Cada año, el primer jueves de mayo, se celebra el Día Mundial de la Contraseña, donde los profesionales de la ciberseguridad instan al público a reforzar la higiene de sus contraseñas. Sin embargo, en 2025, esta tradición podría quedar obsoleta. La razón principal es que la excesiva dependencia de las contraseñas se ha convertido en un riesgo significativo.
Se estima que más de 24,600 millones de combinaciones de nombre de usuario y contraseña están actualmente en circulación en los mercados cibercriminales. Los ciberdelincuentes aprovechan la situación actual, donde un gran porcentaje de la validación de identidad sigue dependiendo de contraseñas, lo que les permite ejecutar diversos ataques y robar credenciales.
El Problema de las Contraseñas Hoy
Los datos son contundentes. La contraseña 123456 sigue siendo una de las más utilizadas, fácilmente descifrada en segundos por hackers. Además, una encuesta realizada por Google y Harris Poll reveló que al menos el 65% de las personas reutilizan sus contraseñas en múltiples sitios, exponiéndose a ataques de robo de credenciales.
Las nuevas amenazas han acelerado este riesgo. Los ataques de fuerza bruta, que anteriormente dependían de CPU, ahora utilizan GPU de alta velocidad capaces de adivinar más de un millón de combinaciones de contraseñas por segundo. Esto significa que lo que antes tardaba años en descifrarse ahora puede hacerse en minutos.
La Economía del Cibercrimen
El mercado negro de credenciales robadas es vasto y lucrativo. Se estima que más de 24,600 millones de combinaciones de credenciales circulan en mercados cibercriminales, y la escala real es difícil de verificar debido a la reventa de datos robados. Estas credenciales son más baratas cuando se compran en grandes cantidades, como se evidenció en el caso de Booking.com, donde miles de credenciales se vendieron por tan solo 2,000 dólares.
Los grupos de amenazas más sofisticados del mundo, como Kimsuky (Corea del Norte) y APT28/29 (Rusia), utilizan malware para atacar tokens MFA y monederos de criptomonedas, propagándose a través de bots de Telegram. En 2024, se reportó que 3,900 millones de credenciales se vieron comprometidas debido a infecciones de malware en millones de dispositivos.
El Auge de la Autenticación sin Contraseña
A pesar de los riesgos asociados con las contraseñas, la seguridad sin contraseña se presenta como una solución viable. Empresas como Google y Microsoft están implementando claves de acceso vinculadas a la autenticación biométrica. Microsoft, por ejemplo, desea que sus usuarios dejen de usar contraseñas por completo.
En sectores como finanzas y salud, la adopción de tokens de hardware y autenticación biométrica está en aumento. Países como Singapur e India están acelerando la implementación de sistemas de identidad digital que promueven la autenticación sin contraseña para acceder a servicios bancarios y de salud.
Riesgos de Usar Contraseñas en un Mundo Pos-IA
Con la evolución de la inteligencia artificial, las contraseñas están quedando obsoletas. Los modelos de aprendizaje profundo pueden predecir patrones comunes de contraseñas más rápido que nunca, y los ataques de suplantación de identidad pueden eludir incluso la autenticación multifactor.
En resumen, cuanto más tiempo tardemos en dejar de usar contraseñas, más vulnerables nos volveremos. Es crucial que las organizaciones comiencen a probar sistemas sin contraseñas utilizando biometría y claves de acceso, y que se capacite a los equipos sobre la necesidad de eliminar gradualmente las contraseñas.
El Día Mundial de la Contraseña debería ser un llamado a la acción para imaginar un futuro sin ellas. Las herramientas existen y las amenazas son reales; solo falta nuestra disposición para abandonarlas.
