La última actualización de las recomendaciones de contraseñas del NIST(ventana nueva) está aquí, y están cambiando cómo abordamos las contraseñas con la usabilidad teniendo prioridad sobre la complejidad.
¿Debería importarte? Sí. Las directrices del NIST no solo reflejan las mejores prácticas a las que todos deberían adherirse, sino que también influyen en el cumplimiento de seguridad. Quedarse atrás de estas directrices podría significar el incumplimiento de marcos normativos como HIPAA, GDPR y GLBA, arriesgando auditorías fallidas y costosas sanciones. Esta guía te ayudará a entender los cambios clave y la mejor manera de implementarlos en tu negocio.
¿Qué son las directrices de contraseñas del NIST?
Las directrices de contraseñas del NIST son estándares de seguridad publicados por el Instituto Nacional de Estándares y Tecnología(ventana nueva), una agencia federal de EE. UU. Estas directrices forman la base de las políticas de contraseñas en todas las industrias, y en algunos sectores, como el gobierno, son obligatorias.
Las directrices se crean basándose en investigaciones del mundo real y no son meras suposiciones sobre la seguridad de las contraseñas. Es por esto que los principales marcos de cumplimiento a menudo se conforman por las recomendaciones de contraseñas del NIST, y por lo que implementarlas fortalece tu postura de seguridad y cumplimiento normativo.
Requisitos de contraseñas del NIST de 2025
He aquí un resumen rápido de los requisitos de contraseñas actualizados del NIST:
1. Usa contraseñas más largas
El NIST recomienda una longitud mínima de contraseña de 8 caracteres y un máximo de 64 caracteres. Las contraseñas más largas son más difíciles de hackear, ya que tienden a ser más únicas que las contraseñas cortas pero complejas que a menudo siguen un patrón predecible.
2. Elimina los requisitos de complejidad
Basándose en la directriz anterior, los requisitos de caracteres especiales resultan en contraseñas complejas que, desafortunadamente, conducen a patrones predecibles que los hackers pueden adivinar fácilmente. En su lugar, acepta todos los tipos de caracteres, incluidos los espacios, y anima a los empleados a idear frases únicas y memorables, también conocidas como frases de contraseña, para sus contraseñas.
3. No más restablecimientos forzados de contraseñas
La única vez que se debe imponer un restablecimiento forzado de contraseña es cuando hay pruebas de que se ha comprometido. De lo contrario, obligar a los empleados a restablecer sus contraseñas cada pocos meses se considera una mala práctica, ya que el NIST ha descubierto que en realidad debilita la seguridad de las contraseñas.
4. Mantén una lista de bloqueo de contraseñas
El NIST recomienda que las empresas mantengan una lista de bloqueo de contraseñas para evitar el uso de contraseñas fácilmente explotadas como “1234” o contraseñas que presenten variaciones del nombre del empleado o de la empresa. Además, recomienda usar servicios de verificación de contraseñas para asegurar que los empleados no usen contraseñas comprometidas que hayan sido expuestas en vulneraciones.
5. Elimina las preguntas y pistas de seguridad
Las pistas y preguntas de recuperación basadas en el conocimiento, como “¿Cuál es tu primera mascota?”, son una práctica obsoleta. Estas respuestas se pueden obtener fácilmente a través de las redes sociales. En su lugar, confía en métodos de recuperación seguros como enlaces de recuperación y códigos de verificación durante los restablecimientos.
6. Usa herramientas de seguridad modernas
Limitar el número de intentos fallidos de inicio de sesión, requerir el uso de autenticación multifactor (MFA) y utilizar herramientas como un gestor de contraseñas empresarial proporcionan una protección crucial contra las amenazas cibernéticas modernas y ayudan a detectar vulneraciones.
¿Cómo han cambiado los requisitos de contraseñas del NIST?
| Antiguas directrices de contraseñas del NIST | Nuevas directrices de contraseñas del NIST | |
| Longitud de la contraseña | Límite de 8-16 caracteres | Contraseñas más largas de hasta 64 caracteres |
| Complejidad de caracteres | Alentada | No requerida |
| Cambios obligatorios de contraseña | Requerido mensualmente | Solo cuando se compromete |
| Lista de bloqueo de contraseñas | Términos básicos | Contraseñas vulneradas, patrones y variaciones comunes |
| Métodos de recuperación | Preguntas de seguridad | Enlaces y códigos de verificación |
| Precauciones adicionales | — | MFA y gestores de contraseñas |
Cómo implementar las recomendaciones de contraseñas del NIST
Implementar las recomendaciones actualizadas de contraseñas del NIST es crucial para mantener el cumplimiento con los marcos normativos. Incluso si no estás obligado por estos marcos, estas directrices mejorarán tu postura de seguridad y protegerán tu negocio. He aquí cómo implementarlas.
- Realiza una auditoría: Revisa las políticas existentes frente a las nuevas directrices del NIST para identificar requisitos obsoletos para actualizar.
- Actualiza tus sistemas: Reconfigura los sistemas de autenticación de acuerdo con las nuevas directrices, como permitir contraseñas más largas y sin ventanas de expiración.
- Construye tu lista de bloqueo: Implementa la detección contra bases de datos de vulneraciones para construir tu lista de bloqueo. Además, incluye términos y variaciones específicos de los empleados o de la empresa y patrones comunes en tu lista de bloqueo.
- Fortalece las capas de seguridad: Implementa medidas como limitar los intentos de inicio de sesión y retrasar los reintentos, y usa MFA para proporcionar protección adicional.
- Usa herramientas de gestión de contraseñas: Equipa a los empleados con herramientas como un gestor de contraseñas para automatizar la creación y el almacenamiento de contraseñas. Estas herramientas eliminan la reutilización de contraseñas y garantizan buenas prácticas de contraseñas.
- Comunica los cambios: Explica los cambios a tus empleados y, cuando sea necesario, realiza capacitaciones sobre el uso de herramientas de gestión de contraseñas.
Usa Proton Pass para mantener el cumplimiento con las directrices de contraseñas del NIST
Proton Pass es un gestor de contraseñas empresarial que simplifica el cumplimiento con las directrices de contraseñas del NIST. Creado teniendo en cuenta la privacidad y totalmente protegido con cifrado de extremo a extremo, puedes administrar fácilmente todas tus necesidades de contraseñas con mayor tranquilidad.
Muchas de las funciones de Proton Pass cumplen con las recomendaciones de contraseñas del NIST: puedes generar contraseñas largas y únicas, automatizar inicios de sesión y hacer cumplir políticas de seguridad como 2FA. Proton Pass también empodera a tus equipos con una herramienta que hace que adherirse a estas directrices sea el camino de menor resistencia. También cumple totalmente con GDPR, HIPAA y otros estándares de protección de datos, simplificando tu proceso de cumplimiento.
Preguntas frecuentes
¿Dónde puedo leer las directrices completas de contraseñas del NIST?
Puedes encontrar las directrices completas de contraseñas del NIST(ventana nueva) en el sitio web del NIST.
¿Son obligatorios los requisitos de contraseñas del NIST para todas las empresas?
Los requisitos de contraseñas del NIST son obligatorios para las agencias federales. Para otras empresas, las directrices no son obligatorias, pero pueden volverse necesarias a través de marcos de cumplimiento como HIPAA y otros. Los auditores y contratistas también pueden requerir el cumplimiento del NIST.
Según las recomendaciones de contraseñas del NIST, ¿cuánto tiempo debe durar una contraseña?
El NIST recomienda que las contraseñas tengan al menos ocho caracteres de longitud, con un máximo de 64 caracteres. Alienta las contraseñas o frases de contraseña de mayor longitud sobre la complejidad, ya que tienden a ser más únicas y difíciles de hackear.
¿Cómo creo una contraseña segura?
La clave para crear una contraseña segura es evitar patrones predecibles, información identificable y contraseñas reutilizadas. Usa contraseñas largas y únicas que combinen palabras aleatorias en frases largas, como “lava-leche-nariz-ruido”, o frases y oraciones que sean significativas para ti. Un gestor de contraseñas también puede generar automáticamente una contraseña segura para ti.
¿Todavía no estás seguro de cuál es la mejor manera de crear una contraseña larga y segura y no quieres registrarte en un gestor de contraseñas? Usa nuestra herramienta de generador de contraseñas en su lugar.
¿Cómo encajan los gestores de contraseñas en las directrices de contraseñas del NIST?
Un gestor de contraseñas como Proton Pass ayuda a las empresas a cumplir con las directrices de contraseñas del NIST generando contraseñas largas y únicas y eliminando las contraseñas reutilizadas. De hecho, las directrices del NIST señalan a los gestores de contraseñas como una herramienta eficaz para crear contraseñas seguras y recomiendan su uso.
Proton Pass lleva este cumplimiento más allá. Además de generar contraseñas largas y únicas para tus empleados, también automatiza los inicios de sesión y hace cumplir políticas de seguridad como 2FA y está cifrado de extremo a extremo, lo que significa que nadie puede obtener acceso no autorizado a tus contraseñas.
