Cada 1 de mayo se celebra el Día Mundial de la Contraseña. Este año las advertencias de fabricantes como WatchGuard y Check Point convergen: las claves tradicionales han dejado de ser una barrera y se han convertido en autopistas para los ciberdelincuentes. El debate ya no es si la contraseña es fuerte o si tenemos un buen sistema de gestión para contraseñas, sino si la víctima sabe que su clave se vende en la dark web.
Índice de temas
Una industria clandestina en expansión
El 81% de las filtraciones de datos sigue ligado a contraseñas débiles o robadas, según un informe Verizon de 2024. A la vez, 24.600 millones de combinaciones de usuario y clave se anuncian en mercados criminales por pocos dólares. Check Point recuerda que la compraventa funciona como cualquier comercio electrónico: valoraciones, servicio posventa y brokers que empaquetan accesos listos para lanzar ransomware o fraude. Una única contraseña filtrada permite recorrer la red interna de una empresa durante semanas sin levantar alarmas.
Carla Roncato, vicepresidenta de Identidad de WatchGuard, advierte de que el initial access broker es solo el primer eslabón de una cadena que termina en extorsión o espionaje.
Su pregunta esencial es si la organización monitorea la dark web en busca de credenciales expuestas. Las plataformas clandestinas operan las 24 horas y segmentan los datos por sectores como banca o sanidad. Ofrecen garantías de reemplazo si una clave deja de funcionar y descuentos por volumen. Para Roncato, la defensa debe partir del supuesto de que el robo ya ocurrió y activar planes de respuesta basados en mínimos privilegios y rotación inmediata.
La inteligencia artificial acelera el riesgo
La llegada de la IA ha reducido el coste del ataque. Con GPU que prueban un millón de combinaciones por segundo, descifrar una clave simple pasa de años a minutos. Los modelos de lenguaje generan campañas de phishing casi perfectas y los deepfakes sostienen suplantaciones que eluden controles de vídeo. Incluso la autenticación multifactor sufre: kits como EvilProxy clonan páginas y roban tokens de un solo uso.
El panorama empeora porque los usuarios repiten errores antiguos. Al menos el 65% de las personas reutiliza la misma contraseña en varios servicios, según una encuesta de Google y Harris Poll citada por Check Point. Cada repetición recicla el riesgo y prolonga la vida útil de las credenciales robadas.
Hacia un futuro sin contraseña
La salida no pasa por añadir caracteres, sino por eliminar la contraseña. Las passkeys, la biometría y los tokens físicos están listas para sustituirla. Google, Microsoft y Shopify ya permiten iniciar sesión sin nada que memorizar, y Gartner calcula que en 2025 el 60% de las organizaciones habrá desterrado la clave en la mayoría de los casos de uso.
Rafael López, ingeniero de Check Point, resume la urgencia: “Las contraseñas, aunque familiares, han quedado obsoletas. El cambio no es opcional”. Su receta combina autenticación sin clave, arquitecturas de confianza cero y formación continua para cerrar el vector humano.
Iniciativas para superar de una vez por todas las contraseñas
Los gobiernos de Singapur, India y Australia ya han lanzado marcos nacionales de identidad digital basados en claves FIDO, mientras Bruselas impulsa la European Digital Identity Wallet que eliminará la contraseña en los servicios públicos antes de 2026. Este calendario presiona a las empresas europeas a modernizar sus portales y aceptar passkeys para evitar fricciones al ciudadano. En ese futuro inmediato, el smartphone, la llave de coche o un sensor biométrico servirán como credencial universal, reduciendo costes de soporte y cerrando de raíz la reventa de contraseñas robadas.
En España, la transición avanza a dos velocidades. Bancos y grandes tecnológicas prueban passkeys, mientras pymes y administraciones mantienen sistemas basados en claves. Cada mes que pasa, las credenciales filtradas se monetizan en minutos y financian nuevas campañas de ransomware.
La cuenta atrás está en marcha. El Día Mundial de la Contraseña deja de ser un recordatorio para actualizar claves y se convierte en un hito para acelerar la adopción de métodos más sólidos y resistentes al robo de identidades. Solo retirando la contraseña del centro del modelo de seguridad se cortará el negocio de la compraventa de accesos y se reducirá, por fin, la superficie de ataque.
