Hoy es el Día Mundial de la Contraseña. Y la sensación es que seguimos aplicando validaciones desfasadas.
Una serie de condiciones booleanas encadenadas: si tiene mayúscula, si tiene número, si tiene símbolo, si supera el mínimo. Un sistema de ifs anidados que devuelve "contraseña válida" o "contraseña inválida". El problema es que esa lógica no mide lo que importa.
Lo que debería medir es la entropía: cuán predecible es esa contraseña para un sistema que prueba millones de combinaciones por segundo. Y ahí los checks tradicionales fallan. "Qu3_p4s4” supera todos los filtros (mayúscula, número, símbolo, longitud) y sin embargo su entropía es baja.
Ya existen herramientas que intentan corregir esto. zxcvbn, desarrollada por Dropbox, es la más adoptada: en lugar de checklists, modela cómo atacaría un humano, busca palabras del diccionario, nombres, fechas, patrones de teclado, sustituciones comunes. Devuelve una estimación de intentos necesarios para romper la contraseña, no un booleano. Es la base de la mayoría de medidores de fortaleza que aparecen en formularios modernos pero rara vez la vemos aplicada a ellos.
El año pasado publicamos en Black Hat USA AIPassYou, una herramienta open source que extrae datos públicos de perfiles sociales, identifica palabras clave con ayuda de IA y genera diccionarios de hasta diez millones de contraseñas candidatas aplicando reglas de permutación (sustituciones típicas, rangos de fechas, caracteres especiales). El resultado: un 40% de acierto sobre cuentas reales filtradas en brechas públicas. Cuatro veces más que herramientas de referencia como rocktyou.txt.
Pero hay una dimensión del problema que los checks ignoran por completo: las contraseñas no se generan en el vacío, las generan personas. Y las personas usan lo que conocen (sus nombres, sus fechas, sus aficiones, los equipos que siguen, las ciudades donde han vivido). Información que, en muchos casos, está publicada en sus perfiles de redes sociales.
Pero no podemos hablar de contraseña sin hablar de identidad.
La identidad es el nuevo perímetro
Las entidades financieras llevan años operando con un modelo radicalmente distinto. Cuando accedes a tu banca online, la contraseña es solo el primer filtro. Lo que ocurre después es invisible para el usuario pero técnicamente denso: el sistema registra la cadencia entre pulsaciones, la duración de cada tecla, la velocidad con la que rellenas los campos. Si normalmente escribes carácter a carácter y hoy la contraseña aparece pegada desde el portapapeles, es una señal. Si accedes siempre desde el mismo dispositivo y hoy el fingerprint es distinto, es otra. Si tu patrón habitual es Madrid a las 9 de la mañana y la sesión viene de otra geografía a las 3 de la madrugada, la contraseña correcta no es suficiente para entrar.
Esto es biometría conductual combinada con análisis de riesgo contextual en tiempo real. El sistema no verifica un secreto puntual, construye un perfil de comportamiento continuo y puntúa cada sesión contra ese perfil. Si la puntuación supera un umbral de anomalía, escala la autenticación (un segundo factor, una llamada, un bloqueo temporal). Si el comportamiento es consistente, el acceso es transparente. La fricción aparece exactamente donde debe: cuando algo no cuadra.
El resultado es que la contraseña deja de ser el vector de confianza y pasa a ser una señal más dentro de un modelo de identidad continua. Lo que el sistema verifica no es solo lo que sabes, sino cómo te comportas, desde dónde actúas y con qué consistencia.
El problema es que la mayoría de las organizaciones gestionan esa identidad de forma incompleta.
Y no hablamos solo del usuario que entra con su contraseña cada mañana. En un entorno corporativo moderno, la mayor parte de las identidades que operan en el sistema no son humanas: son cuentas de servicio, pipelines de CI/CD, integraciones entre sistemas, tokens de API, agentes automatizados.
Identidades que se autentican, acceden a recursos y ejecutan operaciones, muchas veces con privilegios elevados y sin ningún mecanismo de supervisión continua. El perímetro ya no es la red. Es la identidad. Y si la identidad no humana está mal gestionada, el modelo de confianza entero tiene grietas que ninguna política de contraseñas va a cerrar.
Cuentas de usuario
Empleados activos, pero también exempleados cuyo acceso nunca se revocó o usuarios con permisos acumulados que nadie ha revisado.
Cuentas privilegiadas
Administradores de sistemas, perfiles DevOps, roles con acceso a datos críticos. Las más valiosas para un atacante y las menos supervisadas.
Identidades de terceros
Proveedores, partners, consultores. Accesos creados para un proyecto que siguen activos meses después de que ese proyecto terminó.
Cuentas de servicio e IA
Aplicaciones y agentes de IA con permisos heredados que nadie ha cuestionado. Invisibles en el día a día, extremadamente atractivas para los atacantes.
Los errores más frecuentes no son sofisticados, son más organizativos: permisos que nadie revisó, cuentas de personas que ya no trabajan en la empresa, accesos de terceros abiertos más allá de su propósito original. Gestionar bien estas identidades requiere tres capacidades concretas.
Visibilidad total
Saber en todo momento qué identidades existen, qué permisos tienen y si ese acceso sigue siendo necesario. Sin visibilidad no hay control posible.
Mínimo privilegio
Cada identidad accede solo a lo que necesita para su función. Un proveedor externo no debería mantener acceso indefinido tras terminar su contrato.
Detección continua
Monitorizar el comportamiento de cada identidad para detectar anomalías en tiempo real (accesos inusuales, descargas masivas, inicios de sesión nocturnos).
Cuando estas tres capacidades no están, una contraseña comprometida (aunque sea robusta y esté protegida con doble factor) puede abrir puertas que la organización no sabía que existían. Los datos de nuestro Informe de Tendencias en Ciberseguridad lo confirman año tras año.
Credenciales comprometidas: el vector de entrada más frecuente
Los datos lo confirman. Nuestro Informe de Tendencias en Ciberseguridad 2026, elaborado a partir de más de 1.350 vulnerabilidades analizadas en auditorías de seguridad reales, sitúa el phishing como el mecanismo más frecuente de compromiso de credenciales. Y los números son precisos: 1 de cada 3 usuarios que recibe un correo fraudulento lo abre. El 19% accede al enlace. El 12% entrega sus credenciales.
La formación reduce esa superficie. El porcentaje de usuarios que interactúa con correos de phishing ha bajado un 34%. Pero la reducción no es eliminación. Lo que queda no son estadísticas residuales, son puertas de entrada activas. Una organización de cien personas con esos ratios tiene, en cada campaña de phishing dirigida, doce usuarios potencialmente comprometidos. Con uno es suficiente.
Y aquí el modelo de identidad continua encuentra su límite real: si el atacante entra con credenciales legítimas, desde el dispositivo del usuario, en su horario habitual, el perfil conductual no detecta anomalía alguna. El sistema ve a un usuario normal haciendo cosas normales. La contraseña robada no solo abre la puerta, convierte al atacante en el usuario.
Por eso la respuesta no es solo técnica. Ninguna arquitectura de identidades compensa un usuario que entrega sus credenciales. La formación no es un complemento opcional al modelo de seguridad, es una capa estructural del mismo. Y los datos sugieren que funciona, pero que el margen que deja sigue siendo explotable.
Una credencial débil, reutilizada o comprometida sigue siendo una puerta de entrada. La formación y los buenos hábitos son parte de la solución, pero esa primera línea no puede ser la única. La responsabilidad es compartida entre el usuario y la organización.
Lo que la IA cambia
Todo lo que hemos descrito hasta aquí (entropía contextual, perfilado conductual, gestión de identidades). existe en un ecosistema que la IA está transformando en los dos sentidos simultáneamente.
En el lado ofensivo, AIPassYou es un ejemplo temprano de lo que viene. Una herramienta que ya automatiza la generación de diccionarios personalizados a partir de OSINT. El siguiente paso natural son agentes capaces de detectar, explotar y escalar vulnerabilidades de control de acceso de forma autónoma, sin investigación manual ni herramientas especializadas.
El phishing está mutando hacia modelos polimórficos que generan contenido adaptado en tiempo real al perfil de cada objetivo: su cargo, su estilo de escritura, sus relaciones internas, sus proyectos activos. Los deepfakes de voz ya no replican solo la voz de un directivo, replican sus patrones de comunicación. La ingeniería social deja de ser una operación humana y se convierte en un proceso automatizable, personalizable y ejecutable a escala.
El resultado es que el margen del 12% de usuarios que entrega credenciales ante un ataque de phishing se vuelve mucho más difícil de reducir cuando el ataque está construido específicamente para cada persona.
Pero no todo es negativo, en el lado defensivo, la IA es lo que permite que el modelo de identidad continua funcione a escala corporativa. Un SOC agéntico evalúa alertas en segundos, filtra falsos positivos de forma automática y detecta anomalías en el comportamiento de identidades —incluidas las no humanas— que ningún analista identificaría en el volumen de señales que genera un entorno moderno. La detección de credenciales comprometidas en tiempo real y el bloqueo automático de accesos sospechosos son ya capacidades operativas, no proyectos futuros.
La asimetría que define este momento es que ambos lados usan las mismas herramientas. Lo que diferencia el resultado es quién las tiene desplegadas antes.
«La pregunta no es si vamos a tener IA en nuestras infraestructuras. La pregunta es si vamos a tenerla de forma controlada y segura , o de forma caótica y peligrosa»
La respuesta no es una contraseña más larga. Es arquitectura.
Antes de hablar de arquitectura, lo básico sigue siendo básico: sistema de contraseña eficaz, autenticación multifactor activada y reporte inmediato de cualquier comunicación sospechosa. Sin esa base, nada de lo que viene a continuación funciona bien.
Pero quedarse ahí es quedarse corto.
Zero Trust no es una tecnología. Es un principio: no confíes en nadie por defecto, verifica siempre, concede el mínimo privilegio necesario. Y ese principio no sustituye la responsabilidad del empleado, la encuadra en un sistema donde un fallo humano tiene un impacto limitado y controlado.
Lo que hace tu banco con la biometría conductual es Zero trust aplicado a la identidad. Verifica continuamente que quien accede es quien dice ser, no solo en el momento del login. Eso es lo que las organizaciones necesitan construir.
Preguntas frecuentes (FAQ)
¿Qué es la gestión de identidades y por qué importa en ciberseguridad?
La gestión de identidades controla quién accede a qué recursos en una organización, con qué nivel de privilegio y bajo qué condiciones. Abarca empleados, cuentas privilegiadas, terceros, servicios y agentes de IA. Una gestión deficiente es la causa principal de los fallos de control de acceso (la vulnerabilidad más frecuente en las auditorías de Sofistic en 2025, con un 38% del total).
¿Sigue siendo importante la contraseña en 2026?
Sí. Una contraseña débil o reutilizada sigue siendo uno de los vectores de entrada más frecuentes. El 12% de los usuarios facilita credenciales en simulaciones de phishing según nuestro Informe de Tendencias 2026. La contraseña es la primera línea, pero no puede ser la única.
¿Qué es Zero Trust y cómo protege las identidades corporativas?
Zero Trust es un modelo que parte del principio de no confiar en ningún usuario o dispositivo por defecto. Verifica siempre la identidad, concede el mínimo privilegio necesario y monitoriza el comportamiento de forma continua. Es la respuesta a un entorno donde la identidad ha reemplazado al perímetro de red tradicional.
¿Cómo puede la IA ayudar a defender la gestión de identidades?
Un SOC agéntico detecta anomalías en el comportamiento de identidades en tiempo real, identifica credenciales comprometidas de forma automática y bloquea accesos sospechosos antes de que generen un incidente. Permite procesar el volumen de alertas que un equipo humano no puede gestionar de forma manual.
