Informe 2025 sobre el estado de la seguridad de las contraseñas

Puntos clave de este artículo:

• Excelencia técnica del NIST: El NIST ofrece una sólida orientación técnica que respalda a administradores de contraseñas como Bitwarden, pero carece de una presentación fácil de usar.

• Liderazgo de comunicación de CISA: CISA alcanza el estado de “Excelente” al recomendar claramente administradores de contraseñas y crear recursos de seguridad accesibles.

• Adopción inconsistente: Las agencias federales muestran una variación significativa en la orientación sobre seguridad de contraseñas y en las recomendaciones de administradores de contraseñas.

• Tendencias de mejora positivas: El análisis de cuatro años muestra que las agencias mejoran sus recomendaciones de seguridad de contraseñas para alinearse con las prácticas respaldadas por Bitwarden.

• Consenso creciente: Las agencias federales reconocen cada vez más que soluciones como Bitwarden proporcionan una infraestructura de seguridad esencial.

En los últimos años, ha habido un enfoque intenso en la ciberseguridad en todo el gobierno federal de Estados Unidos. Muchas agencias están liderando el camino en la educación de organizaciones gubernamentales, empresas grandes y pequeñas, así como de consumidores.

Sin embargo, no todas las agencias están en la misma sintonía cuando se trata de la seguridad de las contraseñas. Uno de los grupos más importantes, el Instituto Nacional de Estándares y Tecnología (NIST), “desarrolla estándares, directrices, mejores prácticas y otros recursos de ciberseguridad para satisfacer las necesidades de la industria de EE. UU., las agencias federales y el público en general”.

La página de ciberseguridad del NIST continúa diciendo que “algunas asignaciones de ciberseguridad del NIST están definidas por leyes federales, órdenes ejecutivas y políticas. Por ejemplo, la Oficina de Administración y Presupuesto (OMB) exige que todas las agencias federales implementen los estándares y la orientación de ciberseguridad del NIST para sistemas que no son de seguridad nacional”.

Lamentablemente, las recomendaciones del NIST aún no han sido aceptadas e implementadas universalmente por todas las agencias federales. Si bien el NIST establece los estándares que las agencias afirman seguir, también tiene su propia debilidad: un sitio web desorganizado.

2025 marca el cuarto año en que Bitwarden realiza este análisis. Este año, la NSA mejoró su clasificación de “Bueno” a “Muy bueno” debido a la recomendación agregada de usar administradores de contraseñas. La calificación de CISA subió de “Muy bueno” a “Excelente” al hacer que su información sea más fácil de acceder y comprender. El sitio web del NIST sigue estando desorganizado, aunque su contenido es muy sólido. Con los años, muchas agencias han mostrado una tendencia positiva en cuanto a sus recomendaciones de seguridad de contraseñas y su postura general de ciberseguridad, incluidas CISA, el FBI, la FTC y la SBA.

La tecnología avanza rápido. Para empresas y personas, gran parte de nuestras vidas ahora está en línea en una gran variedad de cuentas, desde sitios de entretenimiento divertidos hasta servicios financieros serios como nuestras cuentas bancarias.

Esta evaluación busca involucrar y educar a todas las personas que usan contraseñas sobre las mejores prácticas provenientes del gobierno federal y sobre dónde hay margen de mejora. Muchos dentro del gobierno federal tienen un enfoque educativo sólido respecto de la seguridad de las contraseñas, y otros podrían necesitar un poco de ayuda para modernizarse. 

Afortunadamente, se está creando consenso sobre las mejores prácticas para la seguridad de las contraseñas. Este informe consolida y evalúa los detalles.

El sistema de calificación clasifica a las agencias según el cumplimiento de los siguientes criterios:

• Recomienda el uso de un administrador de contraseñas

• Destaca la importancia de las contraseñas seguras

• Menciona la necesidad de 2FA/MFA para reforzar aún más la seguridad de las contraseñas

• Las recomendaciones generales de seguridad están actualizadas y se adhieren a las directrices del NIST

• Presenta las recomendaciones de seguridad de contraseñas de forma clara, fácil de entender y fácil de encontrar

• Recomienda el uso de un administrador de contraseñas

• Destaca la importancia de las contraseñas seguras 

• Menciona la necesidad de 2FA/MFA para reforzar aún más la seguridad de las contraseñas

• Los consejos generales de seguridad están actualizados y cumplen con las pautas del NIST

• No presenta las recomendaciones de seguridad de contraseñas de forma clara, digerible y fácil de encontrar

• No recomienda el uso de un administrador de contraseñas

• Destaca la importancia de las contraseñas seguras 

• Menciona la necesidad de usar 2FA/MFA para reforzar aún más la seguridad de las contraseñas

• Los consejos generales de seguridad no están actualizados y no cumplen con las pautas del NIST

• No presenta las recomendaciones de seguridad de contraseñas de forma clara, digerible y fácil de encontrar

• No recomienda el uso de un administrador de contraseñas

• Destaca la importancia de las contraseñas seguras

• No menciona de forma constante la necesidad de usar 2FA/MFA para reforzar aún más la seguridad de las contraseñas

• Los consejos generales de seguridad no están actualizados y no cumplen con las pautas del NIST

• No presenta las recomendaciones de seguridad de contraseñas de forma clara, digerible y fácil de encontrar

• No recomienda el uso de un administrador de contraseñas

• No destaca la importancia de las contraseñas seguras

• No menciona la necesidad de usar 2FA/MFA para reforzar aún más la seguridad de las contraseñas

• Los consejos generales de seguridad no están actualizados y no cumplen con las pautas del NIST

• No presenta las recomendaciones de seguridad de contraseñas de forma clara, digerible y fácil de encontrar

Consejo de la agencia:

• Gestión de autenticadores | Administradores de contraseñas

  • Emplear [Asignación: administradores de contraseñas definidos por la organización] para generar y gestionar contraseñas; y

    • Proteger las contraseñas mediante [asignación: controles definidos por la organización].

    • En los sistemas donde se usan contraseñas estáticas, a menudo resulta difícil garantizar que las contraseñas sean lo suficientemente complejas y que no se usen las mismas contraseñas en varios sistemas. Un administrador de contraseñas es una solución a este problema, ya que genera y almacena automáticamente contraseñas seguras y diferentes para varias cuentas. Un posible riesgo de usar administradores de contraseñas es que los adversarios pueden apuntar a la colección de contraseñas generadas por el administrador de contraseñas. Por lo tanto, la colección de contraseñas requiere protección, lo que incluye cifrar las contraseñas y almacenar la colección sin conexión en un token.

• Referencia

Consejo de la agencia:

• Una contraseña (a veces denominada frase de contraseña o, si es numérica, PIN) es un valor secreto que el suscriptor debe elegir y memorizar o registrar. Las contraseñas deben tener la complejidad y confidencialidad suficientes para que no sea práctico que un atacante adivine o descubra de otra manera el valor secreto correcto. Una contraseña es “algo que sabes”.

• Los requisitos de esta sección se aplican a las contraseñas verificadas de forma centralizada que se usan como factores de autenticación independientes y se envían a través de un canal protegido autenticado al verificador de un CSP. Las contraseñas usadas localmente como factor de activación para un autenticador multifactor se denominan secretos de activación y se analizan en Sec. 3.2.10.

• Las contraseñas DEBERÁN ser elegidas por el suscriptor o asignadas aleatoriamente por el CSP.

• Si el CSP no permite una contraseña elegida porque está en una lista de bloqueo de valores de uso común, esperados o comprometidos (ver Sec. 3.1.1.2), el suscriptor DEBERÁ elegir una contraseña diferente. No DEBERÁN imponerse otros requisitos de complejidad para las contraseñas. La justificación de esto se presenta en el Apéndice A, Fortaleza de las contraseñas.

• Los siguientes requisitos se aplican a las contraseñas:

• Los verificadores y los CSP DEBERÁN requerir que las contraseñas tengan una longitud mínima de ocho caracteres y DEBERÍAN requerir que las contraseñas tengan una longitud mínima de 15 caracteres.

• Los verificadores y los CSP DEBERÍAN permitir una longitud máxima de contraseña de al menos 64 caracteres.

• Los verificadores y los CSP DEBERÍAN aceptar todos los caracteres ASCII imprimibles [RFC20] y el carácter de espacio en las contraseñas. Los verificadores y los CSP DEBERÍAN aceptar caracteres Unicode [ISO/ISC 10646] en las contraseñas. Cada punto de código Unicode DEBERÁ contarse como un solo carácter al evaluar la longitud de la contraseña.

• Los verificadores y los CSP NO DEBERÁN imponer otras reglas de composición (por ejemplo, requerir combinaciones de diferentes tipos de caracteres) para las contraseñas.

• Los verificadores y los CSP NO DEBERÁN requerir que los usuarios cambien sus contraseñas periódicamente. Sin embargo, los verificadores DEBERÁN forzar un cambio si hay evidencia de que el autenticador está comprometido.

• Los verificadores y los CSP NO DEBERÁN permitir que el suscriptor almacene una pista que sea accesible para un solicitante no autenticado.

• Los verificadores y los CSP NO DEBERÁN solicitar a los suscriptores que usen autenticación basada en conocimientos (KBA) (por ejemplo, “¿Cuál era el nombre de su primera mascota?”) o preguntas de seguridad al elegir contraseñas.

• Los verificadores DEBERÁN verificar toda la contraseña enviada (es decir, no truncarla).

• Al procesar una solicitud para establecer o cambiar una contraseña, los verificadores DEBERÁN comparar el secreto propuesto con una lista de bloqueo que contenga contraseñas conocidas de uso común, esperadas o comprometidas. La contraseña completa DEBERÁ someterse a la comparación, no las subcadenas ni las palabras que pudiera contener. Por ejemplo, la lista PUEDE incluir, entre otros:

  • Contraseñas obtenidas de corpus de filtraciones anteriores

  • Palabras de diccionario

  • Palabras específicas del contexto, como el nombre del servicio, el nombre de usuario y sus derivados

  • Si la contraseña elegida se encuentra en la lista de bloqueo, el CSP o el verificador DEBERÁ exigir al suscriptor que seleccione un secreto diferente y DEBERÁ proporcionar el motivo del rechazo. Dado que la lista de bloqueo se usa para defenderse contra ataques de fuerza bruta y se limita la frecuencia de los intentos fallidos, como se describe a continuación, la lista de bloqueo DEBERÍA tener un tamaño suficiente para evitar que los suscriptores elijan contraseñas que los atacantes probablemente adivinen antes de alcanzar el límite de intentos.

• Los verificadores DEBERÁN ofrecer orientación al suscriptor para ayudar al usuario a elegir una contraseña segura. Esto es particularmente importante después del rechazo de una contraseña en la lista de bloqueo, ya que desalienta la modificación trivial de contraseñas débiles incluidas en la lista [Blocklists].

• Los verificadores DEBERÁN implementar un mecanismo de limitación de frecuencia que limite eficazmente el número de intentos de autenticación fallidos que se pueden realizar en la cuenta del suscriptor, como se describe en Sec. 3.2.2.

• Los verificadores DEBERÁN permitir el uso de administradores de contraseñas. Los verificadores DEBERÍAN permitir que los solicitantes usen la función de “pegar” al ingresar una contraseña para facilitar su uso. Se ha demostrado que los administradores de contraseñas aumentan la probabilidad de que los usuarios elijan contraseñas más seguras, en particular si los administradores de contraseñas incluyen generadores de contraseñas [Administradores].

• Los verificadores DEBERÁN almacenar las contraseñas de una forma resistente a ataques sin conexión. Las contraseñas DEBERÁN tener sal y hash mediante un esquema adecuado de hash de contraseñas. Los esquemas de hash de contraseñas toman como entradas una contraseña, una sal y un factor de costo, y generan un hash de contraseña. Su propósito es hacer que cada intento de adivinar la contraseña sea más costoso para un atacante que haya obtenido un archivo de contraseñas con hash, lo que hace que el costo de un ataque de adivinación sea alto o prohibitivo. El factor de costo elegido DEBERÍA ser tan alto como sea práctico sin afectar negativamente el rendimiento del verificador. DEBERÍA aumentarse con el tiempo para tener en cuenta los incrementos en el rendimiento de cómputo. [SP800-132] o las directrices actualizadas del NIST sobre esquemas de hash de contraseñas DEBERÍAN usar un esquema aprobado de hash de contraseñas publicado en la revisión más reciente. La longitud de salida elegida del verificador de contraseñas, sin incluir la sal ni la información de versiones, DEBERÍA ser igual a la longitud de la salida del esquema de hash de contraseñas subyacente.

• La sal DEBERÁ tener al menos 32 bits de longitud y elegirse de manera que se minimicen las colisiones de valores de sal entre los hashes almacenados. Tanto el valor de la sal como el hash resultante DEBERÁN almacenarse para cada contraseña. Una referencia al esquema de hash de contraseñas utilizado, incluido el factor de trabajo, DEBERÍA almacenarse para cada contraseña a fin de permitir la migración a nuevos algoritmos y factores de trabajo. Por ejemplo, para la función de derivación de claves basada en contraseñas 2 (PBKDF2) [SP800-132], el factor de costo es un recuento de iteraciones: cuantas más veces se itera la función PBKDF2, más tiempo tarda en calcular el hash de la contraseña.

• Además, los verificadores DEBERÍAN realizar una iteración adicional de una operación de hash con clave o de cifrado usando una Clave secreta que solo conozca el verificador. Si se usa, este valor de clave DEBERÁ generarse mediante un generador de bits aleatorios aprobado, como se describe en Sec. 3.2.12. El valor de la Clave secreta DEBERÁ almacenarse por separado de las contraseñas con hash. DEBERÍA almacenarse y usarse dentro de un área protegida por hardware, como un módulo de seguridad de hardware o un entorno de ejecución confiable (TEE). Con esta iteración adicional, los ataques de fuerza bruta a las contraseñas con hash son poco prácticos siempre que el valor de la Clave secreta permanezca en secreto.

• Serie de blogs del Mes de Concientización sobre Ciberseguridad 2023

  • Consejos de la agencia

    • Las contraseñas siguen siendo el mecanismo de autenticación más utilizado para obtener acceso a recursos de interés. Las contraseñas son la primera línea de defensa para proteger la confidencialidad e integridad de los datos frente a ciberdelincuentes y filtraciones de datos. Las contraseñas buenas y seguras ayudan a las personas a mantenerse seguras y privadas en línea.

• Referencia

• Referencia

Consejo de la agencia:

• Usa contraseñas seguras

  • Crea contraseñas largas, aleatorias y únicas con un administrador de contraseñas para tener cuentas más seguras.

• Una forma sencilla de proteger tus cuentas

  • Las contraseñas simples, como 12345, o la información de identificación común, como cumpleaños y nombres de mascotas, no son seguras para proteger cuentas importantes que contienen información personal. Usar una contraseña fácil de adivinar es como cerrar la puerta con llave, pero dejar la llave en la cerradura. Los hackers pueden descifrar rápidamente las contraseñas débiles. ¡Pero es imposible recordar una contraseña segura y única para cada cuenta!

  • La buena noticia es que crear y almacenar contraseñas seguras con la ayuda de un “administrador de contraseñas” es una de las formas más sencillas de protegernos contra alguien que inicie sesión en nuestras cuentas y robe información confidencial, datos, dinero o incluso nuestras identidades.

  • Detén los delitos en línea con contraseñas seguras - video de YouTube creado por CISA

• Fortalece tus contraseñas con tres consejos sencillos

• Una contraseña segura sigue ESTOS TRES consejos.

  1. Hazlas largas

     • Al menos 16 caracteres: ¡mientras más larga, más segura! 

  2. Hazlas aleatorias

     • Dos formas de hacerlo son:

     • Usa una cadena aleatoria de letras mayúsculas y minúsculas, números y símbolos. Por ejemplo:

       • cXmnZK65rf*&DaaD

       • Yuc8$RikA34%ZoPPao98t

       • Otra opción es crear una frase fácil de recordar con 4 a 7 palabras no relacionadas. Esto se llama “frase de contraseña”. Por ejemplo:

         • Buena: CaballoMoradoSombreroCorrer

         • Excelente: CaballoMoradoSombreroCorrerBahía

         • Increíble: Caballo Morado Sombrero Correr Bahía Levantar

         • Nota: ¡Puedes usar espacios antes de las palabras o entre ellas si lo prefieres!

  3. Hazlas únicas 

     • Usa una contraseña segura diferente para cada cuenta.

     • Por ejemplo:

       • Banco: k8dfh8c@Pfv0gB2

       • Cuenta de correo electrónico: legal pequeño instalación a mano probable esmalte

       • Cuenta de redes sociales: e246gs%mFs#3tv6

• CONSEJO PROFESIONAL: USA UN ADMINISTRADOR DE CONTRASEÑAS

  • Es difícil recordar todas estas contraseñas seguras y no queremos guardarlas en un archivo en una computadora. En su lugar, usa un administrador de contraseñas. ¡Consulta más abajo!

• Usa un administrador de contraseñas

  • Para la mayoría de las personas, no es posible generar y recordar contraseñas largas, aleatorias y únicas para cada cuenta. En lugar de escribirlas, ¡usa un administrador de contraseñas! Un administrador de contraseñas es un programa fácil de usar que genera, almacena e incluso completa todas tus contraseñas. Los administradores de contraseñas nos avisan cuando tenemos contraseñas débiles o reutilizadas y pueden generar contraseñas seguras por nosotros. También pueden completar automáticamente los inicios de sesión en sitios y aplicaciones a medida que pasamos de uno a otro.

  • Cuando usamos un administrador de contraseñas, solo necesitamos recordar una contraseña segura: la del propio administrador de contraseñas. (Consejo: Crea una “frase de contraseña” larga y fácil de recordar, como se describió anteriormente).

  • Hay muchos administradores de contraseñas para elegir. Algunos son gratuitos, como los administradores de contraseñas integrados en tu navegador web, y otros son de pago. Busca “administradores de contraseñas” en una fuente confiable, como Consumer Reports, que ofrece una selección de administradores de contraseñas con altas calificaciones. Lee reseñas para comparar opciones y encontrar un programa confiable para ti.

  • Cuando usamos un administrador de contraseñas, es mucho más probable que usemos una contraseña larga, aleatoria y única en cada sitio. ¡Y eso hace que sea mucho más difícil que alguien robe nuestra información valiosa!

  • CONSEJO PROFESIONAL: Verifica si tus cuentas de correo electrónico, bancos, proveedores de atención médica y otras cuentas importantes exigen requisitos de contraseñas seguras. Si te permiten usar una contraseña corta o una palabra del diccionario, pregúntales por qué. ¡Es tu información la que están poniendo en riesgo!

  • Y no olvides activar MFA, especialmente para tu correo electrónico, cuentas de redes sociales y cuentas financieras. 

• Hoja de consejos sobre contraseñas de CISA

• Referencia

Recomendación de la agencia:

• Implementar políticas de contraseñas que exijan contraseñas únicas de al menos 15 caracteres

  • Los administradores de contraseñas pueden ayudarte a crear y gestionar contraseñas seguras. Protege y limita el acceso a cualquier administrador de contraseñas en uso y habilita todas las funciones de seguridad disponibles en el producto utilizado, como la MFA.

• Referencia

Recomendación de la agencia:

• El aumento en el número de vulneraciones de infraestructuras de red en los últimos años es un recordatorio de que la autenticación en dispositivos de red es un aspecto importante. Los dispositivos de red podrían verse comprometidos debido a:

  • Mala elección de contraseñas (vulnerables a ataques de fuerza bruta por difusión de contraseñas)

  • Archivos de configuración de routers (que contienen contraseñas con hash) enviados por correo electrónico sin cifrar, o

  • Contraseñas reutilizadas (cuando las contraseñas recuperadas de un dispositivo comprometido pueden usarse para comprometer otros dispositivos).

• Usar solo contraseñas aumenta el riesgo de explotación del dispositivo. Si bien la NSA recomienda firmemente la autenticación multifactor para los administradores que gestionan dispositivos críticos, a veces deben usarse únicamente contraseñas. Elegir buenos algoritmos de almacenamiento de contraseñas puede dificultar mucho más la explotación.

• Para brindar la mayor protección posible, usa contraseñas seguras para evitar que sean descifradas y convertidas a texto sin formato. Cumple con una política de contraseñas que:

  • Consista en una combinación de letras minúsculas y mayúsculas, símbolos y números;

  • Tenga al menos 15 caracteres alfanuméricos; y

  • Patrones que no sean:

    • Una secuencia de teclado

    • Iguales a un nombre de usuario

    • La contraseña predeterminada

    • Iguales a una contraseña usada en otro lugar

    • Relacionados con la red, la organización, la ubicación u otros identificadores de función

    • Tomados directamente de un diccionario, acrónimos comunes o fáciles de adivinar

• Referencia

Recomendación de la agencia:

• Protege y fortalece tus contraseñas

  • Usa contraseñas únicas y seguras para cada cuenta en línea. Reutilizar contraseñas en varias cuentas puede exponer los datos de todas ellas si se descubre la contraseña. Asegúrate de que tu contraseña tenga una longitud y complejidad adecuadas, usando una combinación de letras, números y caracteres especiales. Cuando sea posible, implementa la autenticación multifactor con una aplicación o token de autenticación para que nadie pueda acceder a tu cuenta, aunque tu contraseña se vea comprometida. Nunca compartas contraseñas y evita usar información que pueda adivinarse a partir de tus perfiles en redes sociales o información pública.

• Referencia

Recomendación de la agencia:

• Criterios a considerar al seleccionar una solución de autenticación multifactor: el Centro de Recursos de Seguridad Informática del Instituto Nacional de Estándares y Tecnología actualizó recientemente sus “Pautas de identidad digital4” (SP 800-63-3). Proporciona definiciones estándar y asigna niveles de garantía para diversas soluciones de autenticación. Los criterios a continuación reflejan los requisitos del NIST para garantizar que una solución esté validada para resistir varios exploits comunes. Una solución de autenticación completa debe implementarse correctamente mediante mecanismos estándar y validados. También debe incluir autenticadores, validadores y procesos de ciclo de vida de soporte. Algunas soluciones comerciales se centran en los autenticadores y requieren que una organización gestione los validadores y los procesos de ciclo de vida. Otras soluciones comerciales validan múltiples tipos de autenticadores, gestionan mecanismos de autenticación de varios pasos y gestionan la confianza en autenticadores de diversos proveedores de identidad para respaldar múltiples servicios. Estas suelen requerir que el cliente adquiera una o más soluciones de autenticación y configure servidores para aceptar las aserciones de un servidor de autenticación que realiza federación de identidad. SP 800-63-3 también incluye criterios para la federación de identidad.

• Referencia

La CISA depende del DHS

Recomendación de la agencia:

• El presidente Biden ha hecho de la ciberseguridad, un elemento fundamental de la misión del Departamento de Seguridad Nacional (DHS), una prioridad principal para la Administración Biden-Harris en todos los niveles de gobierno.

• Para impulsar el compromiso del presidente y reflejar que fortalecer la resiliencia de la ciberseguridad del país es una prioridad principal para el DHS, el secretario Mayorkas emitió un llamado a la acción dedicado a la ciberseguridad durante su primer mes en el cargo. Este llamado a la acción se centró en abordar la amenaza inmediata del ransomware y en crear una fuerza laboral más sólida y diversa.

• En marzo de 2021, el secretario Mayorkas presentó su visión más amplia y una hoja de ruta para los esfuerzos de ciberseguridad del Departamento en un discurso virtual organizado por RSA Conference, en colaboración con Hampton University y Girl Scouts of the USA.

• Después de su presentación, el secretario conversó junto con Judith Batty, directora ejecutiva interina de Girl Scouts, en una charla informal para hablar sobre los desafíos de ciberseguridad sin precedentes que enfrenta actualmente Estados Unidos. La Dra. Chutima Boonthum-Denecke, del Departamento de Ciencias de la Computación de Hampton University, presentó al secretario y facilitó una sesión de preguntas y respuestas para cerrar el programa.

  • Descripción general de los sprints de ciberseguridad del DHS

  • Descripción general de otras prioridades continuas de ciberseguridad

  • Información adicional

• Referencia

Consejos de la agencia:

• Los delitos cometidos a través de Internet y las intrusiones cibernéticas son cada vez más sofisticados, y prevenirlos requiere que cada usuario de un dispositivo conectado esté atento y en guardia.

• Mantén los sistemas y el software actualizados e instala un programa antivirus sólido y confiable.

• Ten cuidado al conectarte a una red Wi-Fi pública y no realices transacciones sensibles, incluidas compras, cuando estés en una red pública.

• Crea una frase de contraseña segura y única para cada cuenta en línea, y cámbialas con regularidad.

• Configura la autenticación multifactor en todas las cuentas que la permitan.

• Revisa la dirección de correo electrónico en toda la correspondencia y examina cuidadosamente las URL de los sitios web antes de responder a un mensaje o visitar un sitio

• No hagas clic en nada dentro de correos electrónicos o mensajes de texto no solicitados.

• Ten cuidado con la información que compartes en perfiles en línea y cuentas de redes sociales. Compartir datos como nombres de mascotas, escuelas y familiares puede darles a los estafadores las pistas que necesitan para adivinar tus contraseñas o las respuestas a las preguntas de seguridad de tu cuenta.

• No envíes pagos a personas u organizaciones desconocidas que pidan apoyo económico e insistan en que actúes de inmediato.

• Referencia

Consejos de la agencia:

• Mantén activado tu firewall

  Un firewall ayuda a proteger tu computadora de hackers que podrían intentar acceder a ella para bloquearla, eliminar información o incluso robar contraseñas u otra información sensible. Los firewalls de software se recomiendan ampliamente para computadoras individuales. El software viene preinstalado en algunos sistemas operativos o puede comprarse para computadoras individuales. Para varias computadoras conectadas en red, los routers de hardware suelen proporcionar protección de firewall.

• Instala o actualiza tu software antivirus

  El software antivirus está diseñado para evitar que programas de software malicioso se incrusten en tu computadora. Si detecta código malicioso, como un virus o un gusano, actúa para desactivarlo o eliminarlo. Los virus pueden infectar computadoras sin que los usuarios lo sepan. La mayoría de los tipos de software antivirus se pueden configurar para actualizarse automáticamente.

• Instala o actualiza tu tecnología antispyware

  El spyware es exactamente lo que parece: software que se instala de forma encubierta en tu computadora para permitir que otros espíen tus actividades en ella. Algunos spyware recopilan información sobre ti sin tu consentimiento o generan anuncios emergentes no deseados en tu navegador web. Algunos sistemas operativos ofrecen protección gratuita contra spyware, y hay software económico disponible para descargar en Internet o comprar en tu tienda local de computación. Ten cuidado con los anuncios en Internet que ofrecen antispyware descargable; en algunos casos, estos productos pueden ser falsos y, en realidad, contener spyware u otro código malicioso. Es como comprar alimentos: compra donde confías.

• Mantén actualizado tu sistema operativo

  Los sistemas operativos de las computadoras se actualizan periódicamente para mantenerse al día con los requisitos tecnológicos y corregir vulnerabilidades de seguridad. Asegúrate de instalar las actualizaciones para que tu computadora cuente con la protección más reciente.

• Ten cuidado con lo que descargas

  Descargar archivos adjuntos de correo electrónico sin cuidado puede eludir incluso el software antivirus más vigilante. Nunca abras un archivo adjunto de correo electrónico de alguien que no conoces, y ten cuidado con los archivos adjuntos reenviados por personas que sí conoces. Es posible que hayan enviado código malicioso sin darse cuenta.

• Apaga tu computadora

  Con el crecimiento de las conexiones a Internet de alta velocidad, muchos optan por dejar sus computadoras encendidas y listas para usarse. La desventaja es que estar “siempre encendidas” las vuelve más susceptibles. Más allá de la protección del firewall, diseñada para repeler ataques no deseados, apagar la computadora corta de forma efectiva la conexión de un atacante, ya sea spyware o una botnet que utiliza los recursos de tu computadora para llegar a otros usuarios desprevenidos.

• Referencia

Consejos de la agencia:

• Tus cuentas en línea pueden contener mucha información personal. Protégelas con una contraseña segura que sea difícil de adivinar y activa la autenticación de dos factores.

• Cuando se trata de contraseñas, tienes algunas opciones:

  • Crea tu propia contraseña

  • Elige una contraseña generada automáticamente

  • Usa un administrador de contraseñas

• Crea tu propia contraseña. Si creas tu propia contraseña, hazla larga. Apunta a que tenga al menos 15 caracteres. Usa una combinación de letras mayúsculas y minúsculas, números y símbolos.

• Como una contraseña larga puede ser difícil de recordar, quizá te resulte más fácil usar una frase de contraseña. Una frase de contraseña es una serie de palabras separadas por espacios. Si usas una frase de contraseña

  • Asegúrate de que esté formada por palabras aleatorias

  • Evita usar frases comunes, letras de canciones o citas de películas que sean fáciles de adivinar para un programa de hacking

  • Elige una contraseña generada automáticamente. Los estudios muestran que las personas no son buenas para crear y recordar contraseñas seguras. Puedes hacer que tu navegador o dispositivo cree una contraseña por ti. Aquí tienes más información sobre cómo funciona:

    • Google Chrome

    • Mac

    • Microsoft Edge

    • Firefox

    • iPhone iOS

    • Android

• Usa un administrador de contraseñas. Un administrador de contraseñas de terceros también puede crear una contraseña segura. Para encontrar un administrador de contraseñas confiable, lee reseñas de expertos. Asegúrate de que la contraseña de tu administrador de contraseñas sea segura. Y protégela como proteges tus otras contraseñas.

• Las contraseñas seguras pueden ser difíciles de recordar. Pero tu navegador y dispositivo pueden guardar tu contraseña. Tu administrador de contraseñas también puede hacerlo. Y pueden completar automáticamente tu contraseña la próxima vez que inicies sesión en un sitio web o una app.

• Usa la autenticación de dos factores. Usar una contraseña segura es un paso importante para proteger tu cuenta de los hackers. Pero incluso las contraseñas seguras son vulnerables a los ciberataques. Usar autenticación de dos factores agrega una capa adicional de seguridad a tu cuenta. Un hacker que robe tu contraseña no puede iniciar sesión en tu cuenta sin el segundo factor de autenticación.

• El tipo más común de autenticación de dos factores es un código de verificación que recibes por mensaje de texto o correo electrónico. Este código de un solo uso suele tener seis dígitos o más y vence automáticamente.

• Los tipos más seguros de autenticación de dos factores son una app de autenticación o una clave de seguridad. Elige uno de estos métodos para tener más protección si tienes la opción.

• Referencia

Recomendación de la agencia:

• Asegúrate de que tu contraseña sea larga y segura. Eso significa al menos 12 caracteres. Hacer que una contraseña sea más larga suele ser la forma más fácil de hacerla más segura. Considera usar una frase de contraseña con palabras al azar para que tu contraseña sea más fácil de recordar, pero evita usar palabras o frases comunes. Si el servicio que usas no permite contraseñas largas, puedes hacer que tu contraseña sea más segura combinando letras mayúsculas y minúsculas, números y símbolos.

• No reutilices contraseñas que hayas usado en otras cuentas. Usa contraseñas diferentes para cuentas diferentes. Así, si un hacker obtiene tu contraseña de una cuenta, no podrá usarla para entrar en tus otras cuentas.

• Usa autenticación multifactor cuando sea una opción. Algunas cuentas ofrecen seguridad adicional al requerir algo además de una contraseña para iniciar sesión en tu cuenta. Esto se llama autenticación multifactor. El “algo extra” que necesitas para iniciar sesión en tu cuenta se divide en dos categorías:

  • Algo que tienes, como un código que recibes mediante una app de autenticación o una clave de seguridad.

  • Algo que eres, como un escaneo de tu huella digital, tu retina o tu rostro.

• Considera usar un administrador de contraseñas. A la mayoría de las personas les cuesta llevar el control de todas sus contraseñas. Mientras más larga y complicada sea una contraseña, más segura será, pero una contraseña más larga también puede ser más difícil de recordar. Considera guardar tus contraseñas y preguntas de seguridad en un administrador de contraseñas confiable. Para encontrar un administrador de contraseñas confiable, busca en sitios de reseñas independientes y habla con amigos y familiares sobre los que usan. Asegúrate de usar una contraseña segura para proteger la información en tu administrador de contraseñas.

• Elige preguntas de seguridad cuya respuesta solo tú conozcas. Si un sitio te pide responder preguntas de seguridad, evita dar respuestas que estén disponibles en registros públicos o que sean fáciles de encontrar en línea, como tu código postal, lugar de nacimiento o el apellido de soltera de tu madre. Y no uses preguntas con un número limitado de respuestas que los atacantes puedan adivinar fácilmente, como el color de tu primer auto. Incluso puedes usar respuestas sin sentido para que sea más difícil adivinarlas; pero si lo haces, asegúrate de poder recordar lo que usas.

• Cambia las contraseñas rápidamente si hay una filtración. Si una empresa te informa que hubo una filtración de datos en la que un hacker pudo haber obtenido tu contraseña, cambia de inmediato la contraseña que usas con esa empresa y en cualquier cuenta que use una contraseña similar.

• Referencia

Recomendación de la agencia:

• Antes, la creencia convencional era crear contraseñas usando caracteres especiales, mayúsculas, números, letras y una variedad de reglas arbitrarias, incluida la obligación de cambiar la contraseña varias veces al año. La investigación muestra que cada uno de nosotros respondió haciendo lo mismo: reutilizando contraseñas o creando variaciones de la misma contraseña porque se nos había pedido memorizar decenas de contraseñas únicas para cada sitio, inicio de sesión o aplicación.

• Nuestros instintos naturales crearon una debilidad en nuestra seguridad en línea y los ciberdelincuentes se aprovecharon. La investigación sobre el uso de contraseñas ha demostrado la debilidad inherente de esperar que los usuarios memoricen contraseñas arbitrariamente complejas, y la importancia de usar autenticación multifactor (MFA) para proteger nuestra información privada. Es importante destacar que nuestra forma de pensar sobre este tema ha evolucionado, y hemos identificado las siguientes prácticas para protegernos mejor:

  • Cuando debas usar una contraseña, usa una contraseña más larga (15 caracteres o más) o incluso frases de contraseña, ya que ofrecen mayor protección que una contraseña más corta y arbitrariamente compleja. Las frases de contraseña tienen el beneficio adicional de ser fáciles de recordar.

  • Usar MFA (como un código de un solo uso enviado por correo electrónico o una app de autenticación en tu teléfono) agrega una segunda capa crítica para protegerte contra una contraseña comprometida. MFA debe configurarse siempre que esté disponible. Solo toma unos momentos y te dará tranquilidad.

  • Los administradores de contraseñas, protegidos por una contraseña muy segura y larga con MFA habilitada, nos permiten crear contraseñas únicas para cada sitio sin tener que memorizarlas todas.

• Referencia

Recomendación de la agencia:

• Garantizar la seguridad de nuestras redes globales interconectadas, y de los dispositivos y datos conectados a esas redes, es uno de los desafíos que definen nuestra era.

• El Departamento de Comercio tiene la tarea de mejorar la concientización y las protecciones en ciberseguridad, proteger la privacidad, mantener la seguridad pública, apoyar la seguridad económica y nacional, y empoderar a los estadounidenses para gestionar mejor su seguridad en línea.

  • El NIST publica la versión 1.0 del Marco de privacidad

  • El NIST ofrece una guía de “inicio rápido” para su catálogo de salvaguardas de seguridad y privacidad

  • Rincón de ciberseguridad para pequeñas empresas

• Referencia

• Capacite a los empleados en principios de seguridad. Establezca prácticas y políticas básicas de seguridad para los empleados, como exigir contraseñas seguras y definir pautas adecuadas de uso de internet, que detallen las sanciones por infringir las políticas de ciberseguridad de la empresa. Establezca reglas de conducta que describan cómo manejar y proteger la información de los clientes y otros datos vitales.

• Exija a los empleados usar contraseñas únicas y cambiarlas cada tres meses. Considere implementar autenticación multifactor, que requiere información adicional además de una contraseña para obtener acceso. Consulte con los proveedores que manejan datos confidenciales, especialmente instituciones financieras, para ver si ofrecen autenticación multifactor para su cuenta.

• Referencia

Consejo de la agencia: 

• ¿Cuál es la principal causa de filtraciones de datos en pequeñas empresas? Los empleados y las comunicaciones relacionadas con el trabajo. Son vías directas de entrada a sus sistemas. Capacite a sus empleados en las mejores prácticas de uso de internet. Esto puede ayudar a prevenir ciberataques.  Otros temas útiles de capacitación incluyen:

  • Detectar correos electrónicos de phishing

  • Usar buenas prácticas de navegación en internet

  • Evitar descargas sospechosas

  • Habilitar herramientas de autenticación (contraseñas seguras, autenticación multifactor, etc.)

  • Proteger la información confidencial de proveedores y clientes 

• Referencia

Consejo de la agencia:

• La autenticación multifactor (MFA) es una medida de seguridad importante. Verifica la identidad de una persona al requerir algo más que un nombre de usuario y una contraseña solamente. La MFA puede requerir que los usuarios proporcionen dos o más de los siguientes elementos:  

  • Algo que el usuario sabe (contraseña, frase, PIN)  

  • Algo que el usuario tiene (token físico, teléfono)  

  • Algo que identifica físicamente al usuario (huella digital, reconocimiento facial)  

• Consulte con sus proveedores para ver si ofrecen MFA para alguna de sus cuentas (por ejemplo, financieras, contables, de nómina). 

• Referencia

En julio de 2023, la SEC “adoptó normas finales que exigirán a las empresas públicas divulgar tanto los incidentes de ciberseguridad importantes que experimenten como, de forma anual, información importante sobre su gestión de riesgos, estrategia y gobernanza en ciberseguridad”. Dado el rol de la SEC en la aplicación del cumplimiento de ciberseguridad, parece prudente evaluar las propias recomendaciones de la SEC sobre seguridad de contraseñas.

Una búsqueda de “seguridad de contraseñas” en el sitio web SEC.gov muestra 10 documentos, todos aparentemente de hace años. Hay una página dedicada a la ciberseguridad, pero ofrece recomendaciones bastante generales reutilizadas de CISA. Una alerta de riesgo de ciberseguridad de 2020 titulada “Ciberseguridad: protección de cuentas de clientes contra el compromiso de credenciales” lleva a un PDF que analiza el relleno de credenciales. Aunque la palabra “contraseña” se usa en todo el documento, la “seguridad de contraseñas” no se menciona de forma explícita. Las “contraseñas seguras” se mencionan en el siguiente contexto:

Recomendación de la agencia:

• Mientras las empresas se preparan para los ataques de relleno de credenciales, el personal de la OCIE alienta a las empresas a considerar sus prácticas actuales (por ejemplo, MFA y otras prácticas descritas anteriormente) y cualquier posible limitación de esas prácticas, así como a considerar si los clientes y el personal de la empresa están debidamente informados sobre cómo pueden proteger mejor sus cuentas. Clientes informados: la mayoría de las empresas exige a clientes y personal crear y usar contraseñas seguras. Sin embargo, el uso de contraseñas es menos eficaz si los clientes o el personal reutilizan contraseñas de otros sitios. Para ser más eficaces, algunas empresas han informado y alentado a clientes y personal a crear contraseñas seguras y únicas, y a cambiar sus contraseñas si hay indicios de que han sido comprometidas.

• Referencia

Esta sección se actualizó en enero de 2025 y se actualizará para reflejar las nuevas políticas de la administración a medida que estén disponibles.

Recomendación de la agencia:

• "Exhorto al pueblo, las empresas y las instituciones de Estados Unidos a reconocer la importancia de la ciberseguridad y actuar en consecuencia, y a observar el Mes de Concientización sobre Ciberseguridad en apoyo de nuestra seguridad y resiliencia nacionales. También exhorto a las empresas e instituciones a tomar medidas para proteger mejor al pueblo estadounidense contra las amenazas cibernéticas y crear nuevas oportunidades para que los trabajadores estadounidenses accedan a empleos cibernéticos bien remunerados. Los estadounidenses también pueden tomar medidas inmediatas para protegerse mejor, como activar la autenticación multifactor, actualizar el software en computadoras y dispositivos, usar contraseñas seguras y tener cuidado al hacer clic en enlaces que parezcan sospechosos."

• Referencia

Recomendación de la agencia:

• Las agencias deberán garantizar que los sitios web que requieran que el público se autentique sean compatibles con administradores de contraseñas de uso común y no deberán impedir el “pegado” de contraseñas ni otros mecanismos de asistencia automatizados del lado del cliente.

• Referencia

Recomendación de la agencia:

• “Necesitas más que una contraseña para mantenerte seguro en línea, y ahí es donde entra en juego la autenticación multifactor para garantizar que tus datos estén mejor protegidos contra actores cibernéticos maliciosos”, dijo Brandon Wales, director ejecutivo de CISA. “CISA ha instado constantemente a las organizaciones a implementar MFA para todos los usuarios, a fin de garantizar que cualquier dato crítico sea más difícil de acceder. El simposio de hoy trata de reunirnos para definir la visión que todos nos esforzamos por convertir en realidad”.

• Referencia

La administración Biden-Harris anuncia un programa de etiquetado de ciberseguridad para dispositivos inteligentes a fin de proteger a los consumidores estadounidenses

Recomendación de la agencia

• Actuando bajo su autoridad para regular los dispositivos de comunicación inalámbrica, se espera que la FCC solicite comentarios públicos sobre la implementación del programa voluntario de etiquetado de ciberseguridad propuesto, que se espera esté en funcionamiento en 2024. Según la propuesta, el programa aprovecharía esfuerzos liderados por partes interesadas para certificar y etiquetar productos con base en criterios específicos de ciberseguridad publicados por el Instituto Nacional de Estándares y Tecnología (NIST) que, por ejemplo, exigen contraseñas predeterminadas únicas y seguras, protección de datos, actualizaciones de software y capacidades de detección de incidentes.

• Referencia

Hay muchas medidas que puedes tomar para mantenerte seguro en línea, pero la acción más sencilla con el impacto más significativo e inmediato en tu seguridad es usar un administrador de contraseñas. Elige un administrador de contraseñas multiplataforma con cifrado de extremo a extremo de conocimiento cero que pueda generar y almacenar una cantidad ilimitada de contraseñas únicas y seguras. Puedes empezar a usar Bitwarden con una cuenta gratuita u optar por Premium por menos de USD 10 al año para obtener funciones avanzadas.

• Ver la Presentación sobre el estado de la seguridad de contraseñas