La falsa seguridad de las contraseñas: Cómo los hackers acceden a tus cuentas

Las contraseñas no son seguras y el ciberdelito lo sabe.

Cargar una contraseña y sentir esa falsa sensación de seguridad se ha vuelto un acto cotidiano tan automatizado como respirar. Pero, ¿qué pasa si nuestro escudo protector se ha convertido en nuestra mayor debilidad? La realidad es contundente, lo que debería cuidarnos se transformó en la puerta giratoria que utilizan los ciberdelincuentes para vaciar nuestras cuentas, robar nuestra identidad y hasta chantajearnos con información privada.

Cada año, cuando llega el 1.º de mayo, los analistas de la seguridad informática nos recalcan cómo reforzar nuestras contraseñas. Sin embargo, 2025 podría marcar el quiebre definitivo de este ritual obsoleto. ¿Por qué insistimos en parchar un sistema que hace agua por todos lados?

"Los ciberdelincuentes aprovechan la situación actual, donde todavía un gran porcentaje de la validación de identidad de los usuarios depende de contraseñas, ejecutando diversos ataques, logrando robar las credenciales y suplantar la identidad del usuario. Si se considera la premisa que las credenciales pueden ser robadas de alguna forma, llegaremos a la conclusión que es obligatorio adoptar tecnologías donde se debe validar al usuario de múltiples formas, como el doble factor de autenticación o la seguridad biométrica", sentencia Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica.

La situación es dramática. El reciente Informe de Filtraciones de Datos de Verizon (2024) desnuda una realidad escalofriante, ocho de cada diez violaciones de seguridad todavía involucran contraseñas débiles o robadas. Y mientras seguimos repitiendo las mismas fórmulas de seguridad anticuadas, los piratas informáticos ya operan con herramientas de inteligencia artificial que descifran en minutos lo que antes les tomaba meses enteros.

123456

¿Sabés cuál es la contraseña más utilizada en el mundo? El "123456". Y no, no es una broma. Según Nordpass, esta combinación infantil predomina y es descifrada por hackers en menos de un suspiro. Por si fuera poco, una encuesta de Google y Harris Poll destapó otra verdad incómoda, casi siete de cada diez personas reciclan las mismas contraseñas en todos sus sitios.

Ahora bien, la evolución de las tácticas maliciosas tampoco ayudan. Los ataques ya no se limitan a computadoras básicas, sino que utilizan procesadores gráficos sobrealimentados capaces de probar más de un millón de combinaciones por segundo. Lo que antes era una barrera infranqueable, ahora se derrumba como un castillo de naipes frente a algoritmos potenciados por IA.

El negocio oscuro detrás de una contraseña filtrada

Según especialistas, se calcula que más de 24.600 millones de combinaciones de usuarios y contraseñas circulan actualmente en foros oscuros, aunque el número real podría ser mucho mayor debido a la continua reventa de información robada.

La estafa masiva a Booking.com dejó al descubierto las cifras del negocio: miles de credenciales vendidas por apenas 2.000 dólares, con "actualizaciones mensuales" según las nuevas brechas de seguridad descubiertas. El botín más preciado incluye accesos a cuentas bancarias, correo electrónico, servicios en la nube, billeteras de criptomonedas, redes corporativas y plataformas sociales.

image.png

Un mundo sin claves

Sin embargo, frente a este panorama desolador, surge una alternativa prometedora, la autenticación sin contraseñas. Gigantes tecnológicos ya están pavimentando este camino. Google, Microsoft y Shopify apuestan fuerte por las "passkeys", llaves criptográficas vinculadas a tu huella digital, rostro o dispositivo personal.

Microsoft quiere que su base de mil millones de usuarios abandone definitivamente las contraseñas, mientras que los analistas de Gartner pronostican que seis de cada diez empresas las eliminarán para la mayoría de sus operaciones antes de que termine el 2025.

El cambio ya se palpa en sectores críticos como la banca, salud y administración pública, donde los dispositivos físicos de autenticación, verificación e identificación biométrica ganan terreno rápidamente. Incluso países enteros como Singapur e India están acelerando esta revolución con sistemas de identidad digital respaldados por el Estado.

El sistema Singpass de Singapur conecta más de 700 entidades gubernamentales y privadas mediante opciones como reconocimiento facial, tarjetas digitales y códigos QR que verifican identidades en segundos. En paralelo, el sistema Aadhaar indio constituye la mayor base biométrica del planeta, mientras Australia destina millones en infraestructuras sin contraseñas.

Qué pueden hacer las empresas ante el fin de las contraseñas

Ahora, ¿Qué pueden hacer las organizaciones para no quedar expuestas? La hoja de ruta es clara:

Migrar gradualmente a sistemas sin contraseñas: Implementar reconocimiento biométrico, llaves físicas o passkeys criptográficas como estándar.
Adoptar soluciones integradas: Herramientas como Check Point Harmony pueden detectar y bloquear la reutilización de credenciales y ataques de phishing antes de que sea tarde.
Implementar gestión avanzada de privilegios: Los sistemas PAM y arquitecturas de Confianza Cero, limitan drásticamente el potencial daño de una brecha.
Capacitar para el nuevo paradigma: Formar equipos no solo en crear claves más robustas, sino en adaptar la mentalidad hacia un mundo sin contraseñas.

En simples palabras, el "Día Mundial de la Contraseña" debería transformarse en el recordatorio de que necesitamos superarlas definitivamente. En un entorno digital cada vez más expuesto, confiar únicamente en claves —por más complejas que sean— resulta insuficiente. Avanzar hacia métodos de autenticación más robustos y modernos no es una opción, sino una necesidad.

-----------------------------------