¿Está más seguro su ordenador si cambia la contraseña a menudo?

�Cómo se las arregla Prior para recordar sus contraseñas mientras cumple sus funciones de supervisora de pruebas farmacológicas? Pues muy fácil: las tiene escritas en un papel azul pegado a su computadora.

Prior sabe que esto puede poner en peligro la misma seguridad que se supone las contraseñas fomentan. "La gente de informática me grita", dice. Pero ella prefiere una reprimenda ocasional a la alternativa de olvidar una contraseña, fallar tres veces al tratar de adivinarla y tener que pedir ayuda.

Los expertos en seguridad recomiendan desde hace mucho tiempo que los usuarios de computadoras usen contraseñas difíciles de descifrar y que las cambien con frecuencia para frustrar a los piratas informáticos.

Ahora los auditores y asesores instan a las compañías a que obliguen a sus empleados a escoger contraseñas más complicadas y las cambien más a menudo para mostrar que han adoptado controles internos.

Pero el afán de lograr sistemas de computadoras impenetrables choca con las limitaciones de los sistemas humanos. Para hacer frente a los cambios constantes de contraseñas, muchos usuarios adoptan estrategias que perjudican la seguridad.

Unas tres cuartas partes de los usuarios de computadoras memorizan sus contraseñas, según un estudio realizado por Symantec Corp.

Pero memorizar varias contraseñas completamente nuevas es algo abrumador, así que algunos empleados sólo hacen cambios triviales a sus viejas claves, como añadirle el número "1", por ejemplo. Esa táctica, dicen los expertos, no hace que una contraseña nueva sea más difícil de descifrar que la anterior.

Como consecuencia, algunos expertos advierten que los cambios frecuentes de contraseñas van conducir a otras amenazas para la seguridad, potencialmente mayores.

"No es sensato obligar a la gente a crear una contraseña singular cada seis meses. Es una invitación al desastre", dice Allen Gwinn, director de tecnología en la Cox School of Business, de Southern Methodist University, que ha dado charlas sobre temas de seguridad. "Es mejor tener una contraseña de hace dos años que alguien pueda recordar que una contraseña que se acaba de cambiar, que se ha escrito y que alguien puede encontrar", dice Gwinn.

Gwinn guarda sus contraseñas en una agenda electrónica con teléfono celular, protegida por un programa de codificación que él mismo creó. Pero incluso algunas empresas de seguridad informática no exigen a sus empleados que cambien periódicamente sus contraseñas.

En Fortinet Inc., una firma de California que fabrica aparatos que bloquean virus y correo basura de las redes corporativas, los empleados deben usar contraseñas difíciles de descifrar.

El grupo de seguridad interna las somete a pruebas e insta a los trabajadores cuyas contraseñas no las pasan a cambiarlas. Pero "no hacemos los cambios exigidos", dice Philip Kwan, director de manejo de producto.

Antes de trabajar en Fortinet, Kwan pasó 15 años trabajando en tres empresas de Silicon Valley. Allí vio cómo la naturaleza humana acababa por derrotar a los sistemas de seguridad mejor intencionados.

Cuando le tocaba usar la computadora de alguien que estaba ausente, Kwan tomaba el teclado y era bastante probable que la contraseña estuviera escrita debajo.

"Encontramos muchas contraseñas extrañas por todas partes", dice.

Grandes firmas de auditoría como Deloitte & Touche USA recomiendan que las compañías obliguen a los empleados a cambiar contraseñas al menos cada tres meses, y más a menudo si el proceso puede automatizarse.

Algunos expertos en seguridad creen que las recomendaciones no son lo suficientemente severas. "Todas las contraseñas pueden descifrarse en 45 ó 60 días", señala Carl Herberger, director de servicios de seguridad de la información para SunGard Availability Services.

Herberger recomienda que las compañías obliguen a los empleados a cambiar las contraseñas una vez al mes.

La idea enloquece a algunos usuarios de computadoras.

"¿Quién tiene memoria para recordarlas todas?" se pregunta Alex Ramsey, presidente ejecutivo de LodeStar Universal, firma de asesoría de gestión con diez empleados. Ramsey guarda las alrededor de 75 contraseñas en un archivo de computadora, llamado "Contraseña". Como copia de respaldo, lo imprimió y lo esconde debajo de su teclado.

Candace Jenny, ingeniera de Silicon Valley, adoptó una táctica parecida. Hace poco dejó un trabajo en el que necesitaba 10 contraseñas; varias de ellas requerían caracteres que no fueran ni numéricos ni letras, como #, ^ o *, y que se cambiaran una vez al mes.

"Acabé por hacer una lista, que es precisamente lo que no quieren que uno haga", dice Jenny, que ahora trabaja en otra empresa. Guardó la lista en su computadora y en un cuaderno que tiene en un archivador que no cierra con llave. Pero Jenny comprende el riesgo. Una vez se escribe una contraseña, dice, "es más probable que uno no tenga cuidado con ella".