Con motivo del Día Mundial de la Contraseña, la empresa española de ciberseguridad Factum advierte de un cambio profundo en la forma en la que se protegen las identidades digitales. El modelo tradicional basado en contraseñas empieza a quedarse atrás frente a un escenario de amenazas cada vez más sofisticado y automatizado.
Durante décadas, las contraseñas han sido la principal barrera de acceso a sistemas y servicios. Sin embargo, su eficacia se ve cada vez más comprometida. Tal y como señala Javier Vega, “estamos ante el principio del fin de las contraseñas tal y como las conocemos”. Aunque no desaparecerán de inmediato, su protagonismo está disminuyendo en favor de sistemas más avanzados que combinan múltiples factores de verificación, como la biometría, los dispositivos de confianza o el contexto de acceso.
Un modelo agotado frente a nuevas amenazas
Las contraseñas continúan siendo uno de los principales puntos débiles en ciberseguridad. Su vulnerabilidad se explica por tres factores clave: el elevado volumen de credenciales en uso, su reutilización entre distintos servicios y la facilidad con la que pueden predecirse. Según el Instituto Nacional de Ciberseguridad, más del 90% de los incidentes de seguridad tienen su origen en credenciales comprometidas o en contraseñas débiles.
A ello se suma la proliferación de mercados clandestinos donde circulan millones de datos filtrados, facilitando ataques automatizados como el credential stuffing. Paralelamente, el phishing personalizado permite a los ciberdelincuentes obtener acceso a cuentas de forma rápida y con un coste muy bajo.
Hacia un entorno “passwordless”
Ante este panorama, el sector está evolucionando hacia modelos de autenticación más robustos. La autenticación multifactor (MFA) se ha consolidado como una capa esencial de protección, mientras que tecnologías emergentes como las passkeys o los tokens físicos están transformando el acceso digital.
Las passkeys, en particular, representan un cambio de paradigma al sustituir las contraseñas por sistemas basados en dispositivos y biometría. Este enfoque no solo mejora la seguridad, al evitar el phishing y la transmisión de secretos por la red, sino que también simplifica la experiencia del usuario.
Además, se abre paso la autenticación adaptativa, que ajusta el nivel de verificación en función del riesgo. Factores como la ubicación, el dispositivo o el comportamiento del usuario permiten determinar si es necesario reforzar la autenticación en tiempo real.
Nuevos riesgos y desafíos
Sin embargo, eliminar las contraseñas no implica eliminar los riesgos, sino transformarlos. En este nuevo escenario, la seguridad depende en gran medida de la protección de los dispositivos y de una correcta gestión del ciclo de vida de la identidad. Un dispositivo comprometido o un sistema de recuperación de cuentas mal diseñado pueden convertirse en nuevas puertas de entrada para los atacantes.
A nivel empresarial, la transición hacia modelos passwordless también presenta retos importantes. Muchas organizaciones siguen operando con sistemas heredados que no son compatibles con estas tecnologías, lo que dificulta su implementación. A ello se suma la necesidad de un cambio cultural que permita gestionar identidades y accesos sin generar fricción en el usuario.
Regulación y sectores líderes
Desde el punto de vista normativo, este nuevo modelo ofrece ventajas significativas, como una autenticación más sólida, menor riesgo de filtraciones y una mejor trazabilidad de las identidades digitales. No es casualidad que sectores como el financiero y el tecnológico estén liderando esta transformación, impulsados tanto por la regulación como por su capacidad de innovación.
Otras industrias estratégicas, como la energía, las telecomunicaciones o la administración pública, están acelerando su adopción, conscientes de que la identidad digital se ha convertido en un elemento crítico para su operativa.
La identidad, en el centro de la estrategia
Ante este contexto, desde Factum recomiendan a las organizaciones avanzar en tres líneas clave: centralizar la gestión de identidades, implantar la autenticación multifactor como estándar y desarrollar sistemas de seguridad invisibles capaces de adaptarse al riesgo en tiempo real.
“El futuro de la ciberseguridad pasa por situar la identidad en el centro, con soluciones que protejan sin dificultar la experiencia del usuario”, concluye Javier Vega.
En definitiva, la transición hacia un mundo sin contraseñas ya está en marcha. Más que una tendencia, se trata de una evolución necesaria para hacer frente a un entorno digital en constante cambio, donde la seguridad y la usabilidad deben avanzar de la mano.
