Según datos del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), en 2024 se detectaron 14.264 vulneraciones de este tipo, lo que equivale a un ciberataque cada 30 minutos y representa un aumento de más del 65% respecto del año anterior. La mayoría de estos incidentes estuvo vinculada a phishing, robo de credenciales y accesos no autorizados, ataques que suelen explotar contraseñas débiles o reutilizadas.
A propósito del Día Mundial de la Contraseña, que se conmemora cada primer jueves de mayo, la diaria consultó a Ana Lucero, referente en ciberseguridad de la Cámara Uruguaya de Tecnologías de la Información (CUTI).
¿Cuáles son las claves para definir una contraseña segura, y cómo respaldarla para no olvidarla?
Para que una contraseña sea segura tiene que ser difícil de adivinar para cualquier otra persona o sistema, pero manejable para quien la usa. Para lograrlo, conviene que sea larga (al menos 15 caracteres) y en lo posible que combine letras mayúsculas y minúsculas, números y algún carácter especial. Una buena técnica es construirla como una frase que solo tenga sentido para el usuario: algo que se pueda recordar pero que no tenga relación con información pública o fácilmente conocible de la persona, como el nombre propio, el de un familiar o una mascota, o fechas de cumpleaños. Ese tipo de datos son los primeros que un atacante va a probar. También es clave no reutilizar la misma contraseña en distintas cuentas, porque si una se filtra, quedan expuestas todas.
En cuanto al respaldo, la mejor práctica hoy es usar un gestor de contraseñas, una herramienta diseñada específicamente para almacenarlas de forma segura, de modo que no haya que memorizar cada una. Solo se requiere recordar una única contraseña maestra –esa sí tiene que ser especialmente robusta– y el gestor se encarga del resto.
¿Cada cuánto hay que cambiarla?
Este es un tema donde las recomendaciones han evolucionado bastante. Durante años, la práctica estándar fue cambiar las contraseñas cada cierto período fijo –90 días, seis meses– como una política obligatoria. Hoy los principales marcos de referencia en ciberseguridad, como las guías del NIST [el Instituto Nacional de Estándares y Tecnología de Estados Unidos], han revisado esa postura. Estos marcos indican que cambiar una contraseña con frecuencia no necesariamente la hace más segura, y en muchos casos lleva a que las personas elijan contraseñas más débiles o predecibles porque saben que van a tener que renovarla pronto.
La recomendación actual es cambiarla cuando hay una razón concreta. Por ejemplo, si existe sospecha de que fue comprometida, si se recibe una alerta de filtración o si el servicio utilizado sufre un incidente de seguridad. Dicho esto, en ciertos sectores regulados –como el financiero– aún existen requisitos formales de rotación periódica. En Uruguay varias instituciones del sistema financiero establecen un ciclo de vida máximo de seis meses para las contraseñas de sus sistemas.
¿Hay que prestar atención a las alertas de filtración de datos?
Absolutamente, pero primero vale aclarar de qué tipo de alertas se trata, porque no todos los usuarios las reciben de la misma manera. Algunas empresas y servicios digitales notifican directamente a sus usuarios cuando detectan que sus datos pueden haber sido expuestos –ya sea por correo electrónico, en la app o mediante un aviso en la propia plataforma–. Cuando eso ocurre, hay que tomarlo en serio y actuar de inmediato: cambiar la contraseña afectada, revisar si la misma contraseña se usó en otros servicios y activar el doble factor si aún no estaba habilitado.
Pero la realidad es que muchas filtraciones no llegan con una alerta formal. A veces el usuario se entera por una noticia, por comentarios en redes sociales o simplemente nunca se entera. Para cerrar esa brecha existen herramientas gratuitas como Have I Been Pwned, donde cualquier persona puede ingresar su dirección de correo y verificar si aparece en alguna filtración conocida. No es una alerta en tiempo real, pero funciona como un chequeo preventivo que cualquiera puede hacer.
¿Hasta dónde protege la doble autenticación?
La autenticación de dos factores, conocida como 2FA o MFA, es hoy una medida de protección indispensable. Además de la contraseña, el sistema solicita una segunda verificación para confirmar quién está accediendo. Eso significa que, aunque alguien consiga la contraseña, no le alcanza para entrar al sistema.
Sin embargo, no todos los métodos de doble factor son igual de seguros. Por ejemplo, el SMS y el correo electrónico son los más comunes, pero también los más vulnerables, porque pueden ser interceptados o redirigidos. Las aplicaciones de autenticación como Google Authenticator o Microsoft Authenticator generan códigos temporales que son considerablemente más seguros. Y en entornos de mayor criticidad existen tokens físicos que ofrecen el nivel de protección más alto.
También existen desafíos, ya que ningún mecanismo es infalible. Hoy existen técnicas de ataque sofisticadas que logran engañar al usuario en tiempo real para capturar la contraseña y el código de doble factor simultáneamente. Por eso, la doble autenticación es necesaria pero no suficiente. Todas las medidas mencionadas tienen que ir acompañadas de atención y sentido crítico del usuario frente a solicitudes de acceso que no son esperados.
El uso de combinaciones débiles y reutilizadas continúa siendo la principal puerta de entrada a los ciberataques.
¿Qué ventajas y desventajas presentan los gestores de contraseñas?
Los gestores de contraseñas resuelven el tema de tener que recordar contraseñas únicas y robustas para cada servicio o sistema. El gestor almacena las contraseñas de forma segura y las pone a disposición del usuario en el momento en que las necesita. Existen gestores que funcionan en la nube y son accesibles desde cualquier dispositivo y otras soluciones que trabajan de forma local, sin depender de un servicio externo.
Más allá del almacenamiento, los gestores modernos ofrecen un conjunto de funcionalidades prácticas para el usuario. Por ejemplo, generan contraseñas fuertes de forma automática, lo que naturalmente desincentiva la reutilización, avisan si alguna contraseña guardada apareció en una filtración conocida, entre otras. Algunos también permiten integrar el doble factor directamente desde la misma plataforma, y ofrecen auditorías periódicas que muestran cuáles contraseñas son débiles, cuáles están repetidas y cuáles conviene actualizar.
La desventaja principal es que concentran todo en un solo punto. Si alguien obtiene acceso al gestor, accede a todas las contraseñas que allí se almacenan. Por eso la contraseña maestra tiene que ser especialmente fuerte y nunca estar anotada en un lugar accesible. Además, en el caso de los gestores en la nube existe cierta dependencia del proveedor. Por ejemplo, si el servicio tiene un incidente o deja de funcionar, puede afectar el acceso. Aun así, con una buena contraseña maestra y doble factor activado en el propio gestor, los beneficios superan ampliamente los riesgos para la gran mayoría de los usuarios.
¿Estamos camino a cambiar la manera de acceder a nuestras cuentas?
El cambio ya está ocurriendo, aunque quizás no lo notamos porque sucede de forma gradual. La contraseña tradicional sigue siendo protagonista, pero cada vez comparte más espacio con mecanismos que hace unos años eran menos pensados para el usuario común.
El ejemplo más visible es la biometría. Hoy la mayoría de las personas desbloquea su teléfono con la huella o el reconocimiento facial. Ese mismo principio se está extendiendo al acceso a aplicaciones y servicios. También se popularizó el ingreso a través de cuentas consolidadas –cuando un sitio ofrece “acceder con Google” o “acceder con Apple”, está delegando la verificación de identidad a un proveedor que ya conoce al usuario–. Es más cómodo, aunque implica concentrar mucha confianza en esas plataformas.
Hacia adelante, la tendencia apunta a sistemas que verifican la identidad de forma más inteligente, por ejemplo, considerando desde qué dispositivo se accede, en qué ubicación, a qué hora, y si el comportamiento es coherente con los hábitos del usuario, entre otros.
La contraseña no va a desaparecer de golpe, pero su rol está cambiando hacia algo más cómodo para el usuario y más difícil de vulnerar para un atacante.