CISET. Centro de Innovación
  • Inicio
  • Servicios Informáticos
      • Mantenimiento Informático
      • Backup
      • Formación Tecnológica
      • Servicios Informáticos
  • Soluciones
      • Catálogo de Soluciones TI
      • Venta Informatica - SW y HW
      • Renting tecnológico e informático
      • Software ERP
      • Software RRHH
      • Inventario de Activos TI
  • Cloud
      • Catálogo de servicios cloud
      • Microsoft 365
      • Acronis Cyber Protect Cloud
      • Google Apps
      • Centralita virtual
  • Ciberseguridad
      • Seguridad Informática
      • Antivirus y Antispam
  • Soporte
  • ¿Quíenes somos?
  • Contacto

¿Desde cuando no cambias tus contraseñas? ¿Debería cambiar de contraseña cada 90 días?

07 Enero 2026
Última actualización: 15 Enero 2026

Cambiar tus contraseñas de manera regular es importante, pero la recomendación de hacerlo cada 90 días ha cambiado con el tiempo y puede ser contraproducente.

Tabla de contenidos

Tabla de contenidos

  1. ¿Debería cambiar sus contraseñas cada 90 días?
  2. Por qué no cambiar sus contraseñas con demasiada frecuencia
    1. 1. Uso de contraseñas menos seguras
    2. 2. Reutilización de contraseñas
    3. 3. Olvidar contraseñas
  3. Cuándo es necesario cambiar las contraseñas
  4. Mejores prácticas para cambiar sus contraseñas
    1. 1. No reutilice contraseñas
    2. 2. Evite modificaciones mínimas en las contrseñas
    3. 3. Use frases de contraseña

¿Debería cambiar sus contraseñas cada 90 días?

Cambio de contraseña cada 90 díasLa idea de cambiar contraseñas de forma regular se conoce como rotación de contraseñas. Tradicionalmente, se creía que actualizar las contraseñas cada 90 días ayudaba a proteger la información privada frente a accesos no autorizados. Sin embargo, en la práctica, esta estrategia puede ser contraproducente, especialmente para cuentas personales.

Para la mayoría de los usuarios, activar la autenticación multifactor (MFA) ofrece mayor seguridad que cambiar contraseñas de manera rutinaria.

Los cambios frecuentes pueden llevar a utilizar contraseñas más débiles o reutilizar credenciales antiguas, mientras que la MFA agrega una capa adicional de protección frente a accesos no autorizados.

En entornos corporativos, especialmente para cuentas y sistemas privilegiados, la rotación de contraseñas sigue siendo recomendable. Sin embargo, lo ideal es automatizar este proceso, garantizando contraseñas fuertes y únicas sin consumir recursos manuales.

Por qué no cambiar sus contraseñas con demasiada frecuencia

1. Uso de contraseñas menos seguras

Cambiar las contraseñas con frecuencia puede llevar a elegir combinaciones fáciles de recordar, pero predecibles, como nombres de mascotas, fechas importantes o comidas favoritas.

Ejemplos: Bella01 / Quesadilla4 / John1997

Estos patrones son fácilmente detectables por cibercriminales mediante técnicas de ingeniería social o análisis de redes sociales.

2. Reutilización de contraseñas

Reutilizar contraseñas ligeramente modificadas es un error común:

Bella01 → Bella02 → Bella03

Quesadilla4 → Quesadilla5 → Quesadilla6

Si un atacante obtiene acceso a una cuenta, podría adivinar rápidamente las demás cuentas que compartan credenciales similares.

3. Olvidar contraseñas

Cambiar contraseñas constantemente aumenta la probabilidad de olvidarlas. Aunque las funciones de “¿Olvidó su contraseña?” son útiles, el hábito puede fomentar el uso de contraseñas poco seguras.

Cuándo es necesario cambiar las contraseñas

  • Cuando hay violación de datos: Si una cuenta se ve comprometida por un incidente de seguridad, cambie su contraseña inmediatamente.
  • Si sospecha de acceso no autorizado: Correos de alerta o solicitudes de cambio de contraseña son señales de posibles intentos de intrusión.
  • Si su dispositivo ha sido infectado con malware: Cambie las contraseñas tras eliminar el virus para proteger sus datos.
  • Cuentas hackeadas: Si reutiliza contraseñas y una cuenta es vulnerada, cambie las credenciales en todas las cuentas afectadas.

Mejores prácticas para cambiar sus contraseñas

1. No reutilice contraseñas

Cada cuenta debe tener contraseñas únicas, especialmente para servicios críticos como banca, correo electrónico y plataformas laborales.

2. Evite modificaciones mínimas en las contrseñas

Cambiar solo un carácter o agregar un número al final no garantiza seguridad: Incorrecto: Password → Password1 → Password1!

3. Use frases de contraseña

Las frases largas y aleatorias son más seguras y fáciles de recordar. Ejemplos: Martes-montaña-Cerca5-multa!

4. No utilice un generador de contraseñas online

En la medida de lo posible no utilice plataformas online de generación de contraseña automáticamente, no sabemos que hay detras y si se guardan en alguna base de datos. Desconfíe y genere sus propias contraseña o frases.

Conclusión: Cambiar contraseñas cada 90 días ya no es la mejor práctica para la mayoría de usuarios. La seguridad moderna se basa en contraseñas largas y únicas, autenticación multifactor y el uso de gestores de contraseñas para garantizar protección y productividad. Las organizaciones deben combinar estas estrategias con rotación automatizada para cuentas críticas y políticas de seguridad claras, evitando riesgos y facilitando la gestión de credenciales de manera eficiente.

Artículos relacionados

  • WannaCry ransomware: Cómo funciona y cómo protegerse
  • Mantenimiento informático, más que un gasto, una inversión
  • HeartBleed: fallo de seguridad en OpenSSL
  • Hardening
  • ESET Protect
  • Ingeniería social, técnica favorita para los ciberdelincuentes
  • Shadow AI: riesgos del uso no autorizado de IA en empresas
  • ¿Conoces las consecuencias que supondría un ataque informático a una empresa?
  • Sophos es número 1 en Protección Endpoint por SE Labs
  • Ransomware, el método de ciberataque más utilizado en 2021
  • Sophos, líder en cuadrante mágico de Gartner
  • Buenas prácticas para prevenir el Ransomware
  • Spamming - envío masivo de correos basura
  • Ataque por Bonet: Cómo evitarlo
  • CISET distribuidor oficial de Netskope
  • Precauciones a tener en cuenta en la venta o reutilización de dispositivos
  • ¿Cómo evitar ataques de phishing en las notificaciones electrónicas?
  • Gestores de contraseñas online
  • Actualización de seguridad crítica para SAP
  • ¿Qué es la verificación en dos pasos y por qué debería importarte?

Publicaciones destacadas

El FBI desmantela una red de phishing con IA y más de un millón de URL

El FBI, Google y varios operadores frenan una red de phishing con IA que usaba kits y SMS para suplantar marcas y robar datos financieros.

WordPress lento: cuando sobran demasiados plugins

Una instalación de WordPress con más de 40 plugins dejó de ser manejable. La solución fue ordenar, consolidar y mantener solo lo esencial.

PhantomRPC: La vulnerabilidad silenciosa de Windows que otorga control total

Un descubrimiento de seguridad realizado por Kaspersky arroja luz sobre una vulnerabilidad estructural en el corazón de Windows, denominada PhantomRPC.
Ofertas y promociones
  • Microsoft 365
  • Firewalls
  • Sistemas Backup Online
Hoy hablamos de:
  • Centralita virtual
  • Gestión de vulnerabilidades y parches
  • Asesorías de empresas
Localización y contacto
CISET. Centro de Innovación
Calle Margarita Salas 16, 28919
Leganés, Madrid - ESPAÑA
Parque Tecnológico LEGATEC
Microsoft Partner
CISET empresa registrada en el catálogo de soluciones de ciberseguridad de INCIBE
CISET. Centro de Innovación © 2026. Todos los derechos reservados | Inicio | Política de Seguridad de la Información | Aviso legal | política de privacidad | política de cookies