Las contraseñas son el primer escudo que nos protege de miradas indiscretas y manos ajenas. Sin embargo, como cualquier llave, si no se cuidan adecuadamente, pueden caer en las manos equivocadas. ¿Estamos haciendo lo suficiente para protegerlas? ¿Cuándo es el momento de cambiarlas? ¿Y qué nos depara el futuro en materia de seguridad digital?
BRECHAS DE SEGURIDAD

Francisco Valencia, CEO de Secure&IT, no se anda con rodeos: “El usuario tiene que pensar que las contraseñas tarde o temprano se van a exponer”. Esta afirmación, aunque contundente, no es alarmista, sino realista. En un mundo donde los servicios en línea almacenan millones de contraseñas, es inevitable que algunas de ellas acaben siendo comprometidas. Valencia explica que esto puede ocurrir de dos maneras: ya sea porque nos las roban directamente o porque los servicios donde las registramos sufren una brecha de seguridad. Este último escenario es especialmente preocupante, ya que los usuarios confían en que las empresas protegerán sus datos, pero la realidad es que muchas veces no lo hacen de manera adecuada.
Un ejemplo emblemático es el caso de Yahoo en 2013, cuando una filtración masiva expuso los datos de 500 millones de cuentas. “Parecía razonablemente segura, pero le robaron las contraseñas e informó a los usuarios años después”, recuerda Valencia. Este tipo de incidentes no son exclusivos de grandes empresas. Alejandro Botter, Cyber Security Evangelist de Check Point, señala que “es cada vez más común que se presente una brecha de datos en cualquier ámbito, desde un hotel hasta un banco”.
Aunque los bancos suelen tener medidas de seguridad más robustas, ningún servicio está completamente a salvo. Botter añade que “incluso los servicios más seguros pueden ser vulnerables a ataques sofisticados o errores humanos”. Además de las filtraciones masivas, Botter advierte sobre las amenazas tradicionales, como el phishing o la infección de dispositivos con malware. “Puede ser que accediéramos a un sitio que no era el correcto y dejáramos nuestra contraseña, o que se nos infectara el dispositivo”, explica.
Estas tácticas, aunque menos sofisticadas, siguen siendo efectivas porque explotan la falta de concienciación de los usuarios. “Mucha gente dice: ‘¿Dónde va a estar mi correo? No creo que me haya tocado a mí’”, comenta Botter, destacando la importancia de herramientas como “Have I Been Pwned?” para comprobar si nuestras credenciales han sido expuestas. Sin embargo, incluso estas herramientas tienen sus limitaciones, ya que no pueden prevenir todos los riesgos, especialmente aquellos que surgen de la ingeniería social o de errores humanos.
ERROR EN LAS CONTRASEÑAS

Adrián Flecha, técnico de ciberseguridad de INCIBE-CERT, lo tiene claro: “La realidad es que la mayoría de los usuarios reutiliza claves, elige combinaciones débiles o cae en ataques de phishing”. Este comportamiento, aunque comprensible por la comodidad que ofrece, es un riesgo enorme. Valencia lo ilustra con un ejemplo: “Cuando hacemos una auditoría y encontramos una contraseña de un club de tenis, resulta que esa misma clave está en otros montones de sitios porque el usuario la ha reutilizado”.
Esto significa que si una de esas cuentas es comprometida, todas las demás quedan expuestas. “El problema de la reutilización de contraseñas es que, generalmente, estas acaban filtrándose por el eslabón más débil”, añade Valencia. “Las contraseñas no pueden ser las mismas en todos los sitios. La gente muchas veces tiene dos contraseñas, la fácil y la difícil, y resulta que pone la difícil en el banco y la fácil en todo lo demás”, explica Valencia. Esta práctica, aunque común, es un error crítico.
Para evitarlo, los expertos recomiendan el uso de gestores de contraseñas. Flecha destaca que “si bien ninguna tecnología es infalible, un gestor bien diseñado ofrece mucha más seguridad que anotar contraseñas en papel o intentar recordarlas todas”. Estas herramientas no solo almacenan contraseñas, sino que también las generan de forma aleatoria y segura. “Un gestor de contraseñas bien configurado puede ser la diferencia entre una cuenta segura y una cuenta comprometida”, afirma Flecha.
Sin embargo, el uso de un gestor de contraseñas no es suficiente por sí solo. “La clave está en usar una contraseña maestra robusta, activar el doble factor de autenticación y asegurarse de que el gestor emplee un cifrado fuerte”, añade Flecha. Además, es fundamental hacer copias de seguridad cifradas para evitar la pérdida total de credenciales. “Los gestores de contraseñas no solo hacen la vida más fácil, sino que ayudan a proteger mejor nuestras cuentas en un entorno digital cada vez más complejo”, concluye. También es importante recordar que, aunque los gestores de contraseñas son una excelente herramienta, no son invulnerables. Por ello, es crucial mantener el software actualizado y seguir las mejores prácticas de seguridad.
MEJORA DE LA SEGURIDAD

Los tres expertos coinciden en que activar la verificación en dos pasos (2FA) es esencial. Botter lo explica así: “El doble factor de autenticación es relevante porque la contraseña pasa a ser una parte, pero no la única parte para poder acceder a una cuenta”. Aunque no es infalible, añade una capa adicional de seguridad que dificulta el acceso no autorizado. “No es 100% seguro, pero nos da un nivel bastante mayor de seguridad”, opina Valencia sobre las soluciones 2FA. Este método, que combina algo que sabes (la contraseña) con algo que tienes (un código enviado a tu teléfono o generado por una app), es una de las formas más efectivas de proteger nuestras cuentas.
Además del 2FA, Flecha menciona el uso de Passkeys como una alternativa prometedora. “A diferencia de las contraseñas tradicionales, estas claves no pueden ser robadas mediante ataques de phishing ni filtraciones masivas”, explica. Las Passkeys se complementan con métodos como la autenticación biométrica (huella dactilar o reconocimiento facial) o dispositivos físicos como YubiKeys, lo que las convierte en una opción más segura y conveniente. “Estamos viendo un cambio de paradigma en la autenticación, donde la comodidad y la seguridad van de la mano”, añade Flecha. Sin embargo, advierte que la adopción de estas tecnologías aún no es universal, por lo que es importante seguir utilizando métodos tradicionales como el 2FA mientras se implementan estas nuevas soluciones.
Pero, ¿cuándo es el momento de cambiar nuestras contraseñas? Botter señala que, aunque los usuarios corporativos suelen actualizarlas con frecuencia, los particulares tienden a mantenerlas durante años. “En lugar de mejorar la seguridad, cambiar las contraseñas con frecuencia puede llevar a que muchas personas reutilicen la misma clave en diferentes cuentas o elijan combinaciones más débiles”, advierte Flecha. Por ello, recomienda cambiar las contraseñas solo en situaciones de riesgo concretas, como recibir una alerta de actividad inusual o descubrir que hemos sido víctimas de phishing. “Incluso si hemos sido víctimas de un incidente de seguridad, no es necesario cambiar todas las contraseñas indiscriminadamente. La prioridad debe ser evaluar qué cuentas pueden haberse visto afectadas y actuar solo sobre ellas”, concluye.
Valencia reflexiona sobre la posibilidad de un futuro sin contraseñas, donde la autenticación biométrica juegue un papel central. “Creo que vamos a llegar a un momento en el que nos autenticaremos de otra forma, no solamente con la contraseña”, afirma. Sin embargo, advierte que la biometría no está exenta de riesgos. “El problema de la biometría es que si me roban una contraseña, la puedo cambiar, pero si me roban el patrón biométrico no lo puedo cambiar, y por lo tanto puedo estar vulnerable para siempre”. Este es un desafío importante que debe abordarse antes de que la biometría se convierta en el estándar de autenticación.



























































































































