La contraseña, un gran vector de ataque contra la identidad

Ayer fue el día Mundial de la Contraseña, aunque en este caso no como una reivindicación sino como un recordatorio de que tenemos que librarnos de ella. Según el Sophos Active Adversary Report 2026, el 67% de los incidentes del año pasado se originaron en ataques relacionados con la identidad. En el 42% de los casos, la causa de los ataques fueron las identidades comprometidas. Por si fuera poco, el informe señala que los atacantes pueden llegar al Active Directory de la empresa en solo 3,4 horas.

Hace ya tiempo que se proclamó la muerte de las contraseñas, pero un poco como el loco de Nietzsche en “Así habló Zaratustra”. Años después, todavía seguimos con las contraseñas a cuestas. Como vimos en un reportaje el año pasado, incluso en entornos en los que se han implantado otros métodos de autenticación, a menudo las contraseñas subsisten como última capa de seguridad de la identidad.

Sophos recuerda que no solo hay la posibilidad de “eliminar la contraseña de la ecuación” con tecnologías como passkeys, basada en criptografía de clave pública, sino que autoridades como el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos ya han actualizado sus directrices de autenticación “priorizando el uso de passphrases de 15 o más caracteres”.

Jeramy Kopacko, Associate Field CISO Americas en Sophos, afirma que, “a pesar del esfuerzo de Apple, Google, Microsoft, CISA y de Sophos por impulsar métodos de autenticación más robustos, las credenciales comprometidas siguen siendo la principal causa observada en los ataques de identidad. Los atacantes aprovechan las brechas de contraseñas de sitios y aplicaciones de uso cotidiano como punto de entrada de bajo esfuerzo y alto rendimiento, lo que les permite lanzar ataques de tipo ‘spray and pray’ o construir diccionarios con el historial de contraseñas de sus víctimas”.