Contraseñas: por qué el acceso sigue siendo la brecha más barata

Huella dactilar - La mejor contraseña?

A menudo imaginamos el inicio de un ciberataque con una estética cinematográfica: pantallas negras, líneas de código verde en cascada y alguien tecleando frenéticamente para romper un cifrado militar. La realidad es mucho más mundana y peligrosa. El incidente que paraliza una empresa suele empezar un martes cualquiera, con un café en la mano y una notificación rutinaria.

No siempre es un fallo de software desconocido ni una vulnerabilidad de día cero lo que abre la puerta. En demasiados incidentes, es un empleado cansado que reutilizó la contraseña de un servicio personal en el correo corporativo, o un desarrollador que, por pura fricción operativa, dejó unas credenciales hardcodeadas. El atacante no necesitó romper la puerta; simplemente encontró la llave. En ese momento, la seguridad técnica perimetral pierde relevancia porque, para el sistema, el intruso es el usuario legítimo.

Por qué el ataque “aburrido” (credenciales) gana al ataque “de película”

Hay una economía sumergida que dicta las reglas. Romper un sistema mediante exploits técnicos requiere tiempo, conocimiento muy especializado y recursos. Conseguir unas credenciales válidas es barato. El mercado de Initial Access Brokers vende accesos a redes corporativas por precios que pueden ir desde decenas hasta miles de euros, dependiendo del sector, la persistencia y el nivel de privilegio de la cuenta.

Tiene todo el sentido desde la perspectiva del atacante: ¿para qué invertir semanas intentando escalar privilegios a través de vulnerabilidades complejas si puedo comprar una sesión de Citrix válida o probar una base de datos de contraseñas filtradas (leaks) contra tu VPN? El ataque de credenciales es silencioso, escalable y rentable. Es el camino de menor resistencia.

De qué hablamos cuando hablamos de riesgo

Antes de seguir, anclemos dos conceptos que a veces se mezclan. Autenticación es verificar la identidad (¿eres quien dices ser?). Autorización es determinar los permisos (¿tienes permiso para ver esto?). El gran fallo de muchas arquitecturas es asumir que una autenticación correcta implica una autorización ilimitada. Que alguien haya entrado con la llave correcta no significa que deba tener acceso a todas las habitaciones del edificio.

Riesgo como ecuación operativa

El riesgo no es un miedo abstracto, es una ecuación: probabilidad por impacto. Y aquí entra una variable crítica: el tiempo. Si un atacante entra con credenciales válidas, el tiempo de detección se dispara porque su comportamiento inicial parece normal. No hay alarmas de «fuerza bruta» saltando si la contraseña fue correcta a la primera. Reducir el riesgo en la capa de identidad significa reducir la ventana de oportunidad que tiene el atacante desde que entra hasta que nos damos cuenta.

Identidad como perímetro: el cortafuegos ya no es la frontera

Hubo una época en la que confiábamos en el «castillo y foso». Si estabas dentro de la oficina, eras de confianza. Hoy, con el trabajo remoto y la nube, el perímetro físico se ha disuelto. La identidad es el nuevo perímetro. El login es la nueva puerta de entrada. Esto cambia radicalmente cómo construimos sistemas: ya no importa tanto desde dónde se conecta alguien, sino quién dice ser y cómo lo demuestra. Si la identidad cae, el atacante ya está dentro, sin importar cuántos firewalls tengas desplegados.

Contraseñas: el mito de la complejidad y la realidad de la entropía

Llevamos décadas enseñando mal a los usuarios. Les hemos dicho que una contraseña segura debe tener mayúsculas, minúsculas, números y símbolos. El resultado es predecible: «Madrid2024!». Cumple los requisitos sintácticos, pero su complejidad real es baja. La sustitución de caracteres (un 4 por una A) es una superstición tecnológica; las herramientas de cracking ya incluyen estas reglas por defecto. Estamos complicando la vida al usuario humano sin dificultar significativamente la del atacante máquina.

Entropía, longitud y el escenario del ataque

Lo que importa es la entropía (el desorden o imprevisibilidad) y el escenario del ataque.
En un ataque online (contra una web), los mecanismos de bloqueo (lockout) y limitación de intentos (rate-limiting) suelen ser el factor dominante, reduciendo la viabilidad de la fuerza bruta pura.
Pero en un ataque offline (donde el atacante ha robado la base de datos de contraseñas cifradas y la ataca en su propio hardware), la velocidad de prueba es brutal. Aquí la longitud suele ser el factor más decisivo.

Una frase de cuatro o cinco palabras realmente aleatorias («caballo grapadora batería correcto») es mucho más resistente al ataque de fuerza bruta que «Tr4b4j0!», y mucho más fácil de recordar. El matiz es vital: deben ser aleatorias de verdad (generadas por dado o software), no frases con sentido gramatical («me gusta el verano»), que son predecibles.

Reutilización y cascada de compromiso

Este es el verdadero talón de Aquiles. La gente reutiliza contraseñas porque recordar una única para cada servicio es cognitivamente imposible. Una brecha en un foro menor donde te registraste hace cinco años puede ser la llave que abra tu cuenta corporativa. El eslabón más débil no eres tú hoy, sino tú hace cinco años.

El gestor de contraseñas: custodia en lugar de memoria

El salto mental necesario es dejar de intentar recordar. La memoria humana no está hecha para almacenar 150 cadenas alfanuméricas únicas. Al usar un gestor, pasamos de un modelo de «conocimiento disperso» a uno de custodia centralizada. Esto permite que cada contraseña sea única, larga y compleja (generada por máquina), eliminando el riesgo de reutilización.

Zero-knowledge y cifrado local

Al elegir un gestor, el concepto clave es Zero-knowledge. La clave maestra descifra la base de datos localmente en tu dispositivo, no en la nube del proveedor. Si asaltan los servidores del proveedor, los atacantes obtienen datos cifrados cuyo valor depende de la robustez del cifrado y del cliente, no tus claves en texto plano. Aun así, debemos auditar el modelo: si no hay cifrado de extremo a extremo real, o si los metadatos no están protegidos, el riesgo persiste.

Compartición segura en equipos

En entornos corporativos, las contraseñas compartidas son inevitables. Sin un gestor, estas claves viajan por canales inseguros. Con un gestor, se comparten de forma cifrada. Esto transforma la cultura: revocamos el acceso quitando el permiso, sin necesidad de rotar la credencial constantemente.

MFA: de “segundo factor” a resistencia real

Activar MFA es vital, pero no todos los factores son iguales. El SMS es vulnerable a SIM Swapping. Las aplicaciones de autenticación (TOTP, códigos de 6 dígitos) frenan la inmensa mayoría de ataques automatizados y de fuerza bruta, pero tienen un límite claro.

El matiz incómodo: TOTP y el phishing en tiempo real

Un código TOTP no es resistente al phishing moderno (tipo Adversary-in-the-Middle). Si un atacante te envía a una web falsa idéntica a la de tu banco, y tú introduces tu usuario, contraseña y el código TOTP, el atacante recoge esos datos en tiempo real y los usa en la web legítima. El código es válido, el atacante entra y tú te quedas fuera. El TOTP prueba que tienes el dispositivo, pero no garantiza que estés en el sitio web correcto.

FIDO2/WebAuthn: cuando el usuario deja de “teclear secretos”

La verdadera resistencia al phishing viene con FIDO2 y WebAuthn (llaves físicas o passkeys). Estos métodos verifican criptográficamente el dominio. El navegador comprueba matemáticamente que estás en «google.com»  y no en «goog1e.com». Si el dominio no coincide, la autenticación falla. No hay error humano posible porque no hay secreto que el usuario pueda revelar involuntariamente.

El “bucle de recuperación”: el atacante no rompe, pide que le abran

De nada sirve tener una puerta blindada si dejas la ventana abierta. Un mecanismo de recuperación débil (preguntas de seguridad, reset por SMS) invalida una autenticación fuerte. El atacante inteligente siempre buscará el mecanismo de recuperación antes de atacar la autenticación principal.

Patrones de fraude en Helpdesk

Los ataques de ingeniería social contra el soporte técnico son devastadores. Llamadas fingiendo urgencia, suplantando a directivos para saltarse los protocolos. La solución no es solo técnica, es de proceso: verificación «fuera de banda» (colgar y llamar al número registrado) y ventanas de enfriamiento para los resets.

Si solo puedes hacer una cosa hoy: Blinda tu correo electrónico personal y corporativo con el mejor MFA posible. Es la llave maestra que permite resetear todo lo demás.

Credenciales en el endpoint y robo de sesión

Hoy en día, muchos ataques no roban tu contraseña, roban tu token de sesión (la cookie que dice «ya te has autenticado»). Si un malware (tipo infostealer) exfiltra una cookie de sesión válida, el atacante puede inyectarla en su navegador y acceder. En este escenario, el MFA no se «rompe», simplemente se elude, porque la validación de MFA ya ocurrió antes de generar esa cookie.

Higiene del puesto y gestión de sesión

La defensa aquí requiere higiene estricta en el endpoint (parches, EDR) y una gestión de sesiones inteligente. Reducir el tiempo de vida de la sesión ayuda, pero debe equilibrarse con la experiencia de usuario (UX) para no causar fatiga. Estrategias como la reautenticación para acciones sensibles o el session binding (vincular la sesión a características del cliente) son más efectivas que simplemente cerrar la sesión cada hora.

Plan de implementación: de “consejos” a reducción de riesgo

  1. Semana 1: asegurar correo e IdP: Para la hemorragia. Asegura los administradores globales. Activa MFA en el correo y el proveedor de identidad principal (IdP). Revisa las políticas de recuperación.
  2. Mes 1: gestor corporativo y cultura: Despliega un gestor de contraseñas. Forma al equipo en su uso y en la importancia de no compartir secretos por chat. Desactiva el autoguardado del navegador mediante políticas si dispones de una herramienta corporativa mejor.
  3. Trimestre 1: FIDO2 y detección: Implementa llaves de seguridad físicas o passkeys para los roles de alto riesgo (directivos, IT, finanzas). Empieza a monitorizar logs de autenticación buscando anomalías.

La idea final

No se trata de recordar mejor, se trata de diseñar un sistema que no dependa de la memoria. La mente humana no evolucionó para gestionar secretos criptográficos. La solución no es pedir más esfuerzo al usuario, sino construir arquitecturas (como WebAuthn y gestores robustos) que eliminen la carga cognitiva y técnica de la autenticación.

Hemos cubierto el acceso. Pero una vez dentro, ¿cómo evitamos que un solo usuario comprometido tumbe todo el sistema? Ahí es donde entra la arquitectura de identidad y el modelo de Confianza Cero real. Pero esa es una historia para el siguiente análisis.