Contraseñas, multifactor y 'passkeys': así evoluciona la seguridad digital hacia un futuro sin claves tradicionales
Las contraseñas, el método más antiguo y extendido, se enfrentan a un futuro incierto ante el auge de las 'passkeys' y la autenticación multifactor
Los gestores de contraseñas son una alternativa que funciona como una caja fuerte digital
La autenticación en entornos digitales es clave para proteger la identidad de los usuarios y salvaguardar su información. Sin embargo, las contraseñas, el método más antiguo y extendido, se enfrentan a un futuro incierto ante el auge de las 'passkeys' y la autenticación multifactor (MFA), cada vez más extendidas en servicios y plataformas.
Aunque las contraseñas han sido durante décadas la puerta de entrada a sistemas y dispositivos, hoy se consideran insuficientes por los avances en ciberataques y los errores comunes que cometen los propios usuarios.
Vulnerabilidad de las contraseñas
"Los atacantes utilizan herramientas muy avanzadas, incluso con inteligencia artificial (IA) para adivinarlas o robarlas", advierte Eusebio Nieva, director técnico de Check Point Software para España y Portugal. A este problema se suma que muchos usuarios emplean claves débiles como '12345', las reutilizan en varias cuentas o incluyen datos personales fáciles de adivinar.
"La dependencia exclusiva de contraseñas ya no es recomendable. Si bien aún están presentes en muchos sistemas, su eficacia como única medida de protección ha disminuido considerablemente debido al incremento en técnicas de robo de credenciales", ha valorado Nieva.
Gestores y autenticación de dos factores
Una medida complementaria son los gestores de contraseñas, aplicaciones que permiten guardar y organizar de manera segura todas las credenciales. Funcionan como una caja fuerte protegida por una clave maestra única.
Estos sistemas emplean cifrado avanzado y generan contraseñas distintas para cada sitio, reduciendo el riesgo de reutilización. “No podrá leer las contraseñas sin la clave adecuada”, ha indicado el investigador principal de Kaspersky, Marc Rivero, quien subraya que estos gestores suelen trabajar con cifrado de extremo a extremo, lo que garantiza que solo el usuario tenga acceso a su contraseña maestra.
No obstante, su punto débil es que dependen de que la persona proteja esa clave principal, elija una combinación robusta y, preferiblemente, la complemente con autenticación de dos factores (2FA), ha advertido Rivero.
La 2FA consiste en requerir dos pruebas de identidad para acceder a una cuenta: además de la contraseña, puede pedirse un código recibido en el teléfono móvil, una aplicación de autenticación o una huella digital. Según Rivero, este método “añade una capa adicional de protección” y hace que “la seguridad aumente significativamente”.
La autenticación multifactor (MFA) va un paso más allá al exigir dos o más mecanismos de verificación.
Entre los distintos métodos, los más sólidos son, de mayor a menor fiabilidad, las llaves físicas o tokens, las aplicaciones de autenticación como Google Authenticator o Microsoft Authenticator y, en último lugar, los SMS, según ha detallado el director de Investigación y Concienciación de ESET España, Josep Albors.
En cuanto a los SMS, Albors ha recordado que “hace años que se aconseja dejar de usar” este sistema, porque resulta sencillo de interceptar mediante técnicas como el SIM swapping.
Asimismo, la MFA no es infalible, ya que puede ser objeto de ataques de ingeniería social para convencer al usuario de que entregue voluntariamente su código de acceso, por ejemplo, a través de páginas web falsas, ha advertido Albors.
Un paso más: las 'passkeys'
Las claves de acceso o 'passkeys' son una de las soluciones más recientes. Funcionan con tecnologías biométricas (huella dactilar, reconocimiento facial) o con un PIN local para validar la identidad, sin necesidad de contraseñas.
Según el director global de Operaciones de Consumo en Panda Security, Hervé Lambert, las 'passkeys' son actualmente “uno de los métodos más seguros para autenticarse” y se basan en la criptografía asimétrica: el usuario guarda una clave privada en su dispositivo, mientras que el servicio en línea gestiona la clave pública asociada. De este modo, resultan “inútiles” frente al phishing, “ya que no hay nada que robar visualmente”.
Como inconveniente, Lambert recuerda que aún no están disponibles en todos los servicios ni navegadores y requieren dispositivos compatibles y actualizados.
¿Cuándo usar cada método?
Lambert insiste en que las contraseñas deberían emplearse “solo cuando no haya otra alternativa”. Una buena clave debe contar con al menos doce caracteres, mezclando mayúsculas, minúsculas, números y símbolos, para resistir ataques de fuerza bruta.
La MFA, en cambio, es “imprescindible” en cuentas críticas como correo electrónico, redes sociales o banca digital. Por su parte, las 'passkeys' son “ideales siempre que estén disponibles”, especialmente en plataformas que ya las han integrado, como Google o Apple, por su mayor seguridad y facilidad de uso.
Hacia un futuro sin contraseñas
La tendencia más clara en la seguridad digital es el abandono progresivo de las contraseñas en favor de sistemas como las 'passkeys'. Junto a ellas, se afianzan tecnologías como la autenticación adaptativa, que analiza el contexto, ubicación, dispositivo, dirección IP, hábitos de uso, para determinar la legitimidad de un acceso y reforzar la seguridad cuando se detecta un riesgo.
A esto se suma el “uso creciente de IA para detectar patrones anómalos en tiempo real y aplicar autenticación adaptativa. Todo apunta hacia una autenticación más transparente para el usuario, pero más robusta y contextual para los sistemas”, ha concluido Nieva.
