Skip to content

¿Qué dice la guía moderna NIST 800-63B sobre las contraseñas?

Respuesta breve

El moderno NIST SP 800-63B prioriza la longitud sobre la complejidad: permitir frases de contraseña largas (al menos 8, admitir 64+), aceptar todos los caracteres incluidos los espacios, y no imponer reglas de composición como «una mayúscula, un símbolo». Filtrar las contraseñas nuevas contra listas de contraseñas filtradas, eliminar la expiración periódica obligatoria (rotar solo ante evidencia de compromiso), y descartar las «preguntas de seguridad» basadas en conocimiento. El objetivo: reglas que resistan ataques reales en vez de empujar a los usuarios hacia patrones predecibles.

El viejo consejo —«8 caracteres, una mayúscula, un número, un símbolo, cámbialo cada 90 días»— resultó empeorar las contraseñas. El NIST SP 800-63B reescribió la guía en torno a lo que realmente resiste los ataques.

La longitud supera a la complejidad

El cambio estrella: prioriza la longitud, no la composición. Exige un mínimo razonable (al menos 8), pero admite frases de contraseña largas (64+ caracteres) y acepta todos los caracteres imprimibles, incluidos espacios y emojis. Una frase de contraseña larga y memorable tiene mucha más entropía y es más fácil de recordar que P@ss1!, hacia la que las reglas de composición simplemente empujan a todos.

Crucialmente, el NIST dice no imponer reglas de composición («debe contener...»). Empujan de forma predecible a los usuarios hacia los mismos patrones débiles (Password1!) que las reglas de cracking de los atacantes ya esperan.

Filtrar contra contraseñas filtradas

Cuando un usuario establece o cambia una contraseña, compruébala contra una lista de contraseñas conocidas como comprometidas (p. ej. de corpus públicos de filtraciones) y rechaza las coincidencias. Esto mitiga directamente el credential stuffing, donde los atacantes reproducen contraseñas filtradas. Tiene más valor que cualquier regla de composición.

Dejar de forzar la expiración periódica

El NIST eliminó la rotación periódica obligatoria. Forzar cambios cada 90 días solo produce Primavera2026!Verano2026!. En su lugar, rota solo ante evidencia de compromiso. La expiración rutinaria añade fricción sin seguridad.

Otras buenas y malas prácticas modernas

  • Permite pegar y los gestores de contraseñas: habilitan contraseñas fuertes y únicas.
  • Descarta las «preguntas de seguridad» basadas en conocimiento («primera mascota»): las respuestas son adivinables o localizables por OSINT.
  • Ofrece un botón «mostrar contraseña» y no truncues en silencio.
  • Y lo más importante, superpón MFA —idealmente resistente al phishing— porque ninguna política de contraseñas por sí sola basta.

Lo que buscan los entrevistadores: enuncias longitud sobre complejidad, filtrado de contraseñas filtradas y ausencia de expiración forzada, y sabes explicar por qué las viejas reglas eran contraproducentes: optimizaban la apariencia de seguridad en vez de la resistencia al cracking y al stuffing.

Posibles preguntas de seguimiento

  • ¿Por qué la complejidad forzada suele debilitar las contraseñas en la práctica?
  • ¿Por qué el NIST eliminó la expiración periódica obligatoria de contraseñas?
  • ¿Cuál es el valor de comprobar contra una lista de contraseñas filtradas?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.