Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
La guía definitiva para las mejores prácticas de contraseñas: Protegiendo tu identidad digital

La guía definitiva para las mejores prácticas de contraseñas: Protegiendo tu identidad digital

Nov 15, 2023

Passwords remain the frontline defense against cyber threats, but weak or reused credentials leave organizations exposed to brute-force, dictionary, and phishing attacks. Strong password practices — combined with password managers and multifactor authentication — are essential for securing sensitive data and meeting compliance requirements. Netwrix Password Secure enforces policies, detects weak credentials, and ensures enterprise-wide password security.

Ante el aumento de los ciberataques y las data breaches, el consejo omnipresente de “no compartir tu contraseña” ya no es suficiente. Las contraseñas siguen siendo las llaves principales de nuestros activos digitales más importantes, por lo que seguir las mejores prácticas de seguridad de contraseñas es más crítico que nunca. Ya sea que estés asegurando el correo electrónico, redes o cuentas de usuarios individuales, seguir las mejores prácticas de contraseñas puede ayudar a proteger tu información sensible de las amenazas cibernéticas.

Lea esta guía para explorar las mejores prácticas de contraseñas que deben implementarse en cada organización, y aprenda cómo proteger la información vulnerable mientras se adhiere a mejores estrategias de seguridad.

Los secretos de las contraseñas seguras

Una contraseña fuerte es tu primera línea de defensa cuando se trata de proteger tus cuentas y redes. Implementa estas prácticas recomendadas estándar de creación de contraseñas cuando pienses en una nueva contraseña:

  • Complejidad: Asegúrese de que sus contraseñas contengan una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales. Cabe señalar que las reglas de composición, como minúsculas, símbolos, etc., ya no son recomendadas por NIST — así que úselas bajo su propio criterio.
  • Longitud: Las contraseñas más largas suelen ser más fuertes, y generalmente, la longitud es más importante que la complejidad. Apunte a tener al menos 6-8 caracteres.
  • Imprevisibilidad: Evite usar frases comunes o patrones. Evite usar información fácilmente adivinable como cumpleaños o nombres. En su lugar, cree cadenas únicas que sean difíciles de adivinar para los hackers.

Contenido relacionado seleccionado:

Combinar estos factores hace que las contraseñas sean más difíciles de adivinar. Por ejemplo, si una contraseña tiene 8 caracteres de longitud e incluye letras mayúsculas, letras minúsculas, números y caracteres especiales, el total de combinaciones posibles sería (26 + 26 + 10 + 30)^8. Este número astronómico de posibilidades hace que sea extremadamente difícil para un atacante adivinar la contraseña.

Por supuesto, dada la guía actualizada de NIST sobre contraseñas, el mejor enfoque para una seguridad de contraseñas efectiva es utilizar un gestor de contraseñas — esta solución no solo ayudará a crear y almacenar tus contraseñas, sino que también rechazará automáticamente contraseñas comunes y fáciles de adivinar (aquellas incluidas en filtraciones de contraseñas). Los gestores de contraseñas aumentan significativamente la seguridad contra los siguientes tipos de ataques.

Ataques de adivinación de contraseñas

Comprender las técnicas que utilizan los adversarios para adivinar las contraseñas de los usuarios es esencial para la seguridad de las contraseñas. Aquí hay algunos de los ataques clave que debe conocer:

Ataque de fuerza bruta

En un ataque de fuerza bruta, un atacante intenta sistemáticamente cada posible combinación de caracteres hasta encontrar la contraseña correcta. Este método lleva tiempo pero puede ser efectivo si la contraseña es débil.

Las contraseñas fuertes ayudan a frustrar los ataques de fuerza bruta porque aumentan el número de combinaciones posibles que un atacante debe intentar, haciendo poco probable que puedan adivinar la contraseña en un plazo razonable.

Ataque de diccionario

Un ataque de diccionario es un tipo de ataque de fuerza bruta en el que un adversario utiliza una lista de palabras comunes, frases y contraseñas de uso frecuente para intentar obtener acceso.

Las contraseñas únicas son esenciales para frustrar ataques de diccionario porque los atacantes se basan en palabras y frases comunes. Utilizar una contraseña que no sea una palabra de diccionario o un patrón conocido reduce significativamente la probabilidad de ser adivinada. Por ejemplo, la cadena “Xc78dW34aa12!” no está en el diccionario ni en la lista de contraseñas comúnmente utilizadas, lo que la hace mucho más segura que algo genérico como “password”.

Ataque de diccionario con variaciones de caracteres

En algunos ataques de diccionario, los adversarios también usan palabras estándar pero intentan sustituciones comunes de caracteres, como reemplazar la ‘a’ con ‘@’ o la ‘e’ con ‘3’. Por ejemplo, además de intentar iniciar sesión con la palabra “password”, podrían intentar la variante “p@ssw0rd”.

Elegir contraseñas complejas e impredecibles es necesario para frustrar estos ataques. Al usar combinaciones únicas y evitar patrones fácilmente adivinables, haces que sea desafiante para los atacantes adivinar tu contraseña.

Cómo los gestores de contraseñas mejoran la seguridad

Los gestores de contraseñas son indispensables para almacenar y organizar tus contraseñas de manera segura. Estas herramientas ofrecen varios beneficios clave:

  • Seguridad: Los gestores de contraseñas almacenan las contraseñas y las ingresan por ti, eliminando la necesidad de que los usuarios las recuerden todas. Lo único que los usuarios necesitan recordar es la contraseña maestra de su herramienta de gestión de contraseñas. Por lo tanto, los usuarios pueden utilizar contraseñas largas y complejas como recomiendan las mejores prácticas sin preocuparse por olvidar sus contraseñas o recurrir a prácticas inseguras como anotar las contraseñas o reutilizar la misma contraseña para múltiples sitios o aplicaciones.
  • Generación de contraseñas: Los administradores de contraseñas pueden generar una contraseña fuerte y única para las cuentas de usuario, eliminando la necesidad de que los individuos las creen.
  • Encriptación: Los gestores de contraseñas cifran las bóvedas de contraseñas, asegurando la protección de los datos — incluso si estos se ven comprometidos.
  • Comodidad: Los gestores de contraseñas permiten a los usuarios acceder fácilmente a las contraseñas en múltiples dispositivos.

Al seleccionar un gestor de contraseñas, es importante considerar las necesidades específicas de su organización, como el soporte para las plataformas que utiliza, el precio, la facilidad de uso y el historial de brechas del proveedor. Realice investigaciones y lea reseñas para identificar el que mejor se alinee con los requisitos de su organización. Algunas opciones notables incluyen Netwrix Password Secure, LastPass, Dashlane, 1Password y Bitwarden.

Cómo la Autenticación Multifactor (MFA) Agrega una Capa Extra de Seguridad

La autenticación multifactor refuerza la seguridad al requerir dos o más formas de verificación antes de conceder acceso. Específicamente, necesitas proporcionar al menos dos de los siguientes factores de autenticación:

  • Algo que sabes: El ejemplo clásico es tu contraseña.
  • Algo que tienes: Normalmente esto es un dispositivo físico como un smartphone o un token de seguridad.
  • Algo que eres: Esto son datos biométricos como una huella dactilar o reconocimiento facial.

La MFA hace que una contraseña robada sea inútil, así que implémentela donde sea posible.

Gestión de Expiración de Contraseñas

Las políticas de expiración de contraseñas juegan un papel crucial en el mantenimiento de una seguridad de contraseñas fuerte. Usar un gestor de contraseñas que crea contraseñas seguras también influye en la expiración de las mismas. Si aún no utilizas un gestor de contraseñas, implementa una estrategia para verificar todas las contraseñas dentro de tu organización; con un aumento en data breaches, las listas de contraseñas (como la conocida rockyou.txt y sus variaciones) utilizadas en ataques de fuerza bruta están en constante crecimiento. El sitio web haveibeenpawned.com ofrece un servicio para comprobar si una contraseña determinada ha sido expuesta. Esto es lo que los usuarios deben saber sobre las mejores prácticas de seguridad de contraseñas relacionadas con la expiración de contraseñas:

  • Siga las directrices de la política: Cumpla con la política de caducidad de contraseñas de su organización. Esto incluye cambiar su contraseña cuando se le solicite y seleccionar una nueva contraseña fuerte que cumpla con los requisitos de la política.
  • Establezca recordatorios: Si su organización no aplica la caducidad de contraseñas mediante notificaciones, establezca sus propios recordatorios para cambiar su contraseña cuando corresponda. Revise regularmente su correo electrónico o las notificaciones del sistema para estar atento a las indicaciones.
  • Evite patrones obvios: Al cambiar su contraseña, evite usar variaciones de la anterior o patrones predecibles como “Password1”, “Password2” y así sucesivamente.
  • Informe de actividades sospechosas: Si nota alguna actividad sospechosa en la cuenta o solicitudes de cambio de contraseña no autorizadas, repórtelas inmediatamente al servicio de soporte técnico o al servicio de asistencia de su organización.
  • Tenga cuidado con los correos electrónicos de restablecimiento de contraseña: La mejor práctica para una buena seguridad de contraseñas implica estar consciente de las estafas. Si recibe un correo electrónico inesperado que le solicita restablecer su contraseña, verifique su autenticidad. Los correos electrónicos de phishing a menudo se hacen pasar por organizaciones legítimas para robar sus credenciales de inicio de sesión.

Seguridad de contraseñas y cumplimiento

Los estándares de cumplimiento exigen seguridad de contraseñas y mejores prácticas de gestión de contraseñas como medio para proteger los datos, mantener la privacidad y prevenir el acceso no autorizado. Aquí hay algunas de las leyes que exigen seguridad de contraseñas:

  • HIPAA (Ley de Portabilidad y Responsabilidad de Seguros de Salud): HIPAA exige que las organizaciones de atención médica implementen salvaguardias para proteger la información de salud electrónica protegida (ePHI), lo que incluye prácticas seguras de contraseñas.
  • PCI DSS (Industria de Tarjetas de Pago Data Security Standard): PCI DSS requiere que las organizaciones que manejan datos de tarjetas de pago en su sitio web implementen controles de acceso robustos, incluyendo seguridad de contraseñas, para proteger los datos de los titulares de tarjetas.
  • GDPR (Reglamento General de Protección de Datos): GDPR exige que las organizaciones que almacenan o procesan datos de residentes de la UE implementen medidas de seguridad apropiadas para proteger los datos personales. La seguridad de contraseñas es un aspecto fundamental de la protección de datos bajo GDPR.
  • FERPA (Family Educational Rights and Privacy Act): FERPA regula la privacidad de los registros educativos de los estudiantes. Incluye requisitos para asegurar el acceso a estos registros, lo que implica seguridad de contraseñas.

Las organizaciones sujetas a estos estándares de cumplimiento necesitan implementar políticas de contraseñas robustas y las mejores prácticas de seguridad de contraseñas. No hacerlo puede resultar en multas elevadas y otras penalizaciones.

También existen marcos voluntarios que ayudan a las organizaciones a establecer políticas de contraseñas sólidas. Dos de los más conocidos son los siguientes:

  • NIST Cybersecurity Framework: El Instituto Nacional de Estándares y Tecnología (NIST) proporciona pautas y recomendaciones, incluyendo las mejores prácticas de contraseñas, para mejorar la ciberseguridad.
  • ISO 27001: ISO 27001 es una norma internacional para sistemas de gestión de seguridad de la información (ISMS). Incluye requisitos relacionados con la gestión de contraseñas como parte de su marco de seguridad más amplio.

Mejores prácticas de contraseñas en acción

Ahora, pongamos en práctica estas mejores prácticas de seguridad de contraseñas con un ejemplo:

Suponga que su nombre es John Doe y su cumpleaños es el 10 de diciembre de 1985. En lugar de usar “JohnDoe121085” como su contraseña (lo cual es fácil de adivinar), siga estas buenas prácticas para contraseñas:

  • Cree una contraseña larga, única (e impredecible), como: “M3an85DJ121!”
  • Guárdalo en un gestor de contraseñas de confianza.
  • Habilite la autenticación multifactor siempre que esté disponible.

10 mejores prácticas de contraseñas

Si busca fortalecer su seguridad, siga estas mejores prácticas de contraseñas:

  • Eliminar pistas o autenticación basada en conocimientos: NIST recomienda no utilizar la autenticación basada en conocimientos (KBA), como preguntas del tipo “¿En qué ciudad naciste?” sino usar algo más seguro, como la autenticación de dos factores.
  • Cifrar contraseñas: Proteja las contraseñas con cifrado tanto cuando se almacenan como cuando se transmiten a través de redes. Esto las hace inútiles para cualquier hacker que logre robarlas.
  • Evite textos claros y formas reversibles: Los usuarios y aplicaciones nunca deben almacenar contraseñas en texto claro o en cualquier forma que pueda transformarse fácilmente en texto claro. Asegúrese de que su rutina de gestión de contraseñas no utilice texto claro (como en un archivo XLS).
  • Elija contraseñas únicas para diferentes cuentas: No utilice la misma, o incluso variaciones de la misma contraseña para diferentes cuentas. Intente crear contraseñas únicas para cada una de ellas.
  • Utilice un gestor de contraseñas: Esto puede ayudar a seleccionar nuevas contraseñas que cumplan con los requisitos de seguridad, enviar recordatorios sobre el vencimiento próximo de las contraseñas y ayudar a actualizar las contraseñas a través de una interfaz fácil de usar.
  • Haga cumplir políticas de contraseñas fuertes: Implemente y haga cumplir políticas de contraseñas fuertes que incluyan requisitos de longitud mínima y complejidad, junto con una regla de historial de contraseñas para evitar la reutilización de contraseñas anteriores.
  • Actualice las contraseñas cuando sea necesario: Debe verificar y, si los resultados así lo indican, actualizar sus contraseñas para minimizar el riesgo de acceso no autorizado, especialmente después de violaciones de datos.
  • Monitorear la actividad sospechosa: Monitoree continuamente sus cuentas para detectar actividad sospechosa, incluidos múltiples intentos fallidos de inicio de sesión, e implemente bloqueos de cuenta y alertas para mitigar amenazas.
  • Educar a los usuarios: Realizar o participar en capacitaciones regulares sobre conciencia de seguridad para aprender acerca de las mejores prácticas de contraseñas, amenazas de phishing y la importancia de mantener contraseñas fuertes y únicas para cada cuenta.
  • Implementar políticas de caducidad de contraseñas: Hacer cumplir políticas de caducidad que requieran cambiar las contraseñas en circunstancias definidas para mejorar la seguridad.

Cómo Netwrix puede ayudar

Adherirse a las mejores prácticas de contraseñas es vital para proteger la información sensible y prevenir el acceso no autorizado.

Netwrix Password Secure ofrece capacidades avanzadas para monitorear políticas de contraseñas, detectar y responder a actividades sospechosas y asegurar el cumplimiento con las regulaciones de la industria. Con características como alertas en tiempo real, reportes exhaustivos y una interfaz amigable, permite a las organizaciones identificar y abordar proactivamente los riesgos relacionados con las contraseñas, imponer políticas de contraseñas fuertes y mantener una seguridad robusta en todo su entorno de TI.

Conclusión

En un mundo donde las amenazas cibernéticas están en constante evolución, adherirse a las mejores prácticas de gestión de contraseñas es esencial para proteger tu presencia digital. En primer lugar, crea una contraseña fuerte y única para cada sistema o aplicación — recuerda que utilizar un gestor de contraseñas facilita mucho el cumplimiento de esta práctica crítica. Además, implementa la autenticación multifactor siempre que sea posible para frustrar a cualquier atacante que logre robar tu contraseña. Siguiendo las pautas, podrás disfrutar de una experiencia en línea más segura y proteger tus valiosos activos digitales.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo crear, cambiar y probar contraseñas usando PowerShell

Usando Windows Defender Credential Guard para proteger credenciales Privileged

¿Qué es Microsoft LAPS: Cómo puede mejorar su seguridad?

Pasos para controlar los derechos de administrador local

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad