Las contraseñas ‘seguras’ son cosa del pasado

Con motivo del Día Mundial de la Contraseña, que se ha celebrado recientemente, expertos en ciberseguridad son tajantes al afirma que “usar una contraseña compleja con números y símbolos” ha quedado completamente obsoleto. ¿Cómo se queda al leer esto? ¿Está pensando en las suyas? Pues todavía hay más. En la actualidad, una contraseña de 16 caracteres resulta inútil si un malware infostealer la extrae directamente del navegador o si un trabajador la introduce de forma voluntaria en una herramienta de inteligencia artificial.

“Durante años, las contraseñas han sido la principal forma de proteger el acceso a sistemas y cuentas. Sin embargo, hoy en día se han convertido en un punto débil, ya que forman parte de un mercado global donde los ciberdelincuentes compran y venden credenciales robadas. Por eso, el futuro de la ciberseguridad no pasa por hacer contraseñas cada vez más complejas, sino por reducir su uso y apostar por sistemas que verifiquen de forma continua si el comportamiento del usuario es legítimo”, afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

El problema ya no es la debilidad de las contraseñas, sino el ecosistema global que comercia con ellas. Impulsado por la inteligencia artificial generativa, este mercado está redefiniendo las reglas del cibercrimen en un entorno donde el modelo Cybercrime-as-a-Service (CaaS) permite a cualquier actor comprar acceso en lugar de vulnerarlo.

Robo de datos

El mercado clandestino también ha cambiado de forma: los foros tradicionales de la dark web han dado paso a canales privados de Telegram y bots automatizados que permiten comprar y vender credenciales en segundos, acelerando la monetización del robo de datos.

Según el Índice de Precios de la dark web 2025/2026 elaborado por Privacy Affairs y DeepStrike, el mercado clandestino digital se rige por las mismas dinámicas de oferta y demanda que cualquier economía tradicional. En el ámbito de las redes sociales y el entretenimiento, la abundancia de cuentas robadas ha provocado una caída de precios, situando una cuenta de Facebook en torno a los 45 dólares y una de Gmail entre 60 y 65 dólares. En contraste, los servicios financieros mantienen un valor más elevado: las tarjetas de crédito con CVV se comercializan entre 10 y 40 dólares, mientras que los accesos a banca online o billeteras de criptomonedas pueden superar los 1.000 dólares. Sin embargo, el segmento más rentable sigue siendo el acceso corporativo, donde la entrada inicial a redes empresariales ronda los 2.700 dólares y los accesos con privilegios a información sensible llegan a superar los 113.000 dólares.

Este modelo funciona porque sigue apoyándose en un fallo humano persistente: el 94% de las contraseñas se reutiliza en múltiples servicios, y solo el 3% cumple con estándares de seguridad recomendados. Esto permite ataques automatizados de credential stuffing, donde una sola filtración abre el acceso a múltiples plataformas.

A todo ello se suma un nuevo riesgo crítico: la inteligencia artificial. Según los datos de Check Point Research, en marzo de 2026, una de cada 28 interacciones con herramientas de GenAI en entornos corporativos implica un alto riesgo de fuga de información sensible, y el 91% de las organizaciones ya ha registrado este tipo de incidentes.

Ante este escenario, las empresas deben asumir que las contraseñas, por sí solas, ya no son un mecanismo fiable de protección. El primer paso es reducir su protagonismo mediante la adopción de tecnologías sin contraseña que eliminan el riesgo de robo y reutilización de credenciales. Al mismo tiempo, es clave implantar modelos de seguridad centrados en la identidad, en los que cada acceso se valida de forma continua en función del contexto y el comportamiento del usuario.

Con la IA, más

Además, las compañías deben abordar el nuevo vector de riesgo que representan los navegadores y las herramientas de inteligencia artificial, incorporando controles que permitan monitorizar y limitar la introducción de datos sensibles en estos entornos. Por último, la monitorización constante de la dark web y de canales altamente sospechosos resulta esencial para detectar credenciales comprometidas antes de que sean explotadas por los atacantes.