‘123456’; ‘admin’; y ‘12345678’ volvieron a ser las contraseñas más repetidas en el mundo en 2025. Las siguieron otras igual de débiles y predecicbles como ‘password, ‘Pass@123’ o ‘admin123’, que cualquier ciberdelincuente conseguiría en tan solo unos segundos. Este jueves 7 de mayo se celebra el Día Mundial de la Contraseña, una iniciativa promovida para concienciar a los usuarios de la importancia de usar métodos robustos para garantizar una identificación segura. Y lo cierto es que varios expertos en ciberseguridad vaticinan que las contraseñas están a punto de ceder su puesto a alternativas más seguras.
«Estamos ante el principio del fin de las contraseñas tal y como las conocemos», apunta Javier Vega, Security Manager de Cylum. “Aunque no desaparecerán de forma inmediata, su papel está dejando de ser central. En su lugar, se impone un enfoque basado en múltiples señales de verificación, que combina biometría, dispositivos confiables y contexto de acceso”. Según alerta Factum, empresa española especializada en ciberseguridad, el modelo tradicional basado en contraseñas comienza a mostrar signos claros de agotamiento frente a un entorno de amenazas altamente industrializado.
Las ‘passkeys’ ganan terreno
Las contraseñas tradicionales resultan especialmente vulnerables a los ataques de phishing. Esto es porque reúnen tres factores críticos: volumen, reutilización y previsibilidad. Según datos del INCIBE, más del 90% de los incidentes de seguridad gestionados tienen como origen el compromiso de credenciales o el uso de contraseñas débiles o reutilizadas.
En este contexto, la autentificación multifactor y las ‘passkeys’ (también el token físico) están empezando a ganar terreno y ya están siendo utilizadas por grandes compañías como Amazon o Google y servicios públicos de todo el mundo. En esencia, son un sistema de inicio de sesión que sustituye las contraseñas por autentificación basada en dispositivos y biometría. En lugar de depender de una combinación alfanumérica susceptible de ser robada o filtrada, el usuario autoriza el acceso a su cuenta mediante métodos biométricos (huella digital o reconocimiento facial) o un simple PIN de desbloqueo del dispositivo.
El avance hacia estos entornos está siendo gradual, requiere tiempo, recursos y la adaptación de los usuarios. El riesgo no se elimina, apuntan desde Factum, sino que se transforma. «La seguridad pasa a depender en gran medida de la protección de los dispositivos y de la gestión del ciclo de vida de la identidad. Un dispositivo comprometido o procesos de recuperación de cuentas mal diseñados se convierten en nuevas superficies de ataque que las organizaciones deben vigilar con especial atención».
Cómo crear claves seguras
Los expertos repiten cada año los consejos para crear claves robustas: no usar la misma para todas las cuentas; que sean largas, que incluyan mayúsculas, minúsculas, números y caracteres especiales, no incluir datos obvios (el nombre o la fecha del cumpleaños), evitar las secuencias del teclado, usar un gestor de contraseñas que las almacena todas bajo una credencial ‘maestra’, usar siempre que sea posible un doble factor de autenticación (un sms, un código o el reconocimiento facial) o cambiarlas a menudo.
Y alertan además de la importancia de que las contraseñas sean especialmente robustas ante el auge de las nuevas tecnologías, y entre ellas la inteligencia artificial y la computación cuántica, gracias a las cuales resulta mucho más fácil quebrar los sistemas de seguridad actuales.
«La inteligencia artificial no rompe la ciberseguridad, la acelera para bien y para mal; y la computación cuántica no es el apocalipsis, pero sí un cambio estructural en cómo protegemos la información», ha manifestado a EFE el responsable de Operaciones Globales de Consumo de la multinacional Panda Security, Hervé Lambert, y ha señalado que «en vez de máquinas que ejecutan órdenes, ahora nos enfrentamos a sistemas que aprenden, predicen y optimizan el ataque».