Los especialistas en informática llevan eones recomendando que cambiamos nuestros contraseñas de modo periódico. Bill Burr, autor de una de las guías sobre contraseñas de ordenador más famosas que existen, una distribuida por el propio Instituto Nacional de Estándares y Tecnología de los Estados Unidos, aconsejaba el cambio de contraseña concretamente cada noventa días. En su opinión, debíamos añadir números, símbolos y mayúsculas a la contraseña inicial. Con eso bastaba para mantenernos seguros de los hackers. Pero resulta que no: cambiar la contraseña tan a menudo nos vuelve en realidad más vulnerables.
Hasta el propio Burr se ha retractado de sus famosas palabras. En concreto, y como recogen desde la BBC, el popular experto en ciberseguridad declaró estar "arrepentido de la mayor parte de lo que recomendé". Y, aunque todavía quedan muchas plataformas que continúan recomendando al usuario cambiar la contraseña cada determinados días, poco a poco va calando la nueva visión: que "es una práctica antigua y obsoleta", según palabras de los portavoces de Microsoft, una de las plataformas que han eliminado la recomendación. La pregunta es: ¿Cómo es posible que sea menos seguro cambiarla que dejarla inalterada?
El problema parece ser muy sencillo. Las personas, incluso a la hora de protegernos, solemos ser un poquito vagas. Los especialistas aseguran que en la mayoría de ocasiones en las que cambiamos una contraseña solo introducimos pequeñas variaciones mínimas. Aunque tampoco es nuestra culpa enteramente: Bill Burr nos recomendaba precisamente eso en 2003. Sea como sea, la realidad es que solemos añadir algún número a la contraseña, sustituir una letra por un número o cambiar alguna mínúscula por mayúscula. Cambios que son demasiado nimios para aumentar nuestra protección. Seguimos en peligro.
Lo estamos porque, debido a esos continuos cambios de contraseña, preferimos crear variaciones de las que ya tenemos que crear contraseñas únicas robustas. Y es normal: ¿Quién tiene cerebro para memorizar trece contraseñas completamente diferentes si además debe cambiarlas cada noventa días? Nos explota la mente. En este sentido, dicen los expertos, es mucho más aconsejable crear una contraseña robusta para cada sitio y no cambiarla nunca. Quizá no puedas aprenderte trece contraseñas cada noventa días, pero sí para siempre. No nos subestimos tampoco tanto. Y tu seguridad te lo agradecerá.
Después de todo, y según explica Juan Caubet, director de la Unidad de IT security del centro tecnológico de Eurecat, a la BBC, tener una misma contraseña con variaciones para todos los portales haría que, "si hay una brecha de seguridad o te roban la contraseña en una campaña de phishing, los hackers puedan adivinar fácilmente la contraseña que utilizas en otras plataformas añadiendo o cambiándole dígitos a la base que ya tienen". Los ciberdelincuentes tienen muchos conocimientos y muchas herramientas para hacernos daño. Y, por eso, es fundamental que no se lo pongamos fácil. Porque un día nos puede tocar.