La última actualización de las recomendaciones de contraseñas del NIST(nueva ventana) está aquí, y están cambiando la forma en que abordamos las contraseñas con la usabilidad teniendo prioridad sobre la complejidad.
¿Debería importarle? Sí. Las pautas del NIST no solo reflejan las mejores prácticas a las que todos deberían adherirse, sino que también influyen en el cumplimiento de la seguridad. Quedarse atrás de estas pautas podría significar el incumplimiento de marcos regulatorios como HIPAA, GDPR y GLBA, arriesgando auditorías fallidas y sanciones costosas. Esta guía le ayudará a comprender los cambios clave y la mejor manera de implementarlos en su negocio.
¿Qué son las pautas de contraseñas del NIST?
Las pautas de contraseñas del NIST son estándares de seguridad publicados por el Instituto Nacional de Estándares y Tecnología(nueva ventana), una agencia federal de los EE. UU. Estas pautas forman la base de las políticas de contraseñas en todas las industrias y, en algunos sectores, como el gobierno, son obligatorias.
Las pautas se crean en base a investigaciones del mundo real y no son meras suposiciones sobre la seguridad de las contraseñas. Es por eso que los principales marcos de cumplimiento a menudo están formados por las recomendaciones de contraseñas del NIST, y por lo que implementarlas fortalece su postura de seguridad y cumplimiento normativo.
Requisitos de contraseñas del NIST de 2025
Aquí hay un resumen rápido de los requisitos de contraseñas del NIST actualizados:
1. Use contraseñas más largas
El NIST recomienda una longitud mínima de contraseña de 8 caracteres y un máximo de 64 caracteres. Las contraseñas más largas son más difíciles de piratear, ya que tienden a ser más únicas que las contraseñas cortas pero complejas que a menudo siguen un patrón predecible.
2. Elimine los requisitos de complejidad
Basándose en la pauta anterior, los requisitos de caracteres especiales resultan en contraseñas complejas que, desafortunadamente, conducen a patrones predecibles que los piratas informáticos pueden adivinar fácilmente. En su lugar, acepte todos los tipos de caracteres, incluidos los espacios, y anime a los empleados a crear frases únicas y memorables, también conocidas como frases de contraseña, para sus contraseñas.
3. No más restablecimientos forzados de contraseñas
La única vez que se debe imponer un restablecimiento forzado de contraseña es cuando hay evidencia de que se ha visto comprometida. De lo contrario, obligar a los empleados a restablecer sus contraseñas cada pocos meses se considera una mala práctica, ya que el NIST ha descubierto que en realidad debilita la seguridad de las contraseñas.
4. Mantenga una lista de bloqueo de contraseñas
El NIST recomienda que las empresas mantengan una lista de bloqueo de contraseñas para evitar el uso de contraseñas fácilmente explotables como «1234» o contraseñas que presenten variaciones del nombre del empleado o de la empresa. Además, recomienda utilizar servicios de verificación de contraseñas para garantizar que los empleados no utilicen contraseñas comprometidas que hayan sido expuestas en vulneraciones.
5. Elimine las preguntas de seguridad y las pistas
Las pistas y preguntas de recuperación basadas en el conocimiento, como «¿Cuál es su primera mascota?», son una práctica obsoleta. Estas respuestas se pueden obtener fácilmente a través de las redes sociales. En su lugar, confíe en métodos de recuperación seguros, como enlaces de recuperación y códigos de verificación durante los restablecimientos.
6. Use herramientas de seguridad modernas
Limitar el número de intentos de inicio de sesión fallidos, requerir el uso de autenticación multifactor (MFA) y utilizar herramientas como un gestor de contraseñas empresarial brindan una protección crucial contra las amenazas cibernéticas modernas y ayudan a detectar si se han visto comprometidas.
¿Cómo han cambiado los requisitos de contraseñas del NIST?
| Antiguas pautas de contraseñas del NIST | Nuevas pautas de contraseñas del NIST | |
| Longitud de la contraseña | Límite de 8-16 caracteres | Contraseñas más largas de hasta 64 caracteres |
| Complejidad de caracteres | Alentado | No requerido |
| Cambios obligatorios de contraseña | Requerido mensualmente | Solo cuando se vea comprometida |
| Lista de bloqueo de contraseñas | Términos básicos | Contraseñas vulneradas, patrones y variaciones comunes |
| Métodos de recuperación | Preguntas de seguridad | Enlaces y códigos de verificación |
| Precauciones adicionales | – | MFA y gestores de contraseñas |
Cómo implementar las recomendaciones de contraseñas del NIST
Implementar las recomendaciones de contraseñas del NIST actualizadas es crucial para mantener el cumplimiento de los marcos regulatorios. Incluso si no está sujeto a estos marcos, estas pautas mejorarán su postura de seguridad y salvaguardarán su negocio. Aquí le mostramos cómo implementarlas.
- Realice una auditoría: Revise las políticas existentes frente a las nuevas pautas del NIST para identificar los requisitos obsoletos para actualizar.
- Actualice sus sistemas: Reconfigure los sistemas de autenticación de acuerdo con las nuevas pautas, como permitir contraseñas más largas y sin ventanas de vencimiento.
- Construya su lista de bloqueo: Implemente el filtrado contra bases de datos de vulneraciones para desarrollar su lista de bloqueo. Además, incluya términos y variaciones específicos de los empleados o de la empresa y patrones comunes en su lista de bloqueo.
- Fortalezca las capas de seguridad: Implemente medidas como limitar los intentos de inicio de sesión y retrasar los reintentos, y use MFA para proporcionar protección adicional.
- Use herramientas de gestión de contraseñas: Equipe a los empleados con herramientas como un gestor de contraseñas para automatizar la creación y el almacenamiento de contraseñas. Estas herramientas eliminan la reutilización de contraseñas y garantizan buenas prácticas de contraseñas.
- Comunique los cambios: Explique los cambios a sus empleados y, cuando sea necesario, realice capacitaciones sobre el uso de herramientas de gestión de contraseñas.
Use Proton Pass para cumplir con las pautas de contraseñas del NIST
Proton Pass es un gestor de contraseñas empresarial que simplifica el cumplimiento de las pautas de contraseñas del NIST. Creado teniendo en cuenta la privacidad y totalmente protegido con cifrado de extremo a extremo, puede gestionar fácilmente todas sus necesidades de contraseñas con mayor tranquilidad.
Muchas de las funciones de Proton Pass cumplen con las recomendaciones de contraseñas del NIST: puede generar contraseñas largas y únicas, automatizar inicios de sesión y hacer cumplir políticas de seguridad como 2FA. Proton Pass también empodera a sus equipos con una herramienta que hace que adherirse a estas pautas sea el camino de menor resistencia. También cumple totalmente con GDPR, HIPAA y otros estándares de protección de datos, simplificando su proceso de cumplimiento.
Preguntas frecuentes
¿Dónde puedo leer las pautas completas de contraseñas del NIST?
Puede encontrar las pautas completas de contraseñas del NIST(nueva ventana) en el sitio web del NIST.
¿Son obligatorios los requisitos de contraseñas del NIST para todas las empresas?
Los requisitos de contraseñas del NIST son obligatorios para las agencias federales. Para otras empresas, las pautas no son obligatorias, pero pueden volverse necesarias a través de marcos de cumplimiento como HIPAA y otros. Los auditores y contratistas también pueden exigir el cumplimiento del NIST.
Según las recomendaciones de contraseñas del NIST, ¿qué longitud debe tener una contraseña?
El NIST recomienda que las contraseñas tengan al menos ocho caracteres, con un máximo de 64 caracteres. Fomenta contraseñas o frases de contraseña de mayor longitud sobre la complejidad, ya que tienden a ser más únicas y más difíciles de piratear.
¿Cómo creo una contraseña segura?
La clave para crear una contraseña segura es evitar patrones predecibles, información identificable y contraseñas reutilizadas. Use contraseñas largas y únicas que combinen palabras aleatorias en frases largas, como «lava-leche-nariz-ruido», o frases y oraciones que sean significativas para usted. Un gestor de contraseñas también puede generar automáticamente una contraseña segura para usted.
¿Aún no está seguro sobre la mejor manera de crear una contraseña larga y segura y no quiere registrarse en un gestor de contraseñas? Use nuestra herramienta generadora de contraseñas en su lugar.
¿Cómo encajan los gestores de contraseñas en las pautas de contraseñas del NIST?
Un gestor de contraseñas como Proton Pass ayuda a las empresas a cumplir con las pautas de contraseñas del NIST al generar contraseñas largas y únicas y eliminar las contraseñas reutilizadas. De hecho, las pautas del NIST mencionan a los gestores de contraseñas como una herramienta eficaz para crear contraseñas seguras y recomiendan su uso.
Proton Pass lleva este cumplimiento más allá. Además de generar contraseñas largas y únicas para sus empleados, también automatiza los inicios de sesión e impone políticas de seguridad como 2FA y tiene cifrado de extremo a extremo, lo que significa que nadie puede obtener acceso no autorizado a sus contraseñas.
