Sophos, compañía global de ciberseguridad, advierte que las credenciales comprometidas continúan siendo la causa raíz más observada en los ataques de identidad. En el Día Mundial de la Contraseña, los análisis revelan dos problemas persistentes: contraseñas débiles o cortas y reutilización masiva en múltiples sitios.

“A pesar del esfuerzo de Apple, Google, Microsoft, CISA y de Sophos por impulsar métodos de autenticación más robustos, las credenciales comprometidas siguen siendo la principal causa observada en los ataques de identidad. Los atacantes aprovechan las brechas de contraseñas de sitios y aplicaciones de uso cotidiano como punto de entrada de bajo esfuerzo y alto rendimiento, lo que les permite lanzar ataques de tipo ‘spray and pray’ o construir diccionarios con el historial de contraseñas de sus víctimas”, afirma Jeramy Kopacko, Associate Field CISO Americas en Sophos.

Según el informe Sophos Active Adversary Report 2026, el 67% de los incidentes analizados en 2025 tuvieron su origen en ataques relacionados con la identidad. Las credenciales comprometidas, por sí solas, fueron la causa principal en el 42% de los casos -por segundo año consecutivo-, mientras que los atacantes son capaces de alcanzar el Active Directory corporativo en apenas 3,4 horas tras el acceso inicial. El modelo de seguridad basado en contraseñas ha quedado estructuralmente obsoleto.

Passkeys: el siguiente paso en la evolución de la autenticación

Frente a esta problemática, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) ha actualizado sus directrices de autenticación priorizando el uso de passphrases de 15 o más caracteres, en lugar de sugerir requisitos de complejidad arbitrarios como mayúsculas, números y símbolos. Una frase larga y única es, en la práctica, más segura y más fácil de recordar que una contraseña corta cargada de caracteres especiales.

Por su parte, las passkeys eliminan la contraseña de la ecuación. Basándose en criptografía de clave pública, el dispositivo del usuario genera un par de claves (una pública y otra privada) en el momento del registro, nunca transmite un secreto por la red y vincula la autenticación al dominio legítimo, lo que las hace resistentes al phishing. Y puede combinarse con la biometría, que actúa como mecanismo seguro y cómodo para desbloquear la clave privada almacenada en el dispositivo del usuario mediante huella dactilar o reconocimiento facial.

Recomendaciones

Los usuarios deberían utilizar passkeys o configurar un gestor de contraseñas que automatiza la creación de passphrases únicas, las almacena de forma segura, gestiona el inicio de sesión y avisa si alguna de sus credenciales ha aparecido en una brecha conocida. Para los CISOs, Sophos ha publicado un CISO Playbook que ayuda a las organizaciones a reforzar la autenticación de usuarios con passskeys.