Durante 2025, el NIST actualizó su marco de referencia para la administración de identidades digitales y autenticación, específicamente a través de la publicación NIST SP 800-63B, un documento que hoy funciona como guía para empresas tecnológicas, bancos y plataformas globales como IBM, Amazon o Microsoft. El cambio no es menor: redefine cómo deben crearse, administrarse y protegerse las contraseñas.
Uno de los puntos centrales es la longitud. Según Gaspar, el NIST recomienda contraseñas robustas de al menos 12 caracteres, siendo ideal llegar a 15 o más, priorizando combinaciones largas y aleatorias antes que fórmulas complejas difíciles de recordar. Esta lógica surge tras años de análisis del comportamiento real de los usuarios, que tendían a reutilizar contraseñas o hacer modificaciones mínimas cada vez que se les exigía un cambio.
Otro quiebre importante con el pasado es la eliminación de los cambios periódicos obligatorios. La norma establece que no es necesario cambiar la contraseña si no existe un incidente de seguridad declarado, como una filtración o un evento confirmado por el proveedor del servicio. Forzar cambios frecuentes, lejos de mejorar la seguridad, llevó históricamente a malas prácticas previsibles y fáciles de vulnerar.
El nuevo enfoque se apoya fuertemente en la autenticación multifactor. La contraseña deja de ser el único elemento de protección y se combina con otros factores, como códigos temporales, aplicaciones autenticadoras o biometría. Gaspar subraya que primero debe existir una contraseña fuerte, y luego sumar uno o más factores adicionales para elevar el nivel de protección.
En este esquema cobra especial relevancia el uso de gestores de contraseñas o “llaveros digitales”. Herramientas como Bitwarden, Microsoft Authenticator, Google Authenticator o Authy permiten generar y almacenar contraseñas únicas y complejas para cada cuenta, protegidas por una única contraseña maestra con múltiples factores de autenticación. Pretender memorizar decenas de claves distintas, señala Gaspar, ya no es realista.
La recomendación también incluye evitar reutilizar contraseñas entre servicios y abandonar definitivamente las preguntas de seguridad, un método considerado débil y fácilmente explotable. Muchas de esas respuestas pueden encontrarse en redes sociales o bases de datos públicas, lo que las vuelve ineficaces como barrera de protección.
El estándar NIST, ampliamente adoptado a nivel internacional, propone así un cambio cultural en la gestión de la identidad digital: menos fricción innecesaria para el usuario, pero mayor robustez técnica. En un escenario de crecientes amenazas, la seguridad deja de depender de la memoria y pasa a apoyarse en herramientas, estándares y buenas prácticas consolidadas.