Ciberseguridad. Día Mundial de la Contraseña: por qué ya no alcanza con "una clave segura” en la era de la IA
Las contraseñas tradicionales dejaron de ser una barrera eficaz frente a las amenazas actuales, especialmente ante el avance de la inteligencia artificial y la profesionalización del cibercrimen. Qué recomiendan los especialistas.
Durante años, la recomendación fue crear contraseñas largas, complejas y únicas. Sin embargo, ese paradigma ya no alcanza. Especialistas en ciberseguridad señalan que el problema dejó de ser la fortaleza de la clave para pasar a ser cómo se obtienen y explotan las credenciales.
Hoy, herramientas maliciosas pueden extraer contraseñas directamente desde dispositivos o navegadores, lo que vuelve irrelevante incluso a las combinaciones más robustas.
A esto se suma un comportamiento persistente, la reutilización de claves en múltiples servicios, que amplifica el impacto de cualquier filtración.
La inteligencia artificial impulsa una industria del delito
Las investigaciones coinciden en que el cibercrimen evolucionó hacia una economía organizada, donde el robo de credenciales forma parte de un mercado global.
- Las cuentas personales y corporativas tienen un valor económico definido.
- Existen proveedores que venden accesos a sistemas comprometidos.
- Los ataques son cada vez más accesibles, incluso para actores con pocos recursos.
Las 25 contraseñas más vulnerables de la cultura pop
La inteligencia artificial aceleró este proceso al permitir automatizar ataques, perfeccionar errores humanos y escalar el alcance de las amenazas.
Según el último informe de Check Point Research, 1 de cada 28 solicitudes de inteligencia artificial generativa enviadas desde entornos empresariales presentaba un alto riesgo de fuga de datos confidenciales, afectando al 91% de las organizaciones que utilizan estas herramientas con regularidad. Un 17% adicional de las solicitudes contenía información potencialmente confidencial.
Phishing con IA y deepfakes: el engaño evoluciona
Uno de los cambios más importantes es la evolución del phishing. Los ataques actuales, generados con inteligencia artificial, logran mensajes más creíbles y personalizados, lo que incrementa significativamente sus tasas de éxito.
A esto se suman nuevas herramientas como los deepfakes, que permiten suplantar identidades mediante voz o video, incluso en entornos corporativos.
Día de la contraseña: las malas prácticas que ponen en riesgo la seguridad de tus cuentas digitales
Más allá de los ataques externos, los especialistas advierten sobre un fenómeno creciente: la filtración de datos por parte de los propios usuarios.
Facundo Balmaceda, especialista en Ciberseguridad de Sonda Argentina, explica por qué. "El factor humano es el principal problema. La falta de educación en seguridad digital hace que sigamos siendo el eslabón más débil. La reutilización de contraseñas, elegir claves débiles, caer en phishing y priorizar la comodidad por sobre la seguridad son algunos de los comportamientos habituales", asegura.
A pesar de años de advertencias, los usuarios reutilizan contraseñas persistentemente. Los datos del Informe de Investigaciones de Violaciones de Datos de Verizon de 2025 muestran que apenas el 3% de las contraseñas cumplen con los requisitos de complejidad del NIST para las mejores prácticas de contraseñas.
El manual de defensa para 2026
Según Beazley Security (tercer trimestre de 2025), el 48% de los ataques de ransomware utilizaron credenciales VPN robadas como vector de acceso inicial. Sin embargo, el informe de IBM sobre el costo de una filtración de datos de 2025 reveló que las filtraciones basadas en credenciales tardan, en promedio, 246 días en identificarse y contenerse.
Especialistas de Check Point sugieren algunos métodos para que las organizaciones se protejan.
Seis claves para tener una contraseña segura y evitar las trampas
- Adoptar la autenticación sin contraseña y FIDO2.
- Implementar la confianza cero centrada en la identidad.
- Controlar el vector del navegador de IA.
- Monitoreo continuo de la web oscura y Telegram.
Frente a un panorama tan hostil, la autenticación multifactor (MFA) se presenta como el estándar mínimo. Pero Balmaceda evita simplificaciones: dentro de los tres pilares del MFA (lo que sabés, lo que tenés y lo que sos) no hay jerarquías absolutas.
"No existe un factor de autenticación totalmente infalible por sí solo; cada uno tiene fortalezas y debilidades. Justamente, el valor del MFA está en la combinación y no en la supremacía de un único factor", subraya.
El experto señala que las contraseñas son claramente el factor más vulnerable, mientras que los tokens físicos representan la opción técnicamente más robusta frente a ataques remotos. Los datos biométricos, por su parte, ofrecen comodidad y seguridad mejorada, pero presentan un riesgo que pocas veces se menciona: a diferencia de una clave, no pueden cambiarse si son comprometidos.
Hacia un modelo sin contraseñas
Frente a este contexto, la industria comienza a explorar alternativas que reduzcan la dependencia de las contraseñas.
- Sistemas de autenticación sin contraseña
- Validaciones basadas en identidad y comportamiento
- Estrategias de seguridad de “confianza cero”
Cada primer jueves de mayo se conmemora el Día Mundial de la Contraseña, una iniciativa impulsada por el investigador Mark Burnett y formalizada en 2013 por Intel Security. Este 2026, la conmemoración es el 7 de mayo.
