Check Point® Software Technologies Ltd. (NASDAQ: CHKP), advierte que la continua dependencia de las contraseñas tradicionales supone un riesgo crítico para la seguridad, especialmente en un entorno donde la inteligencia artificial acelera el descifrado de credenciales y sofisticación de ataques.
Según el Informe de Verizon sobre investigaciones de filtraciones de datos de 2024, el 81% de las filtraciones siguen estando relacionadas con contraseñas débiles o robadas. A pesar de los avances en técnicas de autenticación más seguras, prácticas como la reutilización de contraseñas o el uso de combinaciones débiles como “123456” persisten según Nordpass, exponiendo a usuarios y organizaciones a amenazas crecientes, ya que se trata de contraseñas fácilmente descifrables en 1 segundo para los piratas informáticos. De hecho, una encuesta de seguridad en línea realizada por Google y Harris Poll en febrero de 2019 descubrió que al menos el 65% de las personas reutilizan contraseñas en múltiples sitios, si no en todos, lo que las expone a ataques de robo de credenciales a escala.
“Las contraseñas, aunque familiares, ya no cumplen su propósito de proteger los activos digitales frente a las amenazas modernas. La adopción de métodos de autenticación sin contraseña no es solo una recomendación, es una necesidad urgente”, afirma Rafael López, ingeniero de seguridad especializado en protección de correo electrónico de Check Point Software. “La creciente economía de la ciberdelincuencia, impulsada por el robo de credenciales y las nuevas capacidades de la IA, exige que las organizaciones evolucionen hacia soluciones como la biometría, las Passkeys y los tokens físicos”.
Además, el uso de inteligencia artificial está haciendo que técnicas como el phishing, los deepfakes y otros ataques sean aún más eficaces y masivos. GPU de alta velocidad permiten ahora adivinar más de un millón de combinaciones por segundo, reduciendo a minutos el trabajo de los ciberdelincuentes, que antes requería años. Incluso los métodos de autenticación multifactor (MFA) están siendo atacados mediante herramientas especializadas como EvilProxy. Se calcula que más de 24.600 millones de combinaciones de nombre de usuario y contraseña circulan actualmente por los mercados de la ciberdelincuencia, aunque es difícil verificar la verdadera magnitud debido a la reventa repetida de datos robados.
La resistencia a abandonar las contraseñas aumenta los riesgos en plena era de la IA
A pesar de los avances en seguridad, muchos usuarios siguen confiando en las contraseñas por su familiaridad, aunque esa confianza resulta cada vez más peligrosa. Check Point Software advierte que una mala higiene de las contraseñas, como reutilizarlas, anotarlas o basarlas en datos personales, continúa siendo uno de los principales puntos débiles tanto en la seguridad corporativa como personal. Además, los ataques de phishing, ahora potenciados por inteligencia artificial, siguen comprometiendo credenciales a gran escala, incluso en entornos protegidos con autenticación de dos factores (2FA). La evolución de la IA está dejando obsoleta la autenticación basada en contraseñas: modelos de aprendizaje profundo predicen patrones comunes de forma más rápida, los deepfakes permiten suplantaciones que eluden verificaciones de identidad, y las GPU basadas en la nube han democratizado el descifrado masivo de contraseñas. Según Check Point Software, cuanto más se retrase la adopción de sistemas sin contraseña, mayor será la exposición a estos riesgos.
Empresas como Google, Microsoft y Shopify ya están adoptando la autenticación sin contraseñas mediante Passkeys, y Gartner predice que en 2025 el 60% de las organizaciones habrán eliminado las contraseñas en la mayoría de los casos de uso. Gobiernos como los de Singapur, India y Australia lideran también iniciativas nacionales para implantar sistemas de identidad digital seguros y sin contraseñas.
En este contexto, los expertos recomiendan a las empresas:
- Implementar soluciones sin contraseña basadas en biometría, tokens o Passkeys.
- Utilizar herramientas para combatir la reutilización de contraseñas y proteger frente al phishing.
- Adoptar arquitecturas de confianza cero y gestión de accesos privilegiados (PAM).
- Impulsar la formación en seguridad para eliminar la dependencia de las contraseñas.
