¿Por qué ya no se recomienda cambiar la contraseña con regularidad?

Porque la rotación forzada resulta contraproducente en la práctica. Cuando se obliga a la gente a cambiar de contraseña a menudo, elige contraseñas más débiles, sigue patrones predecibles (Primavera2026, luego Verano2026) y reutiliza variaciones entre sitios. NIST retiró su consejo de rotación rutinaria en 2017 precisamente por esto. Una sola contraseña fuerte y única que conservas es más segura que una serie de contraseñas débiles que te obligan a inventar cada pocas semanas.

¿Qué debería hacer en lugar de cambiar las contraseñas a menudo?

Tres cosas. Usa una contraseña larga y única para cada cuenta: un gestor de contraseñas las genera y las recuerda, así nunca reutilizas ninguna. Activa la autenticación de doble factor, que bloquea por sí sola una contraseña robada. Y vigila las filtraciones, para saber con exactitud cuándo una contraseña concreta necesita cambiarse de verdad. Esa combinación te protege mucho mejor que rotar contraseñas según el calendario.

¿Con qué frecuencia deberías cambiar la contraseña? (Guía 2026)

Q: ¿Con qué frecuencia deberías cambiar la contraseña?

En la mayoría de las cuentas, no deberías cambiar una contraseña fuerte y única según un calendario fijo. Las guías modernas de organismos como NIST dicen que solo conviene cambiar una contraseña cuando hay un motivo: una filtración conocida, una contraseña compartida o débil, o señales de que alguien tiene acceso. Una contraseña fuerte y única protegida con autenticación de doble factor no necesita rotación rutinaria. Cambiarla cada 30 o 90 días sin motivo suele empeorar la seguridad, no mejorarla.

Q: ¿Cuándo deberías cambiar de verdad una contraseña?

Cambia una contraseña de inmediato si: el servicio anuncia una filtración de datos; descubres que la contraseña es débil, reutilizada o compartida; ves inicios de sesión o actividad que no reconoces; la introdujiste en un sitio de phishing o en un dispositivo que no es de confianza; o se la enviaste a alguien alguna vez. En esos casos, cámbiala enseguida y activa la autenticación de doble factor. Fuera de un detonante real como estos, una contraseña fuerte y única no necesita un cambio rutinario.

Si tu departamento de informática o una vieja costumbre te dice que cambies cada contraseña cada 90 días, la respuesta moderna quizá te sorprenda: en la mayoría de las cuentas, no lo hagas. Las guías de seguridad han cambiado. Esta guía explica con qué frecuencia deberías cambiar de verdad una contraseña, por qué se descartó la rotación forzada y qué hacer en su lugar.

La respuesta breve

No cambies una contraseña fuerte y única según un calendario fijo. Cámbiala solo cuando haya un motivo real. Ese es el consenso actual de los organismos de seguridad, entre ellos NIST, que retiró el consejo de rotación rutinaria allá por 2017. Una contraseña fuerte que conservas, protegida con autenticación de doble factor, vale más que una serie de contraseñas débiles que te obligan a reinventar.

Por qué "cambiarla cada 90 días" es contraproducente

La vieja regla sonaba prudente, pero en la práctica empeoraba las cosas. Cuando se obliga a la gente a cambiar de contraseña a menudo, no inventa contraseñas nuevas y fuertes. Hace pequeños ajustes predecibles — Primavera2026! se convierte en Verano2026! — y reutiliza patrones entre cuentas. El resultado son contraseñas más débiles y fáciles de adivinar, y más reutilización, que es justo con lo que cuentan los atacantes.

Un reloj de arena con la arena cayendo, sobre un fondo azul

Cuándo deberías cambiar de verdad una contraseña

La rotación debe activarse por eventos, no por el calendario. Cambia una contraseña enseguida si:

El servicio anuncia una filtración de datos o encuentras tu cuenta en una.
La contraseña es débil, reutilizada o compartida con alguien.
Notas inicios de sesión que no reconoces o actividad en la cuenta.
La escribiste en un sitio de phishing o en un dispositivo que no es de confianza.
Se la enviaste alguna vez a alguien, incluso a ti, por chat o correo.

En cualquiera de esos casos, cámbiala de inmediato y activa la autenticación de doble factor.

Genera una contraseña única para cada cuenta — BitwardenGestor de contraseñas de código abierto y auditado que crea y recuerda contraseñas fuertes y únicas para que nunca las reutilices ni las rotes a mano→

Qué hacer en su lugar

Cambiar por rutina es la costumbre equivocada. Estas tres son las correctas:

Usa una contraseña única para cada cuenta. Un gestor de contraseñas genera y guarda contraseñas largas y aleatorias para que nunca reutilices ni olvides ninguna.
Activa la autenticación de doble factor. Bloquea por sí sola una contraseña robada, lo que importa mucho más que la frecuencia con la que la rotas.
Vigila las filtraciones. Así sabes con exactitud cuándo una contraseña concreta necesita cambiarse de verdad, en lugar de adivinar según un calendario.

En resumen

La respuesta honesta y actual a "¿con qué frecuencia debería cambiar la contraseña?" es: no según un calendario, solo cuando ocurre algo. La rotación forzada tenía buenas intenciones, pero empujaba a la gente hacia contraseñas más débiles y repetidas. Cambia esa costumbre por contraseñas fuertes y únicas, un gestor que las guarde y autenticación de doble factor. Eso es lo que de verdad mantiene seguras las cuentas en 2026.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Probar NordPass30 días de garantía de reembolso · Plan gratis disponible→