Desde hace años nos han insistido para que usemos contraseñas seguras, entendidas como aquellas que utilizan letras mayúsculas y minúsculas, números y caracteres especiales. También nos han recomendado encarecidamente -a veces impuesto- que debemos cambiar la contraseña como máximo cada 90 días (muchas veces en el trabajo estamos obligados a hacerlo). ¿Qué pensarías si ahora descubrieras que en realidad no era necesario?
Esto es precisamente lo que ha dicho Bill Burr, el "culpable" de que tomemos todas estas precauciones. Burr es el directivo intermedio del National Institute of Standards and Technology (NIST) que redactó en 2003 el 'NIST Special Publication 800-63. Apendix A.', el informe que recomienda el uso de letras, mayúsculas y minúsculas, números y caracteres especiales en las contraseñas, además de actualizarlas recurrentemente. Tal y como recoge The Wall Street Journal, este documento se popularizó rápidamente, convirtiéndose en la guía seguida por agencias federales, universidades y grandes empresas en todo el mundo... y es la razón por la que desde hace 14 años todos creamos contraseñas complejas del tipo "€S7@esM1c0N7R4S€ñ4!".
Ahora Burr reconoce que no contó con un factor importante: el humano. Asegura que cambiar la contraseña cada 90 días es una pérdida de tiempo, puesto que para una persona recordar tantas contraseñas es complicado, lo que provoca que acabemos utilizando versiones de la misma contraseña o simplemente añadamos un número al final. Además, recuerda que aunque las personas añadan caracteres especiales y números, continúan escogiendo contraseñas relacionadas con conceptos cercanos a ellas, lo que las vuelve vulnerables.
Sus compañeros sin embargo no están de acuerdo con el director, y aseguran que el documento que redactó Burr ha sido muy importante en la seguridad cibernética durante años. Reconocen que en la actualidad «se ha quedado anticuado», pero alaban que haya sido el referente durante casi 15 años. Según publica el Wall Street Journal el NIST ya cuenta con un nuevo informe actualizado, que esta vez desaconseja el uso de caracteres especiales. También elimina la recomendación de cambiar la contraseña cada 90 días, en su lugar aseguran que lo mejor es no actualizarla a menos que se tengan sospechas de que ha podido ser descubierta.