Si quieres una contraseña segura «no la cambies nunca»

El Día Mundial de la Contraseña se celebra este 7 de mayo y, lejos de ser una simple fecha simbólica, refleja hasta qué punto la seguridad digital se ha convertido en una preocupación global. Desde 2013, la iniciativa de Intel Security convirtió el primer jueves de cada mayo en un día dedicado a tomar acciones autónomas que frenen la entrada a fraudes, robos de identidad y ciberataques. Actualmente, cambiar cada mes la contraseña, lejos de proteger, puede hacerte más vulnerable, afirma Diego León, CEO de Flameera —startup española de ciberseguridad—.

La advertencia llega con un salto exponencial en la capacidad de descifrado. Según los últimos datos de Hive Systems, una contraseña de ocho caracteres compuesta solo por números puede adivinarse al instante en 2026. Hace apenas un año, ese mismo proceso tardaba 37 segundos. Si repites patrones previsibles como «verano2026» o sustituciones básicas, sobre todo en el correo electrónico, que representa el puesto número uno en la jerarquía de blindaje, todas tus demás contraseñas para redes sociales o banca están perdidas.

En este escenario, donde la evolución del hardware y la inteligencia artificial han dejado obsoletas las prácticas tradicionales, la industria responde con los modelos de autenticación sin contraseña (passwordless). Gigantes como Microsoft han liderado esta transición. Las llaves físicas (passkeys) —Face ID o huella digital— buscan eliminar el factor humano para la creación de contraseñas. El paso siguiente es el gestor de contraseñas. Es capaz de generar más de 20 caracteres que no necesitas memorizar. Si el mismo usuario desconoce la contraseña, el riesgo de caer en phishing —ciberataque de suplantación— disminuye sustancialmente.

Cambiar la contraseña no protege más

Durante años, cambiar la contraseña periódicamente se ha considerado una buena práctica. Sin embargo, el problema está en cómo lo hace el usuario medio. La mayoría introduce cambios mínimos y predecibles en las mayúsculas o números. Los atacantes, que utilizan algoritmos capaces de anticipar estos patrones, pueden automatizar instantáneamente «verano2026». En cambio, la contraseña «k7!Wx9pLQrTsv*b», generada por un gestor, presenta mayor dificultad. En caso de querer mantener la contraseña propia tradicional, es recomendable que contenga, al menos, entre 14 y 16 caracteres.

La razón técnica detrás de esto viene de las tarjetas NVIDIA RTX 5090. Su gran capacidad para procesar de forma masiva ha provocado que la inteligencia artificial pueda predecir patrones humanos en la creación de variaciones de contraseñas. Por ello, la tendencia va a ser intentar eliminar las contraseñas definitivamente, donde muchas aplicaciones ya solicitan el correo electrónico. Ya no basta con añadir símbolos. La única barrera real son la aleatoriedad y la longitud.

El correo electrónico, centro de seguridad

La jerarquía de la identidad digital sitúa al correo electrónico en la cúspide de la pirámide de riesgo. Si un atacante logra comprometer esta cuenta, el resto de servicios cae en un efecto dominó. A través del correo, cualquier actor puede solicitar el restablecimiento de contraseñas como Amazon, Instagram o incluso la banca online.

El especialista en ciberseguridad de Flameera afirma que no tiene «ni idea de cuál es [su] contraseña de Gmail» ni el resto de la mayoría de sus contraseñas, y que esa es la forma ideal de proteger su sistema digital. Por esta razón, empresas como Microsoft han hecho un despliegue masivo de passkeys. Además, se ha extendido el uso de alias aleatorios para registrarse en plataformas secundarias, evitando que el correo principal quede expuesto a filtraciones de datos masivas.

Medidas que sí funcionan

Frente a este escenario, la clave está en cambiar hábitos, no contraseñas. Primero, utilizar un gestor de contraseñas. Esto permite generar claves largas, aleatorias y únicas para cada servicio. Segundo, priorizar la seguridad del correo electrónico como puerta de acceso a todo lo demás. Tercero, activar el doble factor de autenticación. Dentro de estos, el SMS (servicio de mensajes cortos, por sus siglas en inglés) es vulnerable, por lo que se recomiendan apps autenticadoras o llaves físicas que ofrezcan mayor protección.

Además, algunos de los errores básicos a evitar son: reutilizar las contraseñas y usar caracteres básicos como nombres, fechas o mascotas. Las notas del móvil no deberían ser un recordatorio de las contraseñas y compartirlas por email o mensajes está vetado. Por último, para separar lo personal y profesional. Se recomienda tener varias cuentas de correo y contraseñas para cada una.

Cultura preventiva en la empresa

La transición hacia un modelo seguro no depende solo de la tecnología, sino de una concienciación a nivel global. Diego León señala que uno de los grandes problemas de las empresas es tratar la ciberseguridad como un proyecto puntual, en lugar de un servicio continuo. Para las pymes, esto supone contar con un equipo de especialistas que de otro modo sería inasumible por costes, permitiendo que la seguridad se integre en el negocio.

Sobre el estado de la ciberseguridad en nuestro país, León afirma que, aunque existe un talento excepcional que a menudo es captado por gigantes como Google o Amazon, España no está descolgada. El verdadero desafío es convencer a la alta dirección de que la seguridad no es un gasto, sino un valor añadido que genera confianza ante clientes y proveedores. Para ello, Flameera ofrece campañas de concienciación para entrenar a la plantilla.