El Instituto Nacional de Estándares y Tecnología (NIST), entidad responsable de establecer estándares tecnológicos en EE.UU., ha dado un paso crucial al introducir nuevas reglas para el manejo de contraseñas. Con la propuesta de eliminar algunas de las políticas más frustrantes, como el cambio periódico obligatorio o la composición forzada de caracteres, finalmente se empieza a aplicar sentido común en este aspecto tan delicado de la seguridad informática.

¿Por qué estas nuevas normas son importantes?

Durante años, los usuarios de sistemas en línea han tenido que lidiar con reglas que, aunque parecían mejorar la seguridad, en realidad la debilitaban. Políticas como el cambio periódico de contraseñas o el uso obligatorio de caracteres especiales han resultado más problemáticas que útiles. Estas medidas han llevado a que los usuarios opten por contraseñas fáciles de recordar (y por tanto más débiles), o por anotarlas en lugares inseguros, reduciendo la efectividad de estas normas.

La última versión del SP 800-63-4, propuesta por el NIST, introduce una serie de prácticas que desafían estas políticas tradicionales y, en su lugar, abogan por medidas más efectivas y centradas en la realidad de los usuarios.

Las principales reglas del nuevo borrador

El NIST ha identificado varias áreas clave en las que las antiguas reglas han fallado, y propone los siguientes cambios:

1. No más cambios periódicos de contraseñas: El NIST ha señalado que forzar a los usuarios a cambiar sus contraseñas regularmente no aporta mejoras significativas en la seguridad. De hecho, este requisito suele incentivar el uso de contraseñas más débiles, ya que los usuarios tienden a crear contraseñas fáciles de recordar.

2. Eliminación de reglas estrictas de composición: Ya no será necesario incluir obligatoriamente números, letras mayúsculas o caracteres especiales en las contraseñas. Las contraseñas más largas y aleatorias son más seguras sin tener que cumplir estos criterios.

3. Uso de contraseñas largas: Las nuevas reglas recomiendan contraseñas de al menos 15 caracteres, aunque el mínimo requerido seguirá siendo de ocho. Se busca facilitar el uso de frases de paso, más seguras y fáciles de recordar que las combinaciones arbitrarias de caracteres.

4. Adiós a las preguntas de seguridad: Otro cambio importante es la eliminación de las preguntas de seguridad (como “¿Cuál es el nombre de tu primera mascota?”), ya que estas suelen ser fáciles de adivinar o investigar, lo que compromete la seguridad del usuario.

¿Qué implican estas reglas para las empresas?

Aunque estas normas no son vinculantes de manera universal, las recomendaciones del NIST suelen ser adoptadas como mejores prácticas por organizaciones gubernamentales y empresas del sector privado. El propósito es reducir la fatiga del usuario causada por políticas inútiles y, al mismo tiempo, fortalecer la seguridad real mediante contraseñas más robustas y fáciles de manejar.

Adicionalmente, se establecen medidas para hacer que la experiencia del usuario sea más amigable sin comprometer la seguridad. Por ejemplo, se permite el uso de caracteres Unicode y se elimina la necesidad de truncar contraseñas, lo que mejora tanto la accesibilidad como la integridad del proceso de autenticación.

¿Qué significa esto para la Seguridad?

Este enfoque es mucho más pragmático, ya que aborda directamente las deficiencias de las políticas anteriores. En lugar de imponer reglas que resultan confusas o ineficaces, las nuevas guías del NIST se centran en promover prácticas que realmente mejoren la seguridad.

Con el uso de contraseñas más largas, la eliminación de preguntas de seguridad y la flexibilidad en la composición, se espera que los usuarios puedan crear contraseñas más seguras sin la necesidad de recurrir a atajos que comprometan su seguridad.

Las nuevas reglas propuestas por el NIST son un soplo de aire fresco para la seguridad informática, especialmente en un mundo donde la mayoría de las violaciones de datos se deben a prácticas deficientes en la gestión de contraseñas. Aunque estas reglas aún están en proceso de ser adoptadas por completo, su enfoque basado en el sentido común marca un cambio positivo para el futuro de la ciberseguridad.

Impacto en la ISO/IEC 27001

1. Mejora en la Gestión de Contraseñas:

Las nuevas reglas del NIST, al eliminar prácticas obsoletas como los cambios periódicos obligatorios de contraseñas y la composición rígida de caracteres, pueden hacer que las organizaciones revisen sus políticas de gestión de contraseñas. Esto afectaría los Controles de Acceso (Anexo A.9 de la ISO/IEC 27001:2013), que requieren la implementación de mecanismos efectivos para la autenticación.

En lugar de imponer políticas que promuevan la fatiga del usuario, los cambios del NIST se alinean con la mejora de la seguridad real, lo que significa que las organizaciones certificadas por ISO 27001 pueden optar por aplicar estas recomendaciones del NIST como una mejora continua de su SGSI.

2. Compatibilidad con los Principios de ISO 27001:

• ISO 27001 se basa en un enfoque de gestión de riesgos, lo que permite cierta flexibilidad en la elección de controles de seguridad. Los nuevos lineamientos del NIST pueden considerarse como una mejor práctica emergente que contribuye a la implementación de controles más eficientes y menos propensos a errores humanos.

• Por ejemplo, en el control A.9.4.3 (Gestión de contraseñas de usuario de la norma publicada en el 2013), se pueden integrar políticas más simples y efectivas como las propuestas por el NIST, reemplazando reglas de cambio periódico y composición forzada por requisitos de contraseñas largas y la eliminación de preguntas de seguridad.

3. Impacto en la Certificación ISO 27001:

• Aunque las directrices del NIST no son de obligado cumplimiento fuera de EE.UU., muchas organizaciones internacionales siguen sus recomendaciones, incluidas aquellas que buscan la certificación o ya están certificadas bajo ISO 27001. Aplicar estas nuevas recomendaciones del NIST puede fortalecer su postura de seguridad y demostrar un compromiso con la adopción de mejores prácticas reconocidas.

• Además, la gestión de riesgos de ISO 27001 podría beneficiarse de las nuevas recomendaciones del NIST, ya que las contraseñas largas, junto con la eliminación de la autenticación basada en conocimientos (preguntas de seguridad), ofrecen una mitigación más efectiva contra el robo de credenciales.

4. Flexibilidad para Adoptar Nuevas Políticas:

• El enfoque flexible de la ISO 27001 permite que las organizaciones adopten tecnologías y políticas que mejor se adapten a sus necesidades y contexto. Con las nuevas reglas del NIST, las organizaciones pueden redefinir sus procedimientos de autenticación, reduciendo la carga de trabajo de los administradores de TI y mejorando la experiencia del usuario sin comprometer la seguridad.

Estas guías no solo mejorarán la seguridad, sino que también facilitarán la vida de los usuarios, eliminando frustraciones innecesarias y permitiendo una protección más sólida y coherente. ¿Será este el fin de las políticas absurdas de contraseñas? Solo el tiempo lo dirá, pero el cambio ya está en marcha.

Fuentes.

• Instituto Nacional de Estándares y Tecnología (NIST), Publicación SP 800-63-4.

Descarga la publicación oficial: https://csrc.nist.gov/pubs/sp/800/63/4/ipd