Día mundial de la contraseña: las contraseñas débiles siguen estando por todas partes - ¿Ha llegado el momento de pasarse a las passkeys?

Todos los años, el primer jueves de mayo se celebra el Día Mundial de la Contraseña y suele ser un poco deprimente para los expertos en seguridad. A pesar de años de advertencias, filtraciones de datos y campañas de concienciación sobre ciberseguridad, muchas personas siguen confiando en contraseñas débiles, predecibles y reutilizadas.

El mensaje no llega

Las contraseñas más utilizadas apenas han cambiado en más de una década. Variaciones de "123456", "password", "qwerty" y otras combinaciones fáciles de adivinar siguen apareciendo en los primeros puestos de las listas mundiales año tras año. Aunque la tecnología ha avanzado rápidamente, los hábitos en materia de contraseñas a menudo no lo han hecho.

Para los ciberdelincuentes, esto supone una vía de acceso fácil a las cuentas personales y empresariales. Los ciberdelincuentes saben que muchos usuarios siguen prefiriendo la comodidad a la seguridad, y se aprovechan activamente de este comportamiento mediante el relleno de credenciales, los ataques de fuerza bruta y las campañas de phishing.

El peligro de las contraseñas débiles y reutilizadas

Una contraseña débil ya es mala de por sí. Una contraseña reutilizada suele ser peor.

Cuando un sitio web sufre una brecha, los nombres de usuario y contraseñas robados se comprueban rápidamente en la banca, el correo electrónico, el almacenamiento en la nube y las plataformas de trabajo. Si se ha reutilizado la misma contraseña, una sola brecha puede desbloquear varias cuentas.

En el caso de las organizaciones, la reutilización de contraseñas puede poner en peligro las cuentas de Microsoft 365, exponer el acceso a VPN, comprometer el correo electrónico de la empresa y permitir el acceso no autorizado a datos confidenciales. En muchos incidentes, los atacantes no necesitan malware sofisticado. Simplemente inician sesión con credenciales válidas.

En Integrity360, observamos con regularidad que los ataques basados en la identidad siguen siendo una de las formas más rápidas y eficaces para que los actores de amenazas obtengan acceso. A medida que las empresas mejoran las defensas perimetrales, los delincuentes se centran cada vez más en los usuarios, las credenciales y los puntos débiles de la autenticación.

Por qué las contraseñas siguen siendo un problema

Las contraseñas hacen recaer demasiada responsabilidad en los usuarios. Se espera que la gente cree docenas de combinaciones únicas y complejas, las recuerde, las actualice y evite escribirlas.

Esto suele conducir a un comportamiento familiar:

Elegir contraseñas cortas o memorizables
Reutilizar la misma contraseña en varios servicios.
Realizar sólo pequeños cambios cuando se les pide que la restablezcan
Almacenar las contraseñas de forma insegura en notas u hojas de cálculo.

Incluso cuando las organizaciones aplican políticas de contraseñas, éstas suelen ignorarse o eludirse.

El cambio del NCSC hacia las contraseñas

Recientemente, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés ) ha instado a la gente a abandonar las contraseñas en favor de las claves de acceso, calificándolo como un cambio importante en la práctica de seguridad de larga data.

Las claves son una nueva forma de autenticación que elimina por completo la necesidad de recordar contraseñas. En lugar de basarse en un secreto compartido, utilizan criptografía de clave pública. Una de las claves permanece segura en el dispositivo del usuario, mientras que el servicio al que se accede almacena la clave pública correspondiente.

En la práctica, los usuarios suelen iniciar sesión utilizando algo ya integrado en su dispositivo, como Face ID, el reconocimiento de huellas dactilares o un PIN.

Al no tener que escribir una contraseña, las claves de acceso pueden reducir significativamente el riesgo de suplantación de identidad, robo de contraseñas y reutilización de credenciales. Cada contraseña es única para el sitio web o la aplicación para la que se crea, por lo que es mucho más difícil para los atacantes explotarla en múltiples servicios.

El NCSC ha descrito las claves de acceso como una opción más fácil de usar que también puede mejorar la resistencia general.

Las contraseñas no son la única solución

Las contraseñas son una alternativa, pero aún no todas las plataformas las admiten. Los usuarios pueden enfrentarse a problemas de recuperación si pierden el acceso a los dispositivos. Las organizaciones también necesitan procesos claros de inscripción, gestión de dispositivos y recuperación de cuentas.

Esto significa que las empresas deben considerar las claves de acceso como parte de una estrategia más amplia de seguridad de la identidad y no como una solución aislada.

Perspectiva de Integrity360: La identidad es la nueva línea de frente

En Integrity360, aconsejamos a las organizaciones que traten la autenticación como un control de seguridad fundamental. Ya utilicen contraseñas, claves o una combinación de ambas, deben centrarse en reducir el riesgo de identidad.

Esto incluye

Habilitar la autenticación multifactor en todos los servicios críticos.
Desplegar gestores de contraseñas para los usuarios que necesiten contraseñas.
Supervisión de credenciales comprometidas en la web oscura.
Detectar comportamientos de inicio de sesión sospechosos a través de servicios MDR y SOC.
Implantación de claves de acceso cuando sea posible
Formar a los usuarios para que reconozcan los intentos de suplantación de identidad.

Es probable que el futuro sea sin contraseñas, pero la mayoría de las organizaciones aún se encuentran en una fase de transición. Durante ese periodo, los atacantes seguirán atacando las credenciales débiles dondequiera que las encuentren. Si sus contraseñas siguen siendo simples, reutilizadas o sin cambios desde hace años, ahora es el momento de actuar. Las contraseñas únicas y seguras, la AMF y las claves de acceso pueden reducir drásticamente el riesgo.

Puede que las contraseñas no desaparezcan de la noche a la mañana, pero su dominio está llegando a su fin. Las organizaciones y las personas que se modernicen pronto estarán mucho mejor situadas para mantenerse seguras.

¿Necesita ayuda con su ciberseguridad? Póngase en contacto con nuestros expertos hoy mismo.

Servicios MDR

Servicios de respuesta ante incidentes

Gartner ha reconocido

Descarga nuestro ebook sobre CyberFire MDR

Los costes humanos ocultos de un ciberataque

La realidad del ransomware en 2025: lo que necesitas saber

Tu guía para 2025: Tendencias y Predicciones

Servicios de pruebas de ciberseguridad

¿Qué es PCI? Respuestas a las preguntas más frecuentes.

Resúmenes semanales de amenazas

Glosario A-Z de términos de ciberseguridad

Lee nuestro último blog

Integrity360 obtiene la certificación SOC 2 para reforzar el ecosistema global de ciberdefensa

Integrity360 se expande a Francia con la adquisición de Holiseum

Día Mundial de la Contraseña: las contraseñas débiles siguen estando por todas partes. ¿Es hora de pasar a las claves de acceso?

Día Mundial de la Contraseña: las contraseñas débiles siguen estando por todas partes. ¿Es hora de pasar a las claves de acceso?

El mensaje no llega

El peligro de las contraseñas débiles y reutilizadas

Por qué las contraseñas siguen siendo un problema

El cambio del NCSC hacia las contraseñas

Las contraseñas no son la única solución

Perspectiva de Integrity360: La identidad es la nueva línea de frente

Download our 2026 cyber security trends and predictions guide now!

Sign-up to receive our latest insights

Quick links

Nuestros servicios

Presencia global