Cambiar la contraseña cada 90 días no protege a su empresa — y la ciencia lo confirma
El NIST, Microsoft y el NCSC del Reino Unido coinciden: obligar a los empleados a rotar contraseñas periódicamente daña la seguridad en lugar de mejorarla. Le explicamos por qué y qué hacer en cambio.
Durante décadas, la política de “cambia tu contraseña cada 90 días” fue considerada un pilar inamovible de la seguridad corporativa. Estaba en todos los manuales, en todas las auditorías, en todos los requisitos de cumplimiento. El problema: la evidencia acumulada por años de investigación demuestra que esta práctica no solo es ineficaz — activamente empeora la seguridad de su organización.
Lo que dicen las autoridades en ciberseguridad
No se trata de una opinión aislada. Las instituciones más respetadas del mundo en seguridad informática han llegado a la misma conclusión:
- NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.): En 2025, actualizó su guía para pasar de desaconsejar la rotación periódica de contraseñas a directamente prohibirla en sistemas que sigan sus estándares.
- Microsoft: Eliminó la expiración de contraseñas de sus bases de referencia de seguridad en 2019, calificándola como “una mitigación antigua y obsoleta.”
- NCSC (Centro Nacional de Ciberseguridad del Reino Unido): Afirma explícitamente que “cambiar las contraseñas regularmente perjudica en lugar de mejorar la seguridad.”
- FTC (Comisión Federal de Comercio de EE.UU.): Llegó a conclusiones similares ya en 2016.
Por qué falla la rotación obligatoria
La lógica detrás de rotar contraseñas parece razonable: si un atacante obtiene una credencial, que caduque rápido limita el daño. El problema es que los atacantes no esperan 90 días.
Cuando un actor malicioso obtiene una contraseña, la usa en minutos u horas, no meses. La ventana de 90 días no los frena en absoluto.
Lo que sí hace la rotación forzada es cambiar el comportamiento de los empleados de forma predecible. Un estudio de la Universidad de Carolina del Norte (UNC) que analizó más de 7.700 cuentas encontró un patrón alarmante: las contraseñas anteriores le permitían a un atacante adivinar la nueva en menos de 5 intentos para el 17% de las cuentas. La razón es simple: cuando las personas deben cambiar su contraseña regularmente, optan por variaciones mínimas.
Contraseña1 → Contraseña2 → Contraseña3
Marzo2025! → Abril2025! → Mayo2025!
El resultado es que la rotación obligatoria crea contraseñas más débiles y más predecibles, no más fuertes.
El problema adicional: bloquear los gestores de contraseñas
El NIST también exige ahora que los sistemas permitan el uso de gestores de contraseñas y la funcionalidad de pegar texto en campos de contraseña. Sin embargo, hay organizaciones que activamente bloquean estas características “por seguridad”, contradiciendo los estándares actuales y empujando a sus usuarios a contraseñas más simples y fáciles de recordar.
¿Qué reemplaza a la rotación periódica?
Las mismas instituciones que desaconsejan la rotación ofrecen un conjunto claro de controles realmente efectivos:
1. Autenticación Multifactor (MFA) Es, con diferencia, la medida más impactante. Bloquea más del 99% de los ataques basados en credenciales comprometidas. Una contraseña robada es inútil si el atacante no tiene acceso al segundo factor.
2. Detección de contraseñas comprometidas En lugar de rotar por calendario, detecte cuándo una contraseña realmente aparece en una filtración. Herramientas como Microsoft Entra ID Protection monitorean continuamente si las credenciales de su organización han sido expuestas y actúan automáticamente.
3. Gestores de contraseñas corporativos Permita y promueva el uso de gestores de contraseñas. Un gestor genera y recuerda contraseñas largas, únicas y aleatorias para cada servicio — algo que ningún humano puede hacer de forma consistente por sí solo.
4. Cambio de contraseña solo ante evidencia de compromiso La contraseña debe cambiarse cuando hay una razón concreta: filtración detectada, comportamiento anómalo en la cuenta, sospecha fundada de acceso no autorizado. No porque llegó el 1 de abril.
Qué significa esto para su empresa
Si su organización sigue aplicando políticas de rotación periódica de contraseñas, es momento de revisarlas — no porque sea una opinión cómoda, sino porque los estándares internacionales más actualizados así lo indican.
La transición no implica reducir controles; implica reemplazar un control ineficaz por controles que realmente funcionan. Microsoft Entra ID, por ejemplo, ofrece todas estas capacidades dentro del ecosistema Microsoft 365 que muchas empresas ya tienen contratado.
¿Quiere revisar las políticas de seguridad de identidad de su organización y alinearlas con los estándares actuales del NIST y Microsoft? Contáctenos para una evaluación sin costo.
Fuente: You’re a Dumb Security Leader if You Mandate Password Rotation — George Guimarães (2026)