En pleno 2025, seguimos enfrentándonos a una paradoja digital: aunque la tecnología avanza a pasos agigantados, las contraseñas siguen siendo uno de los puntos más débiles en la seguridad de las empresas. A pesar de décadas de campañas de concienciación, herramientas avanzadas y normativas estrictas, una simple contraseña débil puede derribar organizaciones centenarias o tu propia empresa.
El caso que lo demuestra: una contraseña que hundió una empresa de 158 años
Recientemente, una empresa de transporte con más de siglo y medio de historia fue víctima de un ataque de ransomware. ¿La causa? Una contraseña débil que fue adivinada por los atacantes. El resultado: más de 700 empleados afectados y la compañía forzada a entrar en administración. Este incidente pone en evidencia que, por muy robusta que sea la infraestructura tecnológica, una sola credencial comprometida puede desencadenar el caos.
Simon McNally, experto en ciberseguridad de Thales, lo resume así: “Las contraseñas han superado su utilidad. Son frustrantes, inseguras y fácilmente vulnerables. La higiene no puede arreglar lo que está fundamentalmente roto”.
¿Por qué las contraseñas siguen siendo un problema?
Ev Kontsevoy, CEO de Teleport, señala que la complejidad e interconexión de la infraestructura digital actual hace que una sola contraseña sea suficiente para robar datos críticos. Además, los atacantes se mueven lateralmente dentro de las redes a una velocidad alarmante, lo que significa que cuando se detecta una intrusión, el daño ya está hecho.
No se trata solo de contraseñas débiles o fáciles de adivinar. Las técnicas de phishing y la ingeniería social siguen siendo métodos eficaces y económicos para los ciberdelincuentes. Desde correos fraudulentos hasta llamadas al soporte técnico para solicitar un restablecimiento de contraseña, los métodos son variados y peligrosamente efectivos.
Las herramientas existen, pero su adopción es limitada
Herramientas como los gestores de contraseñas, la autenticación multifactor (MFA) y los sistemas de gestión de acceso privilegiado (PAM) han elevado el estándar de seguridad. Sin embargo, su uso sigue siendo desigual.
Darren Guccione, CEO de Keeper Security, advierte que muchas organizaciones aún almacenan credenciales en hojas de cálculo o utilizan contraseñas codificadas en sistemas, prácticas que exponen gravemente sus activos digitales. Incluso en grandes empresas, la resistencia al cambio y la percepción de complejidad frenan la adopción de estas herramientas.
Un dato preocupante: solo el 37% de las organizaciones auditan sus cuentas privilegiadas mensualmente, mientras que un 13% lo hace una vez al año o menos. Esto deja puertas abiertas a posibles intrusiones.
La promesa del futuro: autenticación sin contraseñas
La industria está apostando por la autenticación sin contraseñas como solución definitiva. Tecnologías como los passkeys, la identidad criptográfica y los accesos contextuales están ganando terreno. Estas soluciones eliminan la necesidad de recordar contraseñas y bloquean vectores de ataque comunes como el phishing.
Según investigaciones de Thales, el 48% de los consumidores confían más en las marcas que utilizan passkeys, cifra que asciende al 56% entre los usuarios más jóvenes. Esto demuestra que la experiencia del usuario y la seguridad pueden ir de la mano.
Ev Kontsevoy propone arquitecturas de confianza cero, acceso con privilegios mínimos y permisos “just-in-time” como pilares de una estrategia moderna. Estas prácticas reducen drásticamente el impacto de un posible acceso no autorizado.
¿Por qué no se implementa masivamente?
Doriel Abrahams, tecnólogo principal en Forter, señala que adoptar la autenticación sin contraseñas no es solo una mejora técnica, sino una transformación estratégica. Requiere rediseño de sistemas, formación de personal y un cambio cultural profundo.
Las barreras son múltiples: el 44% de las organizaciones citan la complejidad de implementación, el 38% las restricciones presupuestarias, el 34% los entornos multicloud y el 31% la falta de personal especializado. Además, los sistemas heredados y las normativas regulatorias ralentizan el proceso.
Por ahora, esta tecnología está más presente en ecosistemas de consumo como Apple, Google y Microsoft, mientras que su adopción en entornos empresariales sigue siendo gradual.
La educación: el eslabón perdido
Todos los expertos coinciden en que la tecnología por sí sola no basta. Richard Cassidy, CISO de Rubrik en EMEA, afirma que la verdadera higiene de contraseñas requiere un enfoque holístico: tecnología, procesos sólidos y educación significativa.
Steven Furnell, profesor de ciberseguridad en la Universidad de Nottingham, critica que muchas organizaciones traten la formación en contraseñas como un trámite. Sin una explicación clara del “por qué” detrás de las políticas, los usuarios tienden a buscar atajos inseguros, como reutilizar contraseñas o anotarlas en papel.
Abrahams añade que las reglas de complejidad suelen frustrar a los usuarios, llevándolos a prácticas como añadir simplemente un “!” al final de su contraseña habitual. Esto no mejora la seguridad y puede incluso empeorarla.
Cassidy concluye que culpar a los usuarios por fallos de seguridad es contraproducente. En su lugar, las empresas deben empoderarlos con herramientas confiables y formación continua.
¿Ha mejorado la higiene de contraseñas?
En algunos entornos, sí. Donde se combinan herramientas modernas, políticas claras y educación efectiva, se han logrado avances. Pero a nivel global, los fundamentos siguen siendo débiles. Como afirma McNally: “Quienes lideren el cambio hacia la autenticación sin contraseñas estarán mejor posicionados para ganarse la confianza y mantenerse seguros en un mundo digital en constante evolución”.
Hasta que las credenciales estáticas desaparezcan por completo, una sola contraseña débil seguirá siendo suficiente para derribar incluso a las organizaciones más consolidadas.