# Políticas de Credenciales

**1. AUTENTICACIÓN**

**a) Intentos de Inicio de Sesión y Bloqueo:** Se permiten un máximo de 5 intentos fallidos antes de bloquear temporalmente la cuenta del usuario. En caso de bloqueo, el usuario debe pasar por el proceso de recuperación de contraseña para restablecer el acceso.

**b) Política de Contraseñas Seguras:**\
\- Las contraseñas deben tener un mínimo de 8 caracteres e incluir mayúsculas, minúsculas, números y al menos uno de los siguientes símbolos: .\_-\*$#%&?!.\
-El historial de contraseñas debe almacenar las últimas 10 contraseñas del usuario, evitando que se reutilicen.\
-Los usuarios serán obligados a cambiar su contraseña cada 3 meses. Si un usuario no cambia su contraseña durante ese periodo, el sistema forzará el cambio en su próximo inicio de sesión.\
-En el proceso de cambio de contraseña, se debe solicitar al usuario su contraseña anterior, junto con la nueva contraseña y su confirmación.

**c)Autenticación Multifactor (MFA):** Para usuarios internos con acceso a áreas críticas o información confidencial, se debe utilizar autenticación multifactor (MFA), agregando una capa adicional de seguridad ante ataques de suplantación de identidad.

 

**2.GESTIÓN DE SESIONES:**

**a) Duración de las Sesiones**: Las sesiones deben expirar tras un periodo de inactividad, por ejemplo, entre 15 y 30 minutos. Tras la expiración, se debe forzar al usuario a iniciar sesión nuevamente.