña si no existe prueba de que haya sido comprometida, la rotación de contraseñas sigue siendo relevante en 2025, especialmente en entornos de alto riesgo. Esto se debe a que las credenciales robadas o expuestas siguen siendo uno de los principales vectores de ataque para los actores de amenazas. La rotación de contraseñas es importante porque:
La rotación de contraseñas ahora se enfatiza en los informes de la industria, que siguen destacando el robo y la reutilización de credenciales como unos de los principales factores en las brechas de seguridad.
∙ El informe de investigaciones sobre la violación de datos de Verizon (DBIR) identifica consistentemente el robo de credenciales, incluida la reutilización de contraseñas antiguas, como un factor significativo en muchas violaciones de los datos. El informe analiza un amplio conjunto de datos relacionados con los incidentes de seguridad y violaciones confirmadas, revelando que las credenciales robadas son un punto de entrada frecuente para los atacantes.
∙ El informe de IBM sobre el costo de una filtración de datos destaca de forma consistente que una gestión deficiente de las credenciales contribuye de forma significativa a alargar los ciclos de vida de las filtraciones. Las credenciales comprometidas, a menudo resultado de ataques de phishing o de la reutilización de contraseñas, dan a los atacantes un punto de apoyo dentro de una organización, lo que les permite moverse lateralmente y acceder a datos más sensibles.
Rotar las contraseñas no consiste sólo en cambiarlas a menudo, sino en hacerlo de forma inteligente. Para hacerlo bien, aquí encontrará algunas prácticas recomendadas específicas que pueden ayudarle a reforzar la seguridad sin frustrar a sus usuarios finales.
No todas las cuentas necesitan cambiar la contraseña con la misma frecuencia. Las cuentas críticas y privilegiadas deben rotar las contraseñas con más frecuencia (cada 30 a 60 días) mientras que las cuentas de usuarios normales pueden seguir un ciclo de 90 a 180 días. El objetivo es reducir la ventana de exposición al riesgo sin sobrecargar a los usuarios.
Pedir a los usuarios que cambien las contraseñas cada pocas semanas puede ser contraproducente. Conduce a malos hábitos como añadir un número o un símbolo a la contraseña antigua o anotar las credenciales. En su lugar, céntrese en los cambios significativos basados en el riesgo o la actividad sospechosa, no en un mero requisito de modificación cada cierto tiempo.
La rotación sólo ayuda si la nueva contraseña es segura. Asegúrese de que los usuarios no puedan reutilizar contraseñas recientes o seguir patrones predecibles. Utilice herramientas de aplicación de directivas que rechacen las credenciales débiles, adivinables o reutilizadas en el momento del cambio.
Actualizar manualmente las contraseñas de las cuentas de servicio es tedioso y propenso a errores. Automatice estos cambios con herramientas que puedan rotar las credenciales entre los sistemas y actualizar todas las dependencias para evitar la inactividad y las brechas de seguridad.
La rotación de contraseñas resulta mucho más efectiva cuando se combina con MFA. Incluso si una contraseña se ve comprometida, un atacante no llegará lejos sin un segundo factor de autenticación. Esta capa adicional garantiza que su directiva de rotación sea mucho más resiliente.
Rotar las contraseñas no es suficiente si los usuarios eligen unas que ya han sido expuestas. Al integrarse con un servicio como Have I Been Pwned, puede comprobar en tiempo real las contraseñas con las bases de datos de infracciones conocidas y bloquear las contraseñas comprometidas durante los restablecimientos o cambios. Esto mantiene las cuentas más seguras.
Es más probable que los usuarios sigan las directivas de rotación si entienden por qué existen. Enséñeles a crear contraseñas seguras, a evitar prácticas de almacenamiento poco seguras y a utilizar gestores de contraseñas para simplificar el proceso.
Muchas normativas de cumplimiento tienen directrices estrictas sobre la frecuencia con la que deben rotarse las contraseñas. Independientemente de si aplica las normas del NIST, el PCI DSS, la HIPAA o ISO 27001, asegúrese de que sus directivas cumplen estos requisitos y están bien documentadas para las auditorías.
A continuación, le indicamos la frecuencia con la que cada una de estas normas recomienda o exige la rotación de contraseñas:
∙ NIST: no recomienda una caducidad periódica de las contraseñas si no hay pruebas de compromiso. En su lugar, aconseja cambiar las contraseñas sólo cuando haya sospecha o confirmación de una violación.
∙ PCI DSS: exige cambiar la contraseña al menos cada 90 días para las cuentas que utilizan contraseñas como único factor de autenticación.
∙ HIPAA: no impone un intervalo específico, pero espera que se cambie la contraseña regularmente como parte de una directiva de seguridad más amplia.
∙ ISO 27001: tampoco especifica un periodo fijo, pero recomienda aplicar una directiva de actualización periódica de contraseñas, en función de la evaluación de riesgos de la organización.
ManageEngine ADSelfService Plus es una solución de seguridad de identidades con funciones de MFA, SSO y gestión de contraseñas. Proporciona una función de control de políticas de contraseñas que permite a los administradores aplicar directivas personalizadas que se integran de manera eficiente con las directivas integradas de AD. Dichas directivas personalizadas proporcionan un control más granular del que ofrece AD de forma nativa. Lo anterior incluye ajustes intrincados como restricciones sobre palabras de diccionario personalizadas, palíndromos y repeticiones de caracteres. Además, ADSelfService Plus se integra con Have I Been Pwned para evitar que sus usuarios utilicen contraseñas que fueron violadas.
¡Aplique hoy mismo las mejores prácticas para la rotación de contraseñas en su organización con ADSelfService Plus!
La rotación de contraseñas es la práctica que consiste en cambiar las contraseñas a intervalos regulares para reducir el riesgo de acceso no autorizado. Garantiza que, aunque una contraseña se vea comprometida, quede inutilizable tras un cierto periodo. La rotación se puede aplicar a cuentas de usuario, credenciales de administrador y cuentas de servicio.
Depende del tipo de cuenta y del nivel de riesgo. Las cuentas privilegiadas o de alto riesgo se deben rotar cada 30 a 60 días, mientras que las cuentas de usuarios normales se deben rotar cada 90 a 180 días.
La rotación de contraseñas es una buena idea si se hace bien. Reduce los riesgos de seguridad, especialmente cuando se combina con directivas de contraseñas seguras y MFA. Sin embargo, forzar la rotación frecuente sin las medidas de protección adecuadas puede ser contraproducente, ya que puede llevar a los usuarios a reutilizar o modificar ligeramente las contraseñas antiguas.
