El fin de las contraseñas se acelera
- Seguridad
El modelo tradicional basado en claves está agotado y ya no puede sostener la protección de identidades digitales en un entorno de amenazas industrializado. La transición hacia modelos passwordless, biometría y autenticación adaptativa marca el nuevo rumbo de la seguridad corporativa.
Con motivo del Día Mundial de la Contraseña, que se celebra el 7 de mayo, Factum alerta de que la protección de identidades digitales vive un punto de inflexión. “Estamos ante el principio del fin de las contraseñas tal y como las conocemos”, en palabras de Javier Vega, Security Manager de Cylum. Aunque no desaparecerán de inmediato, su papel deja de ser central en un contexto donde los ataques se han industrializado y los ciberdelincuentes explotan la previsibilidad y reutilización de claves.
Según datos del INCIBE, más del 90% de los incidentes de seguridad gestionados tienen como origen el compromiso de credenciales o el uso de contraseñas débiles o reutilizadas, lo que evidencia la urgencia de evolucionar hacia modelos más robustos.
Credential stuffing, phishing y mercados clandestinos
Millones de credenciales filtradas circulan en mercados clandestinos, alimentando ataques automatizados como el credential stuffing. A ello se suma un phishing cada vez más personalizado, capaz de comprometer identidades de forma rápida y económica. Este escenario ha impulsado la adopción de alternativas más seguras, como la autenticación multifactor (MFA), los tokens físicos y las passkeys.
Las passkeys representan un cambio profundo al sustituir las contraseñas por autenticación basada en dispositivos y biometría, eliminando la transmisión de secretos por la red y evitando el phishing. Estas tecnologías permiten una autenticación adaptativa, en la que el sistema ajusta el nivel de verificación en función del riesgo, considerando factores como ubicación, dispositivo o comportamiento del usuario.
La transición hacia modelos passwordless no elimina el riesgo, sino que lo transforma. La seguridad pasa a depender de la protección de los dispositivos y de la correcta gestión del ciclo de vida de la identidad. Un dispositivo comprometido o procesos de recuperación mal diseñados pueden convertirse en nuevas superficies de ataque que las organizaciones deben vigilar.
La adopción de estos modelos plantea desafíos relevantes, entre ellos la fragmentación tecnológica, ya que muchos sistemas legacy no soportan protocolos modernos; el cambio cultural, siendo necesario redefinir la gestión de accesos sin generar fricción en el usuario; y la presión regulatoria, que hace que la autenticación robusta y la trazabilidad se convierten en requisitos clave.
Los sectores financiero y tecnológico lideran la transición, mientras que energía, telecomunicaciones y administraciones públicas aceleran su adopción ante la criticidad de la identidad digital.
Factum recomienda a las organizaciones consolidar la gestión de identidades en plataformas centralizadas, implantar MFA como estándar obligatorio y diseñar un modelo de seguridad invisible, capaz de adaptarse al riesgo en tiempo real. El futuro de la ciberseguridad pasa por situar la identidad en el centro, con sistemas que protejan sin frenar la experiencia del usuario.
