Cada primer jueves de mayo, expertos en ciberseguridad aprovechan el Día Mundial de la Contraseña para concientizar sobre la importancia de proteger nuestras credenciales digitales. Sin embargo, en 2025, esta práctica podría estar quedando atrás. ¿El motivo? Nuestra dependencia de las contraseñas se ha convertido en la misma vulnerabilidad que intentamos evitar.
Según el Informe de Investigaciones de Filtraciones de Datos 2024 de Verizon, el 81 % de las brechas de seguridad siguen involucrando contraseñas débiles o robadas. Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica, advierte: “Los ciberdelincuentes se aprovechan del hecho de que una gran parte de la autenticación todavía depende de contraseñas. Esto permite ejecutar distintos tipos de ataques que terminan con el robo de credenciales y la suplantación de identidad. Si aceptamos que cualquier contraseña puede ser robada, es imprescindible adoptar mecanismos de autenticación más robustos, como el doble factor o la biometría”.
La situación actual es alarmante. Contraseñas comunes como “123456” siguen siendo ampliamente utilizadas y pueden ser descifradas en menos de un segundo, según datos de Nordpass. A su vez, una encuesta de Google y Harris Poll reveló que más del 65 % de los usuarios reutiliza contraseñas en múltiples plataformas, lo que multiplica los riesgos ante cualquier filtración.
El avance de la inteligencia artificial y el uso de potentes GPU ha acelerado los ataques de fuerza bruta, capaces de probar millones de combinaciones por segundo. Lo que antes requería años, hoy puede resolverse en minutos.
El auge del cibercrimen
El mercado de credenciales robadas no deja de crecer. Se estima que más de 24.600 millones de combinaciones de usuario y contraseña circulan en foros clandestinos. Muchas veces, estas credenciales se venden a precios ínfimos, como ocurrió en el caso de Booking.com, donde miles de accesos fueron ofrecidos por apenas 2000 dólares. Las más codiciadas incluyen cuentas bancarias, corporativas, de criptomonedas y redes sociales.
Detrás de estos ataques operan grupos de amenazas altamente organizados, como Kimsuky (Corea del Norte), MuddyWater (Irán) y APT28/29 (Rusia), que emplean herramientas como Lumma o plataformas de malware como servicio (MaaS) para escalar robos de información, incluso a través de bots en Telegram. En lo que va del 2024, se calcula que 3900 millones de credenciales fueron comprometidas por malware en 4,3 millones de dispositivos.
Incluso la autenticación multifactor (MFA), considerada un refuerzo esencial, ya es vulnerada con técnicas como EvilProxy, capaz de interceptar tokens de seguridad. El cibercrimen se ha transformado en una economía global accesible para cualquiera con recursos, gracias a servicios como Phishing-as-a-Service (PhaaS) y kits de phishing por alquiler.
¿Un futuro sin contraseñas?
Lejos de ser utopía, la autenticación sin contraseñas ya es una realidad. Gigantes como Google, Microsoft o Shopify están adoptando sistemas basados en claves de acceso criptográficas, vinculadas a la biometría o dispositivos de confianza.
Microsoft, por ejemplo, busca eliminar las contraseñas para sus mil millones de usuarios. Gartner, por su parte, prevé que para 2025 el 60 % de las empresas ya no utilizarán contraseñas en la mayoría de los casos. Sectores como el financiero, la salud y los servicios públicos lideran esta transición, implementando tokens físicos y reconocimiento facial o de huellas.
Modelos como el sistema Singpass en Singapur o el Aadhaar en India, que autentican usuarios mediante biometría o códigos OTP, están marcando el camino. Incluso Australia avanza con marcos federados que prescinden de contraseñas.
El problema de la familiaridad
A pesar de los avances, muchas personas siguen aferradas a las contraseñas por costumbre. Sin embargo, esa familiaridad tiene un precio: son fáciles de olvidar, compartir o robar. Según Check Point, la mala higiene de contraseñas —como anotarlas o reutilizarlas— continúa siendo una falla crítica tanto en entornos personales como corporativos.
Y con la llegada de la IA generativa, los riesgos aumentan. Desde modelos que predicen patrones comunes hasta ataques de deepfakes que pueden vulnerar incluso sistemas MFA, la autenticación basada en contraseñas está cada vez más expuesta. Las GPU en la nube han democratizado la capacidad de descifrar claves, permitiendo que incluso usuarios sin experiencia comprometan sistemas complejos.
¿Qué deben hacer las organizaciones?
Check Point recomienda empezar cuanto antes la transición hacia una autenticación sin contraseñas, utilizando herramientas como biometría, claves de acceso o tokens físicos. También sugiere implementar plataformas de gestión de acceso privilegiado (PAM), arquitecturas de Confianza Cero y soluciones como Check Point Harmony, que ayudan a evitar la reutilización de contraseñas y los ataques de phishing.
Más allá de promover claves más seguras, el Día Mundial de la Contraseña debería impulsar una reflexión más profunda: ¿por qué seguimos usando una tecnología que, en muchos casos, ya no nos protege?
Fuente: Check Point, Informe de Investigaciones de Filtraciones de Datos 2024 de Verizon, Nordpass, Gartner. Diario ambito.com
