Día Mundial de la Contraseña 2026: Ocho expertos en seguridad sobre el fin de la era de las contraseñas, los ataques impulsados por IA y por qué las passkeys ya no son opcionales.
El 7 de mayo es el Día Mundial de la Contraseña. Normalmente, una ocasión para recordar que las contraseñas deben tener al menos 16 caracteres, combinar mayúsculas y minúsculas, dígitos y caracteres especiales. Normalmente. Porque ocho expertos en seguridad coinciden en algo: en 2026, ese mensaje no da en el blanco. No porque sea incorrecto, sino porque las contraseñas son simplemente la herramienta equivocada para el trabajo que se supone deben hacer.
Los atacantes ya no entran por la fuerza — simplemente inician sesión
«Los hackers ya no irrumpen: simplemente inician sesión.» Patrick Fetter, Lead Sales Engineer y Cyber Security Evangelist en Check Point Software, va al grano. El panorama de amenazas ha evolucionado hacia una economía de Cybercrime-as-a-Service (CaaS) industrializada, impulsada por la IA generativa. Una contraseña de 16 caracteres es inútil si un malware infostealer la extrae directamente del caché del navegador o si un empleado la pega en un chatbot de IA no controlado.
Los números lo confirman: el Informe DBIR 2025 de Verizon analizó más de 22.000 incidentes de seguridad y concluyó que las credenciales robadas fueron el vector de acceso inicial en el 22 % de las brechas confirmadas, cifra que asciende al 88 % en los ataques a aplicaciones web. Rich Greene, instructor en el SANS Institute, añade que un informe de IBM X-Force registró un aumento del 84 % interanual en malware infostealer distribuido mediante correos de phishing ordinarios. No es explotación sofisticada de vulnerabilidades zero-day. Es malware de producción masiva.
La dark web se ha profesionalizado — y los precios son inquietantemente bajos
Lo que se recopila de los dispositivos comprometidos llega rápidamente al mercado. Según Fetter, la dark web ha experimentado un cambio masivo de plataforma: los compradores son redirigidos a canales privados de Telegram y bots automatizados para transacciones inmediatas. Una cuenta de Facebook hackeada cuesta unos 45 dólares; un acceso a Gmail, entre 60 y 65 dólares. Las cuentas de banca online verificadas con saldo elevado pueden alcanzar los 1.170 dólares. El mercado más lucrativo corresponde a los Initial Access Brokers (IABs): según Rapid7, los precios base promedio se sitúan en unos 2.700 dólares, y el acceso administrativo con altos privilegios supera los 113.000 dólares. Las suscripciones a malware infostealer como LummaC2 o RedLine cuestan entre 100 y 1.024 dólares al mes.
La IA hace que el phishing sea alarmantemente eficaz
La IA no solo reduce las barreras de entrada, sino que mejora drásticamente la calidad de los ataques. Los paquetes de phishing-as-a-service personalizados y dirigidos por IA se venden en Telegram por menos de 100 dólares al mes. El resultado: según un estudio de Brightside AI, los correos de phishing generados por IA logran tasas de clics de hasta el 54 %, frente al 12 % aproximado del phishing tradicional. Tomer Bar, de Semperis, explica el núcleo matemático del problema: aunque el espacio de búsqueda de una contraseña de diez caracteres equivale teóricamente a 1.700 años de ataque por fuerza bruta, los patrones predecibles del comportamiento humano reducen ese espacio a aproximadamente 100 billones de combinaciones, que una GPU de gama alta puede explorar en minutos.
Passkeys: la tecnología está lista — pero también los obstáculos
Las passkeys, basadas en criptografía asimétrica, son resistentes al phishing por diseño: están vinculadas criptográficamente a un dominio específico y sencillamente no funcionan en sitios falsificados. Según la FIDO Alliance, el 69 % de los consumidores ya dispone de al menos una passkey. Google registra más de 800 millones de cuentas con passkeys y 2.500 millones de inicios de sesión con passkeys. Esto ya no es teoría. Sin embargo, Rich Greene advierte: la infraestructura heredada, los directorios locales, los puestos de trabajo compartidos y los dispositivos antiguos sin TPM ni hardware biométrico plantean dificultades reales. La recuperación de cuentas y la interoperabilidad entre plataformas aún no están resueltas del todo. «La dirección es correcta, pero el camino será caótico para muchas organizaciones», afirma Greene.
Los agentes de IA como nuevo desafío de identidad
Mark Molyneux, de Commvault, señala el «tsunami de identidades» que generan los agentes de IA: McKinsey pasó de 40.000 a 65.000 unidades en dos años, siendo la diferencia 25.000 agentes de IA. Cada uno requiere una identidad gestionada, derechos de acceso y credenciales que deben protegerse con el mismo rigor que las cuentas humanas. Los agentes de IA en la sombra, introducidos por departamentos sin supervisión de TI, son especialmente peligrosos. Molyneux exige que la copia de seguridad, la recuperación y la integridad de las identidades estén a la altura de las capacidades de la IA.
Qué deben hacer las organizaciones ahora
Las recomendaciones de los expertos convergen en pocas acciones claras: adoptar autenticación sin contraseña y FIDO2; implementar un modelo de confianza cero centrado en la identidad que combine EDR con ITDR; controlar el vector del navegador de IA — las herramientas DLP tradicionales fallan cuando los empleados pegan datos sensibles en ChatGPT; y monitorizar continuamente la dark web y Telegram para interceptar credenciales antes de que los IABs las revendan a grupos de ransomware. Martin Zugec, de Bitdefender, lanza el veredicto más contundente: «El Día Mundial de la Contraseña debería rebautizarse como el Día Mundial de la Sustitución de Contraseñas.»
Conclusión: las contraseñas no están muertas — pero ya no son suficientes. Cada passkey que reemplaza una contraseña elimina una superficie de ataque. Los equipos de seguridad deben desplegar menos contraseñas, implementar MFA resistente al phishing en todas partes y avanzar hacia la autenticación sin contraseña — con la mayor pragmatismo posible, tan rápido como sea responsable.
Carolina Heyder es periodista y moderadora con amplia experiencia en el mercado de TI alemán e internacional. Ella ha trabajado durante muchos años para renombradas editoriales europeas especializadas como WEKA Fachmedien, Vogel IT Medien, Springer y Aspencore. Ella elabora contenidos para web y medios impresos y es una experta frente al micrófono y las cámaras. Gracias a su dominio del alemán, inglés y español, así como a sus raíces en Chile, aporta una perspectiva global e intercultural a temas como ciberseguridad, inteligencia artificial, transformación digital, sostenibilidad y otros ámbitos claves del sector TI.