Con motivo del Día Mundial de la Contraseña, Factum, empresa española especializada en ciberseguridad, alerta sobre el cambio de paradigma que está experimentando la protección de identidades digitales. El modelo tradicional basado en contraseñas comienza a mostrar signos claros de agotamiento frente a un entorno de amenazas altamente industrializado.
"Estamos ante el principio del fin de las contraseñas tal y como las conocemos", apunta Javier Vega, Security Manager de Cylum. "Aunque no desaparecerán de forma inmediata, su papel está dejando de ser central. En su lugar, se impone un enfoque basado en múltiples señales de verificación, que combina biometría, dispositivos confiables y contexto de acceso".
En este nuevo modelo, la contraseña deja de ser el principal muro de defensa para convertirse en un elemento secundario dentro de sistemas mucho más resilientes.
Las contraseñas siguen siendo hoy el principal vector de ataque porque reúnen tres factores críticos: volumen, reutilización y previsibilidad. Según datos del INCIBE, más del 90% de los incidentes de seguridad gestionados tienen como origen el compromiso de credenciales o el uso de contraseñas débiles o reutilizadas, lo que refuerza la urgencia de evolucionar hacia modelos más seguros.
Millones de credenciales filtradas continúan circulando en mercados clandestinos, facilitando ataques automatizados como el credential stuffing, mientras que el phishing personalizado permite comprometer identidades de forma rápida, barata y eficaz.
Este contexto explica el auge de nuevas alternativas. La autenticación multifactor (MFA) se consolida como una capa imprescindible, mientras que tecnologías como passkeys y los tokens físicos están redefiniendo el modelo de autenticación. Estas soluciones eliminan la necesidad de transmitir secretos a través de la red y permiten una autenticación adaptativa, en la que el sistema ajusta el nivel de verificación en función del riesgo, teniendo en cuenta variables como la ubicación, el dispositivo o el comportamiento del usuario.
Las passkeys suponen un cambio de paradigma al sustituir las contraseñas por autenticación basada en dispositivos y biometría, evitando el phishing y combinado alta seguridad con una experiencia sin fricción.
No obstante, el avance hacia entornos passwordless no elimina el riesgo, sino que lo transforma. La seguridad pasa a depender en gran medida de la protección de los dispositivos y de la gestión del ciclo de vida de la identidad. Un dispositivo comprometido o procesos de recuperación de cuentas mal diseñados se convierten en nuevas superficies de ataque que las organizaciones deben vigilar con especial atención.
A nivel corporativo, la adopción de estos modelos plantea importantes retos, como la fragmentación tecnológica, ya que muchas organizaciones siguen operando con sistemas legacy que no soportan estos protocolos modernos. A ello se suma la necesidad de un cambio cultural en el que es necesario redefinir cómo se gestionan los accesos y las identidades sin generar fricción o percepción de complejidad en el usuario.
Desde el punto de vista regulatorio, el modelo passwordless se perfila como clave al ofrecer autenticación más robusta, reducir filtraciones y mejorar la trazabilidad mediante identidades verificadas.
Los sectores financiero y tecnológico lideran esta transición, impulsados por la presión regulatoria y su propia capacidad técnica. Sin embargo, industrias críticas como la energía, las telecomunicaciones o las administraciones públicas están acelerando su adopción, conscientes de que la identidad digital se ha convertido en la infraestructura más crítica de su operativa.
Desde Factum recomiendan a las organizaciones avanzar en tres líneas estratégicas: consolidar la gestión de identidades en plataformas centralizadas, implantar la autenticación multifactor como estándar obligatorio y diseñar un modelo de seguridad invisible, capaz de adaptarse