El 81% de las brechas de seguridad involucran contraseñas débiles o robadas. Sin embargo, el verdadero problema no es tecnológico: es cultural. El Día Mundial de las Contraseñas invita a reflexionar sobre hábitos digitales que, en plena era de la inteligencia artificial, pueden costar caro. Facundo Balmaceda, especialista en Ciberseguridad de SONDA, no deja lugar a dudas: el sistema de autenticación que conocemos está llegando a su fin.
El problema no está en los servidores, está en las personas
Cuando se trata de explicar el origen de la mayoría de los ataques informáticos, Balmaceda apunta directo al comportamiento humano: ‘El factor humano es sin dudas el principal problema. La falta de educación en materia de seguridad digital hace que sigamos siendo el eslabón más débil. La reutilización de contraseñas, elegir claves débiles, caer en phishing y priorizar la comodidad por sobre la seguridad son algunos de los comportamientos habituales del humano’, asegura.
Para el experto, aunque la tecnología avanza a pasos agigantados —MFA, Zero Trust, IAM—, el desafío central sigue siendo la educación y el cambio de cultura. Una conclusión que suena simple pero que, según los números, pocas organizaciones logran sostener en el tiempo.
La IA: la misma herramienta, dos bandos opuesto
Si hay un tema que domina la conversación en ciberseguridad este año, es el rol de la inteligencia artificial. Y no precisamente del lado de los defensores.
‘Hoy se utiliza la IA como un multiplicador de capacidades para los ciberdelincuentes. Se aplica para automatizar, escalar y perfeccionar ataques que antes requerían mucho tiempo y habilidad técnica’, explica Balmaceda.
El especialista detalla el arsenal que los atacantes tienen hoy a su disposición: campañas de phishing hiperpersonalizadas, análisis de datos filtrados para predecir contraseñas y deepfakes de voz y video que engañan incluso a las mesas de ayuda de las empresas. Lo más alarmante, advierte, no es la sofisticación de estas herramientas sino su velocidad de adaptación.
‘Lo más crítico es la velocidad de evolución de estos ataques, dado que están aprendiendo y adaptándose en tiempo real. Un modelo de IA puede probar miles de variantes de un ataque, ajustarse y explotar con una precisión inédita en cuestión de segundos’, detalla.
MFA: la combinación importa más que el factor individual
Frente a un panorama tan hostil, la autenticación multifactor (MFA) se presenta como el estándar mínimo. Pero Balmaceda evita simplificaciones: dentro de los tres pilares del MFA —lo que sabés, lo que tenés y lo que sos— no hay jerarquías absolutas.
‘No existe un factor de autenticación totalmente infalible por sí solo; cada uno tiene fortalezas y debilidades. Justamente, el valor del MFA está en la combinación y no en la supremacía de un único factor’, subraya.
El experto señala que las contraseñas son claramente el factor más vulnerable, mientras que los tokens físicos representan la opción técnicamente más robusta frente a ataques remotos. Los datos biométricos, por su parte, ofrecen comodidad y seguridad mejorada, pero presentan un riesgo que pocas veces se menciona: a diferencia de una clave, no pueden cambiarse si son comprometidos.
Seguridad sin fricciones: el desafío de las organizaciones
Uno de los argumentos más frecuentes contra la adopción del MFA en empresas es que complica la experiencia del usuario. Balmaceda rebate este punto con lo que llama autenticación adaptativa en donde: ‘El equilibrio se logra dejando de pensar el MFA como fricción constante y aplicándolo de forma inteligente y contextual. Con autenticación adaptativa, el usuario legítimo accede casi sin notar la seguridad, mientras que los controles fuertes solo aparecen cuando hay riesgo real’.
La clave, explica, está en ajustar el nivel de exigencia según el riesgo de cada intento de acceso: no pedirle al mismo empleado que se autentique con tres factores para leer un mail interno y para transferir fondos de la empresa.
El futuro sin contraseñas: un cambio de identidad
La pregunta inevitable: ¿estamos cerca del fin de las contraseñas? La respuesta de Balmaceda es matizada, pero firme.
‘Siento que no estamos ante el fin inmediato de las contraseñas, pero sí ante su declive definitivo como mecanismo central de autenticación. En los próximos cinco años aproximadamente vamos a ver una transición pronunciada hacia los modelos passwordless, impulsados por Passkeys, biometría y autenticación basada en dispositivos confiables’.
Las Passkeys, señala, representan un quiebre real: no se escriben, no se reutilizan y son resistentes al phishing por diseño. Combinadas con biometría y evaluación de contexto, prometen un acceso más seguro y más simple al mismo tiempo.
‘Mi visión es que la contraseña quedará como un respaldo heredado, mientras que el acceso diario se basará en identidad, comportamiento y confianza dinámica. Menos ‘lo que recordás’ y más ‘quién sos’, ‘qué dispositivo usás’ y ‘cómo te comportás’’, finaliza.
En un mundo donde los ataques se miden en milisegundos y la IA actúa como amplificador del crimen digital, el Día Mundial de las Contraseñas deja un mensaje claro: la clave del futuro no es recordar más caracteres, sino construir una identidad digital más inteligente.
