– Cada año, el primer jueves de mayo, que en este 2025 será el primero de mayo, los profesionales de la ciberseguridad instan al público a fortalecer la higiene de sus contraseñas. Pero en 2025, esta tradición podría haber caducado. ¿Por qué? Porque nuestra excesiva dependencia de las contraseñas se está convirtiendo en el riesgo que buscamos evitar.

Según el Informe de Investigaciones de Filtraciones de Datos de Verizon (2024), el 81 % de las filtraciones aún involucran contraseñas débiles o robadas. A medida que los ciberdelincuentes evolucionan y la IA se convierte en parte de sus herramientas, incluso las contraseñas más seguras pueden descifrarse en minutos, no en meses. Es hora de preguntarnos: ¿nos aferramos a un método de seguridad obsoleto que nos frena?
El problema de las contraseñas hoy
Los datos son contundentes. Según Nordpass, la contraseña débil "123456" persiste como contraseña, siendo fácilmente descifrada en un segundo por hackers. Una encuesta de seguridad en línea realizada por Google y Harris Poll en febrero de 2019 reveló que al menos el 65 % de las personas reutilizan sus contraseñas en varios sitios, si no en todos, lo que las expone a ataques de robo de credenciales a gran escala.

Las nuevas amenazas solo están acelerando este riesgo. Los ataques de fuerza bruta han pasado de las CPU a las GPU de alta velocidad, algunas capaces de adivinar más de un millón de combinaciones de contraseñas por segundo, lo que significa que lo que antes tardaba años en poder descifrarse, ahora se puede hacer en minutos utilizando herramientas mejoradas con IA.
El lado oscuro de las contraseñas: La economía del cibercrimen
El mercado negro de credenciales robadas es vasto y lucrativo. Se estima que más de 24 600 millones de combinaciones de nombre de usuario y contraseña circulan actualmente en los mercados cibercriminales, aunque la escala real es difícil de verificar debido a la reventa repetida de datos robados. En grandes cantidades, estas credenciales son incluso más baratas, como se vio en la estafa de Booking.com, donde se vendieron miles por tan solo 2000 dólares y se ofrecían nuevas credenciales cada mes, dependiendo de las brechas de seguridad y las filtraciones. Los inicios de sesión más valiosos incluyen cuentas bancarias, de correo electrónico, en la nube, de criptomonedas, de VPN corporativas y de redes sociales, que se reutilizan comúnmente para phishing, robo de identidad, campañas de malware y la vulneración de correos electrónicos empresariales.

Detrás de estos robos se encuentran algunos de los grupos de amenazas más sofisticados del mundo, como Kimsuky (Corea del Norte), MuddyWater (Irán) y APT28/29 (Rusia), que a menudo utilizan malware como las plataformas Lumma y MaaS, atacando tokens MFA y monederos de criptomonedas, y propagándose a través de bots de Telegram, lo que permite que el robo de información sea escalable y rentable. Se informó que, solo en 2024, 3900 millones de credenciales se vieron comprometidas mediante infecciones de malware en 4,3 millones de dispositivos.
Incluso la autenticación multifactor (MFA), aunque crucial, se ve comprometida por herramientas como EvilProxy, que puede interceptar tokens MFA. Esta creciente economía del cibercrimen no es solo una amenaza técnica, sino un ecosistema geopolítico y económico, ya que estas amenazas ahora pueden provenir de cualquier lugar gracias a las plataformas MaaS y Phishing como servicio (PhaaS). Junto con el robo de información como servicio y los kits de phishing de alquiler, estos ataques ya no se limitan a actores estatales; están disponibles para cualquiera con una billetera Bitcoin.
El auge de la autenticación sin contraseña
En contraste, la seguridad sin contraseña no solo es posible, sino también práctica. Empresas como Google, Microsoft y Shopify están implementando claves de acceso: claves criptográficas cifradas vinculadas a la autenticación biométrica o basada en dispositivos.

Microsoft quiere que sus más de mil millones de usuarios dejen de usar contraseñas para iniciar sesión en sus cuentas de Microsoft, mientras que Gartner predice que el 60 % de las empresas eliminarán las contraseñas para la mayoría de los casos de uso para 2025.

En sectores como las finanzas, la salud y la administración pública, los tokens de hardware, los inicios de sesión multifactor y la identificación biométrica están tomando el control. Incluso en países como Singapur e India, los sistemas de identidad digital respaldados por el gobierno están acelerando la adopción de sistemas sin contraseña para el acceso a la banca, los seguros y la atención médica. Esto se debe al deseo de mejorar la seguridad, optimizar la experiencia del usuario y agilizar las interacciones digitales.
En Singapur, por ejemplo, el sistema de Identidad Digital Nacional (NDI), basado en Singpass, conecta a más de 700 agencias gubernamentales y empresas privadas. Opciones como el reconocimiento facial, las tarjetas de identificación digitales y los códigos QR confirman la identidad del usuario rápidamente y son más seguras que las contraseñas tradicionales. Aadhaar de India, el sistema biométrico más grande del mundo, permite la verificación segura de la identidad digital mediante contraseñas de un solo uso (OTP) y biometría, mientras que la hoja de ruta de la identificación digital de Australia invierte en marcos federados sin contraseña.
Resistencia Conductual: Por Qué Seguimos Aferrados a las Contraseñas
A pesar de los avances en seguridad, las personas aún confían en lo que saben y las contraseñas nos resultan familiares. Pero esa familiaridad tiene un precio. Las contraseñas son fáciles de adivinar, olvidar, compartir o robar.

Check Point señala que la mala higiene de las contraseñas (como reutilizarlas, anotarlas o usar datos personales) sigue siendo un punto débil importante en la seguridad corporativa y personal.
Peor aún, los ataques de phishing (muchos generados por IA) continúan robando credenciales de inicio de sesión a gran escala, a pesar de la presencia de la autenticación de dos factores (2FA). El aumento de los ataques de phishing y deepfakes impulsados por IA solo aumenta la vulnerabilidad de los sistemas basados en contraseñas.
Riesgos de Seguir Usando Contraseñas en un Mundo Pos-IA
La evolución de la IA está volviendo obsoleta la autenticación basada en contraseñas:
• Los modelos de aprendizaje profundo se entrenan con miles de millones de contraseñas filtradas y pueden predecir patrones comunes más rápido que nunca.
• Los ataques de suplantación de identidad basados en voz y video que utilizan deepfakes pueden eludir incluso la autenticación multifactor si se basan en capas de identidad débiles.
• Las GPU basadas en la nube están democratizando el poder de descifrar contraseñas a gran escala, lo que permite que grupos de ransomware y script kiddies comprometan los sistemas rápidamente.
En resumen: cuanto más esperemos para prescindir de las contraseñas, más nos exponemos.
Qué deben hacer ahora las organizaciones
• Implementar sistemas piloto sin contraseñas mediante biometría, tokens o claves de acceso.
• Utilizar herramientas como Check Point Harmony para evitar la reutilización de contraseñas y el phishing.
• Implementar soluciones de Gestión de Acceso Privilegiado (PAM) y arquitecturas de Confianza Cero.
• Educar a los equipos no solo sobre contraseñas más seguras, sino también sobre su eliminación gradual.
“Check Point enfatiza la longitud, la diversidad y la singularidad de las contraseñas, pero también está alineado con la necesidad de explorar enfoques posteriores a la eliminación de las contraseñas. El Día Mundial de la Contraseña no debería centrarse únicamente en crear contraseñas más seguras. Debería ser un incentivo para imaginar un futuro sin ellas. Las herramientas existen. Las amenazas lo exigen. Lo único que falta es nuestra disposición a renunciar a estas”, dijo Manuel Rodríguez, Gerente de Ingeniería para NOLA en Check Point Software.