IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Contáctanos
Ciberseguridad & Cumplimiento

Generador de Política de Contraseñas

Genera el texto de tu política de contraseñas y su configuración técnica (Active Directory, Linux, Azure AD/Entra ID) alineada a NIST 800-63B, o valida una política que ya tienes. Cálculo local, sin registro.

Intermedio Actualizada junio 2026 100% del lado del cliente
Requisitos de la contraseña

NIST 800-63B exige un mínimo de 8 y recomienda 12+ caracteres.

Vigencia, historial y bloqueo

NIST recomienda cambiar solo ante evidencia de compromiso, no por calendario.

Número de contraseñas anteriores que no se pueden repetir.

Controles adicionales y plataforma
Alineación con NIST 800-63B
Puntaje de alineación
Texto de política (reglamento)
Configuración técnica —

            
Requisitos de la contraseña
Vigencia, historial y bloqueo
Controles adicionales
Resultado del análisis

¿Qué hace una buena política de contraseñas hoy en día?

Durante años, las políticas de contraseñas se enfocaron en exigir combinaciones forzadas de mayúsculas, números y símbolos, y en obligar a cambiarlas cada 60 o 90 días. La guía actual de NIST (SP 800-63B) cambió ese enfoque: encontró que esas reglas a menudo producen contraseñas más predecibles y peor experiencia de usuario, sin mejorar realmente la seguridad.

El enfoque moderno prioriza tres cosas: longitud (más importante que la composición forzada), verificación contra listas de contraseñas filtradas o comunes, y autenticación multifactor como segunda capa de defensa — en vez de depender solo de qué tan "compleja" se ve una contraseña.

Expiración forzada: el cambio más contraintuitivo

Obligar a cambiar la contraseña cada cierto tiempo, sin evidencia de que fue comprometida, suele generar cambios mínimos predecibles (ej. "Enero2026!" → "Febrero2026!"). NIST recomienda exigir el cambio solo ante un incidente de seguridad conocido, compensando con monitoreo de brechas y MFA.

Recomendaciones generales


Preguntas frecuentes

¿Por qué NIST ya no recomienda forzar la expiración periódica de contraseñas?
La guía NIST SP 800-63B (desde 2017) encontró que la expiración forzada frecuente lleva a los usuarios a elegir contraseñas más débiles o a hacer cambios mínimos predecibles. En su lugar, recomienda exigir el cambio solo cuando hay evidencia de compromiso, y compensar con longitud mínima alta, autenticación multifactor y monitoreo de brechas.
¿Qué longitud mínima de contraseña se recomienda hoy?
NIST exige un mínimo absoluto de 8 caracteres, pero recomienda permitir y fomentar contraseñas de 12 a 64 caracteres o más. La longitud es el factor que más aumenta la resistencia a ataques de fuerza bruta, más que exigir combinaciones forzadas de mayúsculas, números y símbolos.
¿Las reglas de complejidad (mayúsculas, números, símbolos) ya no sirven?
Siguen siendo válidas, pero ya no son la prioridad. Las guías modernas priorizan longitud y verificación contra listas de contraseñas filtradas/comunes por encima de reglas de composición forzada, que a menudo solo generan patrones predecibles.
¿Qué es el bloqueo de cuenta (account lockout) y por qué es importante?
Es un mecanismo que bloquea temporalmente una cuenta tras varios intentos fallidos de inicio de sesión, mitigando ataques de fuerza bruta y diccionario. Un umbral común es de 5 a 10 intentos con un bloqueo de 15 a 30 minutos.
¿Esta herramienta sustituye una revisión legal o de cumplimiento de mi política de contraseñas?
No. El texto y la validación generados son un punto de partida basado en buenas prácticas técnicas (NIST 800-63B). Para cumplimiento normativo específico (ISO 27001, PCI DSS, regulaciones locales) recomendamos validar con tu equipo legal y de seguridad.
¿Cómo funciona el validador de política existente?
Analiza el texto que pegas buscando palabras clave y valores numéricos relacionados con longitud mínima, expiración, historial, bloqueo de cuenta, MFA y detección de contraseñas comprometidas, y compara lo encontrado contra la guía NIST 800-63B. Es un análisis heurístico de texto libre, no una revisión exhaustiva.
¿Mis datos (la política que genero o pego) se envían a algún servidor?
No. Todo el cálculo y análisis ocurre en tu navegador con JavaScript. IT Experts no recibe, almacena ni puede ver el contenido de la política generada o pegada.

¿Necesitas implementar o auditar tu política de contraseñas?

El equipo de IT Experts puede ayudarte a diseñar, implementar y auditar tus controles de identidad y acceso, incluyendo MFA, gestión de contraseñas y cumplimiento normativo.

Hablar con un especialista

Herramientas relacionadas

Otras herramientas gratuitas de IT Experts