“El fin de las contraseñas está cerca”, esta es una predicción recurrente en la industria de la ciberseguridad, pero en la práctica está lejos de hacerse realidad. Aunque sean consideradas débiles y susceptibles de ataques, las contraseñas se mantienen como el método primario de identificación usado por individuos y organizaciones. A consecuencia de esto, el robo de credenciales sigue siendo uno de los principales objetivos de los ciberdelincuentes.
De acuerdo con KnowBe4, una plataforma global de ciberseguridad enfocada en el manejo del riesgo humano y el creciente impacto de las amenazas generadas con IA, el robo de credenciales ya representa el principal porcentaje de datos comprometidos en sectores críticos, siendo responsable de aproximadamente el 38 % de la información expuesta en incidentes de seguridad analizados. Aunque hay un amplio consenso sobre la importancia de las autenticaciones complejas (MFA), esta campaña extra de protección no elimina completamente el riesgo, ya que las contraseñas siguen siendo el primer punto de acceso criminal, especialmente en entornos en los que aún no se han implementado ampliamente enfoques más avanzados, como las arquitecturas de seguridad basadas en Zero Trust.
Para Rafael Peruch, asesor técnico para CISO en KnowBe4, “con el avance de la inteligencia artificial y las contraseñas aún constituyendo la base de prácticamente todos los sistemas digitales, la concienciación es un pilar esencial de la ciberprotección. Es indispensable combinar políticas sólidas, autenticación multifactorial y formación continua”.
Cómo se roban las contraseñas
Existen diferentes maneras a través de las cuales una contraseña puede verse comprometida, que terminan siempre en robo de credenciales y acceso no autorizado a sistemas e información. Entre los métodos más comunes está el robo directo de credenciales, explotación de procesos de restablecimiento de contraseñas débiles, y el abuso de vulnerabilidades técnicas y errores de configuración en ecosistemas corporativos.
Sin embargo, la ingeniería social es, con diferencia, el método más común y eficaz. Los ataques de phishing son cada vez más convincentes, y los mensajes falsos y las páginas fraudulentas engañan a los usuarios para que revelen sus propias credenciales, independientemente de lo largas o complejas que sean sus contraseñas.
Los datos de KnowBe4 muestran que, en entornos corporativos, las simulaciones de ataques de suplantación de identidad que utilizan temas internos encabezan la lista de plantillas de correo electrónico más cliqueadas. Aproximadamente el 98,4 % de estos mensajes tratan temas como la remuneración, los cambios en las políticas internas y las comunicaciones corporativas, y el 45,2 % hace referencia directa al departamento de Recursos Humanos.
Además, las credenciales pueden verse comprometidas cuando terceros observan la introducción de contraseñas en entornos públicos, a través de dispositivos infectados con malware o como resultado del robo de bases de datos de credenciales.
Consejos prácticos para crear contraseñas más seguras
Ante este panorama, KnowBe4 hace hincapié en que la protección comienza con hábitos cotidianos más seguros. A continuación se ofrecen algunas recomendaciones clave:
- Usa Autenticación Multifactor (MFA): siempre que sea posible, añada una capa adicional de protección más allá de las contraseñas, reduciendo así el impacto del robo de credenciales.
- Utilice contraseñas largas: Al menos 12 caracteres; para cuentas críticas o corporativas, lo ideal es que tengan 20 caracteres o más.
- Evite la información personal y los patrones predecibles: Los nombres, fechas, aficiones o secuencias numéricas simples son fácilmente explotables en ataques automatizados.
- Prefiera frases de contraseña: combinar palabras aleatorias que solo tengan sentido para el usuario, lo que las hace más difíciles de adivinar.
- No reutilices contraseñas: Cada servicio debe tener una contraseña única, especialmente cuando se separan las cuentas personales y profesionales.
- Tenga cuidado: incluso cuando los enlaces, mensajes o solicitudes parezcan legítimos o internos.
Mientras las contraseñas sigan siendo una parte fundamental del ecosistema digital, comprender cómo las aprovechan los atacantes y adoptar prácticas más seguras, junto con tecnologías como la autenticación multifactorial (MFA) y modelos de seguridad más robustos como Zero Trust, son pasos esenciales para reducir el riesgo y proteger la información personal y corporativa.
También puede leer: