Elegir y cuidar bien una contraseña no tiene por qué ser complicado. El problema no es nuevo: desde hace más de dos décadas, las listas de las contraseñas más usadas repiten los mismos errores – “123456”, “password”, “qwerty”, “admin”- y millones de personas las siguen utilizando. Estudios recientes que analizaron miles de millones de contraseñas filtradas confirman que la mayoría son cortas, previsibles o reutilizadas, lo que las hace fáciles de adivinar o probar de forma automática en otros sitios.

¿Qué debemos hacer entonces?

Hoy, las recomendaciones más sólidas confluyen en tres ideas sencillas: longitud, diversidad en las contraseñas y múltiples factores de autenticación. Primero, la longitud: una frase de puede ser muy útil (por ejemplo, tres palabras aleatorias) es más segura y fácil de recordar que un conjunto de símbolos. No hace falta que sea rara o impronunciable; basta con que sea larga y sin relación con el usuario (nada de fechas, mascotas o equipos). Segundo, la diversidad de las contraseñas: una contraseña única por servicio bloquea la suplantación de credenciales (cuando los atacantes prueban en cadena la misma clave en muchos sitios). Tercero, múltiples factores de autenticación: activa MFA (código temporal, app autenticadora o llave física) en los servicios importantes-correo, banca, redes sociales y nube- para que, aunque alguien obtenga la contraseña, no pueda entrar. Estas tres prácticas están presentes en guías de referencia de NIST (EE. UU.), NCSC (Reino Unido) y ENISA (Unión Europea).

¿Por qué tanta insistencia?

Porque los ataques más comunes siguen comenzando por las contraseñas. El informe DBIR 2025 destaca que el abuso de credenciales fue el vector inicial más frecuente de las brechas del último año, y que el factor humano intervino en seis de cada diez. Además, los incidentes vinculados a terceros y la filtración masiva de credenciales se dispararon, poniendo a prueba nuestra costumbre (mala) de reutilizar claves.

¿Cómo ponerlo en práctica hoy mismo?

1. Instala un gestor de contraseñas confiable y deja que genere claves largas y únicas para cada cuenta;
2. Crea tú mismo frases para las que sí necesites recordar (por ejemplo, la del gestor), usando tres o más palabras sin relación entre sí;
3. Activa autenticación múltiple factor, MFA, en todas partes donde exista;
4. Comprueba si tus contraseñas aparecen en brechas con servicios como Have I Been Pwned (utiliza su modo de verificación segura) y cámbialas solo cuando haya indicios de compromiso;

Cuando un servicio lo permita, migra a passkeys (autenticación sin contraseña, resistente a phishing). Con estos pasos, se reduce drásticamente el riesgo sin convertir el día a día en una carrera de obstáculos.

En resumen: una frase larga y única más MFA derrota a la mayoría de los ataques. Si además vigilas las filtraciones y te apoyas en un gestor de contraseñas, estarás varios pasos por delante del atacante promedio. La seguridad efectiva es la que sí puedes mantener en el tiempo.

En Escolme formamos en seguridad informática en nuestra Tecnología en Redes y Seguridad Informática y en el pregrado en Administración de Sistemas Informáticos.

Mg. Alex Mauricio Ávila Quiceno, docente del programa Administración de Sistemas Informáticos.