Deja de rotar las contraseñas

Dec 16, 2025 | Categories: Seguridad | Tags: Identidad, MFA

Durante años la rotación periódica de contraseñas fue tratada como un dogma: “hay que cambiar las contraseñas cada 30/60/90 días o el mundo se prende fuego”. Hoy, con evidencia empírica, telemetría real de ataques, estudios serios y frameworks modernos, el consenso técnico nos dice que rotar contraseñas de forma forzada aporta poco y a veces empeora la seguridad.

Por qué rotar contraseñas no mejora la seguridad (y a veces la degrada)

El atacante no “espera” la rotación

Si una contraseña fue comprometida, el daño ocurre en minutos u horas, no en 89 días. Los atacantes rara vez esperan meses para utilizar una contraseña. Inclusive en los casos donde el daño no se perciba inmediatamente, lo más probable es que el atacante se mueva lateralmente y logre asegurar su acceso mediante el compromiso de otras credenciales o cuentas de servicio, o instalando cualquier tipo de amenaza persistente.

Algunos ejemplos de ataques:

  • Phishing → otorga acceso inmediato
  • Malware/ransowmare → garantiza acceso a largo plazo o exfiltración instantánea
  • Credential stuffing → automatizado y masivo, otorga acceso inmediato

Rotar contraseñas cada X días no mitiga nada de esto. Es como cambiar la cerradura una vez por trimestre, después de que ya entraron.

NIST SP 800-63B con su publicación en 2024 (actualizada a julio de 2025) lo dice explícitamente   :

Los verificadores NO DEBERÍAN exigir que los secretos memorizados se cambien de manera arbitraria (por ejemplo, de forma periódica). Sin embargo, los verificadores DEBERÁN forzar un cambio si existe evidencia de que el autenticador ha sido comprometido.

También Microsoft eliminó las políticas de expiración de contraseñas de su línea base de seguridad de Windows   , calificándolas como poco útiles en comparación con la autenticación multifactor (MFA) y el monitoreo de infracciones.

Rotar genera peores contraseñas (el “síndrome de Password2025!”)

El cambio periódico de contraseñas supone que los usuarios pueden recordar secretos nuevos y sólidos sin recurrir a caminos menos seguros, pero el comportamiento humano es predecible y ha sido bien estudiado. Cuando obligás a rotar ocurren cosas como estas:

  • Miempresa2024!Miempresa2025!
  • ClaveSegura1ClaveSegura2

Los atacantes modelan esto perfectamente y de forma automatizada si es necesario.

En otros casos la contraseña podrá terminar almacenada en una nota insegura, en formato físico o digital, lo que es un resultado igual de malo para la seguridad de un sistema.

En resumen, en lugar de incorporar entropía real en la autenticación, los cambios forzados de contraseñas incorporan basura que debilita el sistema de autenticación, generando en el mejor de los casos un incremento mínimo de esfuerzo para el atacante, y una falsa sensación de seguridad para la organización.

Aumenta el riesgo operativo

Esta práctica también incrementa el riesgo operativo al generar una serie de problemas prácticos y humanos. Al exigir cambios frecuentes de contraseñas, se disparan los tickets de reset, lo que no solo consume tiempo y recursos, sino que también aumenta las probabilidades de que los usuarios tomen atajos como mencionaba anteriormente: anotarlas en lugares inseguros o reutilizarlas en múltiples sistemas. Esto, a su vez, incrementa la posibilidad de que las credenciales se filtren o sean aprovechadas por atacantes.

Además, la fricción adicional que genera la rotación provoca que muchos empleados opten por “bypasses” temporales, como no cambiar la contraseña correctamente o utilizar medidas menos seguras, lo que crea un riesgo persistente en el tiempo. Y lo más peligroso es que, en la mayoría de los incidentes de seguridad graves, el problema no es criptográfico —la fortaleza de las contraseñas en sí—, sino cómo los humanos y los procesos operativos manejan (o mal manejan) esas contraseñas.

No sirve contra ataques reales

Si miramos los ataques reales que dominan el panorama actual, queda claro que la rotación de contraseñas es, en el mejor de los casos, irrelevante.

Un pequeño resumen:

Ataque¿Rotación ayuda?¿Por qué no sirve?
Phishing❌ NoEl usuario entrega “voluntariamente” la contraseña y el atacante accede de inmediato.
Malware / Keylogger❌ NoCada nueva contraseña vuelve a ser capturada.
Credential stuffing❌ NoEl problema es la reutilización de credenciales válidas.
Pass-the-hash❌ NoDirectamente no se usa la contraseña en texto plano, sino un hash de autenticación.
Token theft❌ NoLa sesión ya está comprometida y cambiar la clave no necesariamente invalida el acceso.
Insider❌ NoSi el problema es un actor dentro de la organización, la rotación no aporta nada.

En la práctica, la rotación solo aporta algo frente a ataques offline extremadamente lentos, donde un atacante intenta crackear un hash durante meses sin haber logrado acceso previo… un escenario cada vez más raro y marginal. En 2025, los ataques son rápidos, automatizados y basados en acceso inmediato, y ahí la rotación periódica llega siempre tarde y mal.

Entonces… ¿qué hacemos en lugar de rotar contraseñas?

La respuesta no es una sola medida o tecnología, sino un cambio de enfoque: pasar de controles rituales y estáticos a mecanismos que realmente reduzcan el impacto del error humano y frenen ataques reales. En lugar de forzar cambios periódicos sin contexto, hay que fortalecer la identidad, reducir la dependencia de secretos reutilizables, detectar compromisos de forma temprana y reaccionar en función del riesgo. A continuación veremos algunos controles que elevan el nivel de seguridad al día de hoy.

Contraseñas largas, únicas y estables

Cambiar el paradigma de contraseñas cortas, complejas y rotadas, y concentrarse en lo que realmente aporta seguridad: contraseñas largas, únicas y sin expiración arbitraria.

Dentro de las recomendaciones actuales de NIST, ENISA y Microsoft encontramos:

  • Mínimo 12–14 caracteres (mejor 16+)
  • Permitir passphrases
  • No forzar símbolos absurdos
  • Bloquear contraseñas conocidas/filtradas

Bajo el enfoque que plantean estas organizaciones, una passphrase larga, única y no comprometida no necesita rotar por calendario porque su fortaleza no se degrada con el tiempo, solo debe cambiarse cuando hay evidencia de exposición.

Autenticación multifactor (MFA), pero no cualquiera

El uso de MFA fuerte es, hoy, la medida individual que más impacto real tiene contra ataques basados en credenciales, pero solo si se implementa bien. No alcanza con tener MFA para marcar el casillero de cumplimiento: no todo MFA ofrece el mismo nivel de protección. Los mecanismos más débiles, como SMS, están expuestos a ataques de SIM swap, debilidades estructurales del protocolo y phishing en tiempo real; incluso algunos esquemas de OTP reutilizable sin un vínculo fuerte con el dispositivo o la sesión pueden ser interceptados o reenviados por malware. En estos casos, el segundo factor existe, pero su capacidad de frenar a un atacante decidido es limitada.

Un MFA bien implementado eleva drásticamente el costo del ataque. Soluciones como TOTP mediante aplicaciones, push notifications con number matching, certificados por usuario o dispositivo y, especialmente, llaves de hardware FIDO2 sí reducen de forma significativa la efectividad del phishing y del credential stuffing.

El nivel más alto se alcanza con MFA resistente al phishing, como FIDO2/WebAuthn, passkeys o smart cards, donde no existe un secreto reutilizable que el usuario pueda entregar por error y donde la autenticación está criptográficamente ligada al origen legítimo del servicio.

Microsoft ha demostrado que el MFA bloquea más del 99% de los ataques basados en credenciales. Frente a eso, la rotación periódica de contraseñas queda expuesta como un control de bajo impacto que no detiene ataques reales y que solo sobrevive por inercia.

En resumen:

Malo:

  • SMS
  • OTP reutilizable sin binding

Bueno:

  • TOTP (apps)
  • Notificaciones push con number matching
  • Certificados
  • Hardware keys (FIDO2)

Excelente (Phishing-resistant MFA):

  • FIDO2 / WebAuthn
  • Passkeys
  • Smart Cards

Autenticación moderna: passwordless

El futuro y presente de la autenticación no se trata de construir mejores contraseñas, sino eliminar la contraseña como vector de riesgo, lo que llamamos passwordless.

En lugar de depender de secretos que pueden ser robados, reutilizados o adivinados, se utilizan mecanismos criptográficos vinculados de forma única al usuario y al dispositivo. Hoy existen varias implementaciones maduras de esta idea: passkeys basadas en FIDO2 combinadas con biometría local, certificados emitidos por dispositivo, smart cards o llaves de hardware como YubiKeys, y soluciones integradas en entornos corporativos como Windows Hello for Business.

Estos mecanismos presentan varias ventajas: no hay secreto reutilizable, no son vulnerables a ataques como phishing o credential stuffing, y no hay rotación (con el desgaste que ello supone para usuarios y administradores).

Implementar autenticación passwordless elimina clases enteras de ataques, no solamente los dificulta un poco.

Detección de compromiso y rotación reactiva

Acá está la diferencia clave: rotar por calendario es inútil, pero rotar por evento es efectivo.

Hay eventos que sí justifican rotación inmediata de contraseñas:

  • Phishing confirmado
  • Malware en el dispositivo
  • Login anómalo
  • Token robado
  • Brecha de terceros
  • Credential leak detectado

Por supuesto, para detectar y gestionar adecuadamente esto se requieren tecnologías como gestión de identidades (IAM) con telemetría, UEBA   , acceso condicional y alertas en tiempo real. Esto ayuda a implementar un autenticación segura y con una gestión basada en señales.

Zero Trust, controles adaptativos

Del modelo Zero Trust (“Confianza cero”) podemos hablar bastante, es muy interesante y una forma robusta de proteger nuestros sistemas, pero en este artículo pretendo enfocarme en uno de sus pilares: la identidad. Este modelo redefine la seguridad alrededor de la premisa de que nunca se debe confiar ciegamente en la identidad, aunque esta haya sido autenticada correctamente. En este enfoque, la identidad se convierte en uno de varios indicadores de confianza, evaluados en tiempo real según múltiples factores: quién es el usuario, qué dispositivo utiliza, desde qué ubicación intenta acceder, el nivel de riesgo asociado, el contexto de la operación y el comportamiento histórico de esa identidad. Cada intento de acceso se analiza dinámicamente y se decide qué medidas aplicar, creando un sistema adaptativo que responde al riesgo en lugar de aplicar reglas estáticas.

Evaluando entonces usuario, dispositivo, ubicación, riesgo, contexto y comportamiento se toman decisiones adaptadas según la necesidad, tales como: aplicar MFA solo si hay riesgo, bloquear el dispositivo si está fuera de cumplimiento de las políticas de seguridad (ej. desactualizado o comprometido de algún modo), reautenticación cuando cambia el contexto, o autenticación por pasos (step-up authentication) para operaciones sensibles, entre otros posibles.

La contraseña no es la barrera principal, es una señal más que se combina con otros factores para evaluar la legitimidad del acceso. Esto reduce radicalmente la exposición ante ataques basados en credenciales comprometidas, lo que en conjunto con asegurar los demás pilares de Zero Trust (además de Identidad: Dispositivo, Red, Aplicación y Datos) ofrece una postura de seguridad ciertamente robusta.

¿Y en PAM? Ahí sí rotamos, pero hay que hacerlo bien

Hay una excepción importante a lo mencionado anteriormente: en el contexto de la Gestión de Acceso Privilegiado (PAM), la rotación de credenciales sí tiene sentido, pero debe aplicarse de manera estrictamente controlada y automatizada, porque aquí hablamos de cuentas privilegiadas, no de usuarios humanos regulares. En estos casos, los secretos —ya sean contraseñas, claves API o certificados— se rotan automáticamente, con frecuencia y sin que los administradores o usuarios humanos los conozcan. Esto evita la exposición accidental o maliciosa de credenciales críticas y garantiza que los accesos privilegiados no dependan de la memoria o del comportamiento de las personas.

Un sistema PAM bien implementado incluye varias prácticas clave: un vault centralizado para almacenar y gestionar secretos, rotación post-uso de credenciales para que cada sesión genere un secreto nuevo, procesos de check-in/check-out para controlar quién y cuándo accede (idealmente incorporando flujos de verificación/aprobación), grabación de sesiones para auditar acciones, y acceso Just-In-Time access (JIT) para otorgar privilegios solo por el tiempo necesario.

Esto no contradice lo anterior: funciona en paralelo con la gestión de identidad de usuarios humanos, que debe basarse en controles que proporcionen una identidad fuerte, mientras que las máquinas o cuentas privilegiadas operan con secretos efímeros, minimizando así los riesgos específicos de estas cuentas.

En resumen, la rotación periódica de contraseñas ha dejado de ser una medida efectiva: no detiene los ataques modernos, crea contraseñas débiles debido al comportamiento humano, genera carga operativa innecesaria y brinda una falsa sensación de seguridad. Las estrategias que realmente elevan la protección son aquellas que atacan el riesgo real: usar passphrases largas y únicas, implementar MFA fuerte y resistente al phishing, avanzar hacia autenticación passwordless, monitorear y detectar compromisos en tiempo real, aplicar rotación de credenciales solo cuando hay evidencia de exposición, adoptar un enfoque Zero Trust y gestionar correctamente los accesos privilegiados mediante una plataforma PAM sólida. Si tu política sigue centrada en cambios de contraseña según un calendario, no estás protegiendo tu organización, solo manteniendo un ritual que tranquiliza pero no ofrece protección real.