El arte de crear contraseñas más seguras en la era de la IA
Las contraseñas son la forma de autenticación más común, el clásico “algo que sabes”. Siguen siendo el método más utilizado en todo el mundo para proteger cuentas. Las investigaciones muestran que aproximadamente la mitad de las aplicaciones todavía dependen únicamente de las contraseñas, y que solo un 12% de las personas utiliza una contraseña diferente para cada aplicación. El problema es que los humanos solo podemos recordar entre cinco y siete contraseñas de media, mientras que la mayoría gestionamos entre setenta y cien cuentas online. Esa desproporción da lugar a hábitos arriesgados, como reutilizar contraseñas o guardarlas en una aplicación de notas (tú no, por supuesto).
Este artículo no trata de promover la autenticación sin contraseñas, ya que muchas cuentas aún no están preparadas para ello. Se centra, más bien, en esas cadenas de texto algo caóticas en las que seguimos confiando para proteger nuestra vida digital. Veremos por qué las contraseñas siguen siendo importantes, qué diferencia a las fuertes de las débiles y qué les depara el futuro. Al terminar, tendrás las claves para elegir contraseñas más inteligentes, más seguras y, quizá, casi imposibles de descifrar.
Por qué las contraseñas importan más que nunca
En la economía actual, los datos son dinero, y para los atacantes tu contraseña puede valer solo unos pocos dólares en la dark web. Pero si logran acceder a tu bandeja de entrada o a tu sistema de archivos y robar información corporativa, el beneficio puede ascender a cientos de miles. Ya se trate de tu banco, tu correo electrónico, tu número de la seguridad social o tus datos de salud, una contraseña sigue siendo una de las vías más fáciles de acceso para los intrusos. Si utilizas “password123”, es como dejar tus cuentas completamente abiertas. A medida que los ataques se vuelven más sofisticados, tener contraseñas fuertes es esencial. Muchas personas saben que “password123” es débil, pero no siempre entienden qué hace que una contraseña sea realmente más segura que otra, y no siempre es lo que parece. Por eso, a continuación, desglosamos algunas prioridades básicas que conviene tener en cuenta al elegir tu próxima contraseña.
Prioridad uno: la longitud es el factor más importante para una contraseña segura
Aviso para impacientes: la fortaleza de una contraseña no tiene nada que ver con lo “fuerte” que parezca”. Y su debilidad tampoco depende de lo fácil que sea leerla para un ser humano. Los atacantes tienen muchos métodos para robar contraseñas. A veces logran engañarte para que la escribasen una web falsa, y en ese caso da igual lo compleja que sea: básicamente se la estás entregando tú mismo.
La fortaleza de una contraseña es crucial cuando los atacantes consiguen robar grandes bases de datos de credenciales de usuario, a menudo de empresas con millones de cuentas, como LinkedIn o Facebook. Estas bases de datos no guardan tu contraseña tal cual, sino una versión cifrada o “mezclada”. Para descubrir la original, los atacantes deben hacer conjeturas y comprobar cuál de los resultados cifrados coincide.
A este proceso se le llama cracking o descifrado de contraseñas. Es como intentar adivinar la combinación de una caja fuerte: cuanto más larga y compleja sea la combinación, más intentos harán falta. Los atacantes utilizan potentes equipos informáticos para ello, y cuanto más potentes sean, más rápido podrán adivinar.
En la siguiente tabla se muestra cuánto tiempo tardarían distintos tipos de sistemas —un clúster básico de GPU Nvidia, un ataque de adivinación en línea y un hipotético ordenador cuántico— en descifrar una contraseña según su nivel de complejidad.
Tabla 1: Tiempo de cracking de contraseñas por longitud y potencia de cálculo
| Longitud | Combinación de caracteres | Velocidad de descifrado — clúster GPU | Velocidad de descifrado — computación en la nube | Cuántico (velocidad teórica de descifrado) |
|---|---|---|---|---|
| 8 | solo minúsculas | instantáneo | segundos | instantáneo |
| 8 | letras y números mezclados | minutos–horas | horas–días | segundos |
| 8 | compleja (símbolos) | horas–días | días–semanas | minutos |
| 16 | solo minúsculas | días–semanas | siglos | minutos–horas |
| 16 | letras y números mezclados | años | milenios | horas–días |
| 16 | compleja (símbolos) | muchos años | prácticamente inviable | días–años |
No hace falta ser un experto en matemáticas para darse cuenta de que el factor más importante en la fortaleza de una contraseña no es lo complicada que parezca, sino lo larga que sea. Por supuesto, las contraseñas más largas pueden resultar más pesadas de escribir. Pero ten esto en cuenta: si utilizases una contraseña compuesta únicamente por la letra “a” repetida cuarenta veces, incluso un ordenador cuántico tardaría cientos de miles de años en descifrarla.
Prioridad dos: contraseñas únicas y gestionadas de forma centralizada
Recordar decenas de contraseñas únicas y complejas es imposible, y nadie te está pidiendo que lo hagas. Un gestor de contraseñas puede ser una forma cómoda de almacenarlas, aunque también se convierte en un punto central que los atacantes pueden intentar vulnerar. Guardar tus contraseñas en un almacén seguro (vault) es siempre lo más recomendable, pero asegúrate de que el gestor que elijas también te permita rotar contraseñas y te avise si alguna de tus cuentas o el propio gestor se ven comprometidos. Si además utilizas contraseñas complejas, la ventana de oportunidad para los atacantes se reduce al mínimo.
Prioridad tres: elimina las cuentas que ya no utilizas
Del mismo modo que actualizas las contraseñas de las cuentas activas en tu gestor, deberías eliminar las cuentas que ya no usas. Si no has entrado en tu perfil de Myspace desde los primeros 2000, probablemente ha llegado el momento de dejarlo ir.
Puede que pienses que tu antigua cuenta de Hotmail no tiene ningún valor, pero si alguna vez la usaste como correo de recuperación para tu cuenta bancaria actual, conviene iniciar sesión en [email protected] y cerrarla antes de que alguien más lo haga por ti.
Prioridad cuatro: supervisa tus cuentas (sí, con un plug MDR)
Lo último que esperarías de tu banco es que nadie vigilara la caja fuerte. Lo mismo debería aplicarse a tus cuentas online. Supervisar los intentos de inicio de sesión y los cambios en el sistema es tan importante como cerrar bien la puerta. Los avisos de brechas de seguridad o los escaneos de la dark web suelen llegar semanas después de que tus datos ya hayan sido expuestos. La monitorización continua de tus cuentas —incluyendo servicios gratuitos de vigilancia crediticia, cuando estén disponibles— añade una capa extra esencial de protección.
Mirando al futuro: cómo la IA está cambiando las reglas del juego de las contraseñas
Los atacantes ya no dependen solo de ordenadores más potentes: ahora utilizan IA para adivinar contraseñas de forma más inteligente. En lugar de probar combinaciones al azar, los modelos de IA pueden aprender de miles de millones de contraseñas filtradas y predecir los tipos de contraseñas que la gente tiende a crear. Esto significa que las contraseñas basadas en nombres, fechas de nacimiento, equipos de fútbol o letras de canciones pueden caer mucho más rápido que antes.
La IA también complica la detección de ataques de phishing. Las páginas falsas de inicio de sesión o los correos fraudulentos pueden generarse automáticamente, con gramática impecable, logotipos realistas e incluso voces creadas por IA que imitan a personas de confianza. En esos casos, ni siquiera la contraseña más fuerte sirve de nada si acabas entregándola sin querer.
Por el lado defensivo, la IA también puede ser una aliada poderosa. Los sistemas de seguridad ya la utilizan para detectar patrones de inicio de sesión inusuales, como un intento de acceso desde otro país a las tres de la madrugada, y bloquear o poner a prueba ese intento. Además, la IA puede supervisar filtraciones en la dark web para saber si tu contraseña ha sido comprometida y avisarte mucho antes que los métodos tradicionales.
En definitiva, la IA tiene una doble cara: hace que los atacantes sean más rápidos e inteligentes, pero también ofrece mejores herramientas a los defensores. Por eso, ahora más que nunca, mantener contraseñas largas, únicas y bien gestionadas, junto con una buena monitorización, es fundamental para protegerte hoy y en el futuro.
