La contraseña: un modelo de seguridad anticuado

08/05/2026 - NoticiasClave.net

La compañía global de ciberseguridad Sophos lanzó el jueves, Día Mundial de la Contraseña, la advertencia de que las credenciales comprometidas continúan siendo la causa raíz más observada en los ataques de identidad.

Los análisis, según esta impotante empresa, revelan dos problemas persistentes: contraseñas débiles o cortas y reutilización masiva en múltiples sitios.

Según el informe Sophos Active Adversary Report 2026, el 67 % de los incidentes analizados en 2025 tuvieron su origen en ataques relacionados con la identidad. Las credenciales comprometidas, por sí solas, fueron la causa principal en el 42 % de los casos ?por segundo año consecutivo?, mientras que los atacantes son capaces de alcanzar el Active Directory corporativo en apenas 3,4 horas tras el acceso inicial. El modelo de seguridad basado en contraseñas ha quedado estructuralmente obsoleto.

Passkeys

Frente a esta problemática, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) ha actualizado sus directrices de autenticación priorizando el uso de passphrases de 15 o más caracteres, en lugar de sugerir requisitos de complejidad arbitrarios como mayúsculas, números y símbolos. Una frase larga y única es, en la práctica, más segura y más fácil de recordar que una contraseña corta cargada de caracteres especiales.

Por su parte, las passkeys eliminan la contraseña de la ecuación. Basándose en criptografía de clave pública, el dispositivo del usuario genera un par de claves (una pública y otra privada) en el momento del registro, nunca transmite un secreto por la red y vincula la autenticación al dominio legítimo, lo que las hace resistentes al phishing. Y puede combinarse con la biometría, que actúa como mecanismo seguro y cómodo para desbloquear la clave privada almacenada en el dispositivo del usuario mediante huella dactilar o reconocimiento facial.

Recomendaciones

Los usuarios deberían utilizar passkeys o configurar un gestor de contraseñas que automatiza la creación de passphrases únicas, las almacena de forma segura, gestiona el inicio de sesión y avisa si alguna de sus credenciales ha aparecido en una brecha conocida. Para los CISO, Sophos ha publicado un CISO Playbook que ayuda a las organizaciones a reforzar la autenticación de usuarios con passkeys.