El ser humano es predecible y la creación de contraseñas no es una excepción. Utilizar mayúsculas al principio, o caracteres especiales al final, se ha convertido en una costumbre, y, como destaca Zscaler, Inc., empresa líder en seguridad en la nube, es un patrón que abre muchas puertas a la ciberdelincuencia. El Día Mundial de la Contraseña, el próximo 1 de mayo de 2025, puede acabar convirtiéndose en una reliquia del pasado, en pro de un futuro donde la autenticación sin contraseña proporcione más seguridad y menos trastornos a los usuarios.

La necesidad de fortalecer las contraseñas es una preocupación que ya señaló el Instituto Nacional de Estándares y Tecnología (NIST) en 2017, actualizando sus recomendaciones para favorecer el uso de contraseñas largas, o frases que combinan varias palabras en una sola cadena; opción que complica descifrar matemáticamente, al mismo tiempo que son más fáciles de recordar para los usuarios. Sin embargo, incluso años después, estas recomendaciones no se han adoptado ampliamente.

Por su parte, las empresas se aferran a prácticas obsoletas basadas en la complejidad, pero la realidad es que las estrategias de contraseñas débiles dejan puertas abiertas a amenazas actuales. “En muchas ocasiones se asocia la complejidad con una mayor seguridad, a pesar de que está comprobado que la longitud es una defensa más efectiva contra ataques como el de fuerza bruta. Las normas regulatorias suelen ir un paso atrás, mientras que los sistemas heredados imponen restricciones técnicas, como límites de caracteres, que dificultan la adopción de frases más largas. El hábito de confiar en contraseñas cortas y complejas persiste porque los usuarios y las organizaciones han seguido estos patrones durante décadas, lo que dificulta la transición a nuevas prácticas recomendadas”, explica Marcos Jimena Cabezas, director técnico de Zscaler en Iberia.

Sin embargo, el problema más grave con las contraseñas es el creciente número de brechas de datos causadas por robos de contraseñas y ataques ‘Adversary in The Middle’ (AiTM). Muchos métodos de autenticación multifactor (MFA), como los códigos de un solo uso enviados por SMS o correo electrónico, o incluso los generados por aplicaciones, son vulnerables y pueden interceptarse durante ataques AiTM. “Estos métodos se basan en secretos compartidos que los atacantes pueden interceptar, lo que hace que incluso las cuentas protegidas con MFA sean susceptibles de sofisticados intentos de phishing que imitan páginas web legítimas para robar credenciales de inicio de sesión y datos de sesión”, añade Jimena.

En la otra cara de la moneda, los métodos actuales de autenticación como los sistemas biométricos y las llaves de seguridad físicas basadas en los estándares FIDO2 ofrecen una protección robusta. ‘Fast Identity Online’ (FIDO2), utiliza dispositivos hardware (como llaves USB de seguridad) para realizar una autenticación segura. A diferencia del MFA tradicional, FIDO2 emplea criptografía de clave pública, lo que impide los ataques de phishing y AiTM porque las claves criptográficas están vinculadas al dispositivo físico y nunca se comparten con el proveedor del servicio. Al eliminar la dependencia de contraseñas y métodos MFA vulnerables, estas innovaciones abren el camino hacia un futuro sin contraseñas y más seguro.

“La verdad es que la complejidad no equivale a mayor seguridad. De hecho, obligar a los usuarios a emplear métodos de autenticación complicados a menudo lleva a la frustración y a atajos como reutilizar contraseñas. Es hora de adoptar soluciones que simplifiquen la experiencia del usuario, como las frases largas, la biometría y las tecnologías sin contraseña (FIDO2), no solo por conveniencia, sino para ofrecer una mejor seguridad ante amenazas en constante evolución. Este cambio ofrece una protección más fuerte y una forma más sencilla de acceder a los recursos, demostrando que la simplicidad y la seguridad pueden coexistir en una combinación ideal”, concluye el director técnico de Zscaler en Iberia.