Las contraseñas son la primera línea de defensa digital. Sin embargo, también son uno de los principales puntos de entrada para ataques y robos de datos. Entre filtraciones masivas, reutilización de credenciales y nuevas tecnologías, su papel está más cuestionado que nunca. Pero, ¿es posible acabar con ellas?
El origen de las contraseñas
El primer sistema operativo conocido que utilizó contraseñas fue el Compatible Time-Sharing (CTSS), en el Massachusetts Institute of Technology a principios de la década de 1960.
Hasta entonces, los ordenadores no estaban pensados para ser compartidos. Eran máquinas enormes diseñadas para que un único usuario las operara en cada sesión. El CTSS cambió las reglas del juego e introdujo el concepto de tiempo compartido. Permitiendo a múltiples usuarios acceder simultáneamente al mismo sistema desde distintos terminales. Toda una revolución que requería un control de acceso para evitar, precisamente, que cualquiera pudiera ver, modificar o borrar archivos de los demás.
La solución fue sencilla: asignar a cada usuario un identificador y una contraseña. Una fórmula fácil y funcional que marcó, también, el nacimiento del modelo de autenticación que, más de medio siglo después, seguimos usando.
Pero, como en todo, hecha la ley, hecha la trampa. Y el mismo sistema que dio origen a las contraseñas también protagonizó uno de los primeros incidentes de seguridad documentados. En un fallo operativo, el sistema imprimió accidentalmente un archivo que contenía las credenciales de los usuarios en texto plano. Y, durante un breve periodo, cualquiera con acceso a esa impresión pudo consultar las contraseñas de los otros.
“Hoy este error puede parecer trivial si lo comparamos con los sofisticados ataques, el malware o los exploits actuales”. Explica Hervé Lambert, Global Consumer Operation Manager de Panda Security. “Pero ilustra perfectamente un problema que sigue vigente: cómo se implementa y se gestiona la tecnología”.
Por qué las contraseñas siguen siendo el punto débil de la seguridad
Las contraseñas son una de las piezas centrales de nuestra vida digital. “Las utilizamos para nuestros correos electrónicos, para nuestro perfil de banca online, para las redes sociales, etcétera”. Enumera Lambert. Es el método de autenticación más extendido, pero también uno de los principales puntos de entrada para los ciberdelincuentes.
Según el Data Breach Investigations Report 2024 de Verizon, el uso de credenciales robadas fue la acción criminal más frecuente en las brechas analizadas, presente en el 24% de los casos. Y las brechas asociadas a este tipo de acceso fueron las que más tardaron en identificarse y contenerse, con una media de 292 días, según el informe de IBM, Cost of a Data Breach Report 2024.
Hoy una persona media gestiona entre 70 y 100 contraseñas en su día a día digital. En entornos más digitalizados o profesionales esta cifra puede elevarse hasta las 120 cuentas. Y la tendencia va en aumento. “Este volumen hace prácticamente imposible que un usuario pueda recordar contraseñas únicas y sólidas para cada servicio, y acabe reutilizándolas en varias cuentas”. Advierte Lambert. “Y ahí es donde empiezan los problemas, porque si una contraseña se ve comprometida, ya sea por una brecha de datos o por un ataque de phishing, puede abrir la puerta a toda la vida digital del usuario”. Es el principio en el que se basa el credential stuffing, uno de los ataques más eficaces hoy en día, en el que se prueban automáticamente passwords robados en diferentes plataformas hasta dar con los accesos válidos.
Para frenar este tipo de amenazas existen barreras defensivas. “Como el MFA o autenticación multifactor, que se ha convertido en una de las mejores herramientas contra el credential stuffing. El rate limiting, que limita intentos de inicio de sesión por IP, dispositivo o patrón de comportamiento. La detección de bots y reputación de IP porque el credential stuffing suele automatizarse con bots. el bloqueo de contraseñas filtradas, el CAPTCHA adaptativo. Y, la monitorización de anomalías”. Enumera el experto de Panda Security.
Entonces… ¿ya no hacen falta contraseñas?
Además, “ya existen formas de proteger el acceso sin contraseñas”, apunta Lambert. “Pero eso no significa que las contraseñas hayan desaparecido ni que se pueda prescindir de ellas en todos los casos”, puntualiza.
Tecnologías como las passkeys permiten autenticarse sin necesidad de recordar una clave. “Utilizando criptografía y dispositivos de confianza”, explica el directivo de Panda Security. Este avance resuelve, sobre el papel, muchos de los problemas históricos de las contraseñas. “Como la reutilización, el riesgo de phishing”, y mejoran la experiencia de usuario. Sin embargo, miles de servicios siguen dependiendo de credenciales como único método de acceso. “Sistemas heredados, plataformas que aún no han adoptado nuevos estándares y entornos corporativos complejos hacen que la transición hacia un modelo sin contraseña sea progresiva”.
A esto se le suma la interoperabilidad y la recuperación de cuentas.”Incluso en entornos donde las passkeys ya están disponibles, siguen existiendo mecanismos de respaldo que, en muchos casos, vuelven a depender de una contraseña o de procesos similares”, recuerda Lambert.
Por eso, la pregunta no es tanto si las contraseñas van a desaparecer, sino cuándo dejarán de ser el método predominante.
“Las contraseñas siguen siendo necesarias porque siguen siendo la primera línea de defensa en la mayoría de servicios digitales”, concluye Lambert. “El reto no es eliminarlas de un día para otro, sino usarlas correctamente y combinarlas con medidas adicionales de seguridad”.
Cómo diseñar una contraseña robusta
Y para ello, lo primero es aprender a diseñarlas.
Plantear un buen password “no va de poner símbolos raros, sino de hacerlo resistente a ataques reales y que sea fácil de gestionar”, resume el experto de Panda Security. Para conseguirlo no hace falta convertirlo en algo absurdamente complejo, sino en darle longitud. “Muchas veces es mejor una frase larga que algo críptico”, aconseja Lambert. Por eso mismo, es recomendable usar passphrases, “que son más sencillas de recordar y mucho más difíciles de romper”.
En nuestro diseño del mejor password hay que evitar incluir información personal, como fechas de nacimiento, nombres de hijos o equipos de fútbol. “Porque es lo primero que prueban los atacantes”, y nunca reutilizar una contraseña. “Esta es la regla más básica”.
Gestores de contraseñas
También es una buena idea usar un gestor de contraseñas, porque “es la única forma realista de gestionar decenas de credenciales sin caer en la reutilización”, explica Lambert. Estas herramientas permiten generar contraseñas únicas y complejas para cada servicio y almacenarlas de forma segura, de manera que el usuario solo tenga que recordar una única clave maestra.
A pesar de ello, cada cierto tiempo surgen titulares que ponen en duda su seguridad. “Se habla de gestores que han sido hackeados, pero en la mayoría de los casos no se accede a las contraseñas en claro”, matiza el experto. “Los datos están cifrados con estándares robustos y, cuando hay incidentes, el punto débil suele estar en el propio usuario”.
Pero incluso con buenas prácticas, hay una realidad que muchos usuarios desconocen: es muy probable que alguna de sus contraseñas ya haya sido comprometida.
“Si usas internet desde hace años, lo más probable es que alguna de tus credenciales haya aparecido en una brecha de datos”, advierte Lambert. El problema no es solo la filtración en sí, sino el efecto dominó que puede generar. La buena noticia es que comprobarlo es relativamente sencillo. “Sólo debes buscar si tu mail aparece en bases de datos filtradas, revisar si estás reutilizando contraseñas, y cambiar inmediatamente las que pueden estar comprometidas”. Enumera el experto.
Este tipo de exposición masiva es el combustible perfecto para ataques automatizados. “No hay hacking sofisticado detrás de muchos ataques”, señala Lambert. “Hay automatización y estadística. Si reutilizas contraseña, eres vulnerable. Si no tienes una segunda capa de seguridad, el acceso es directo”.
Autenticación multifactor
Aquí es donde entra en juego otro elemento clave: la autenticación multifactor.
“El 2FA sigue siendo una de las mejores defensas disponibles, pero no todos los métodos ofrecen el mismo nivel de protección”, explica. Las opciones más seguras pasan por aplicaciones de autenticación o llaves físicas basadas en estándares como FIDO Alliance, mientras que métodos como el SMS o el correo electrónico. Aunque mejor que nada, son más vulnerables a ataques como el SIM swapping.
El problema, una vez más, es de percepción. “Muchos usuarios creen estar protegidos simplemente por tener algo de 2FA, sin entender realmente su nivel de seguridad”.
La contraseña no está muerta, pero ella sola ahora mismo no es capaz de protegernos. Necesita un entorno de seguridad que sepamos gestionar.
