Tema 10

10. Seguridad básica en contraseñas y autenticación

Las credenciales siguen siendo uno de los objetivos más atacados. Proteger el acceso es una de las medidas más simples y más efectivas en seguridad digital.

Objetivo Proteger identidades y accesos
Enfoque Hábitos y controles básicos
Resultado Reducir compromiso de cuentas

10.1 Introducción

Una gran parte de los incidentes de seguridad comienza por el compromiso de una cuenta. Si un atacante obtiene credenciales válidas, muchas defensas pierden efectividad porque el acceso parece legítimo.

Por eso, la seguridad de contraseñas y la autenticación son un punto fundamental para usuarios, empresas y cualquier sistema digital.

10.2 Identidad, autenticación y autorización

Conviene distinguir tres conceptos relacionados pero diferentes:

  • Identidad: quién es el usuario o sistema.
  • Autenticación: cómo demuestra que realmente es quien dice ser.
  • Autorización: qué permisos tiene una vez autenticado.

En este tema nos enfocamos especialmente en la autenticación, es decir, en cómo se verifica una identidad.

10.3 El problema de las contraseñas débiles

Las contraseñas débiles siguen siendo una causa muy común de compromiso. Claves cortas, predecibles, reutilizadas o basadas en datos personales son fáciles de adivinar, reutilizar o romper mediante ataques automatizados.

Además, aunque una contraseña sea “difícil”, si se repite en varios servicios, una sola filtración puede comprometer muchas cuentas al mismo tiempo.

El mayor problema no es solo usar contraseñas débiles. Es usar una misma clave en distintos servicios y confiar en que nunca habrá una filtración.

10.4 Características de una buena contraseña

  • Debe ser larga.
  • Debe ser difícil de adivinar.
  • No debe reutilizarse en otros servicios.
  • No debe basarse en datos obvios como nombre, fecha o documento.
  • Conviene que sea fácil de recordar para el usuario, pero difícil de predecir para otros.

Hoy suele recomendarse priorizar la longitud y la unicidad por sobre reglas artificiales complicadas que terminan generando malos hábitos.

10.5 Frases de paso

Una práctica útil es usar frases de paso largas, compuestas por varias palabras o estructuras fáciles de recordar pero difíciles de anticipar. En muchos casos son más seguras y usables que contraseñas cortas y complejas creadas al azar por la memoria humana.

10.6 Reutilización de contraseñas

La reutilización es uno de los peores hábitos de seguridad. Si una cuenta es comprometida en un servicio, el atacante puede probar esas mismas credenciales en correo, redes sociales, banca online, sistemas corporativos o plataformas de trabajo.

Esto explica el éxito del credential stuffing, donde se prueban combinaciones filtradas en múltiples sitios de manera automatizada.

10.7 Gestores de contraseñas

Recordar contraseñas únicas y robustas para muchos servicios es difícil. Por eso existen gestores de contraseñas, que permiten almacenar y generar claves fuertes de forma organizada.

Su ventaja principal es reducir la necesidad de reutilizar contraseñas o anotarlas en lugares inseguros.

10.8 ¿Qué es la autenticación multifactor?

La autenticación multifactor, también llamada MFA o 2FA en muchos contextos, exige más de una prueba de identidad para ingresar. En lugar de depender solo de una contraseña, se combina con otro factor adicional.

Los factores suelen pertenecer a tres categorías:

  • Algo que sabés: contraseña o PIN.
  • Algo que tenés: celular, token, llave física.
  • Algo que sos: huella, rostro, biometría.

10.9 ¿Por qué el MFA es tan importante?

Porque reduce drásticamente el riesgo de compromiso cuando una contraseña es robada, adivinada o reutilizada. Si el atacante no posee el segundo factor, muchas intrusiones comunes se bloquean.

Esto vuelve al MFA una de las medidas más efectivas frente a phishing, credential stuffing y abuso de contraseñas filtradas.

10.10 Tipos comunes de segundo factor

Tipo Ejemplo Comentario
Código por app Aplicación autenticadora Muy recomendable para uso general.
Token físico Llave de seguridad Alto nivel de protección.
Biometría Huella o rostro Útil, aunque depende del dispositivo y contexto.
SMS Código por mensaje Mejor que nada, pero menos robusto que otros métodos.

10.11 Riesgos más comunes sobre credenciales

  • Phishing para robar usuario y contraseña.
  • Reutilización de claves en varios servicios.
  • Contraseñas fáciles de adivinar.
  • Almacenamiento inseguro en notas o mensajes.
  • Compartir credenciales entre personas.
  • Uso de equipos comprometidos que capturan teclas o sesiones.

10.12 Compartir cuentas y contraseñas

Compartir cuentas dificulta la trazabilidad y aumenta el riesgo de abuso. Si varias personas usan la misma credencial, se pierde control sobre quién accedió, qué cambió y cómo revocar permisos de forma ordenada.

En entornos organizacionales, cada usuario debería tener identidad propia y permisos acordes a su función.

10.13 Restablecimiento de contraseñas

Los mecanismos de recuperación también forman parte de la seguridad. Si el proceso de restablecimiento es débil, un atacante puede secuestrar la cuenta sin conocer la contraseña original.

Por eso es importante proteger el correo electrónico asociado, revisar preguntas de seguridad débiles y usar MFA también en cuentas de recuperación.

10.14 Cuentas más críticas

No todas las credenciales tienen el mismo valor. Algunas cuentas son especialmente sensibles y deberían protegerse con más cuidado:

  • Correo electrónico principal.
  • Banca online y billeteras digitales.
  • Redes sociales con exposición pública.
  • Accesos administrativos.
  • Sistemas corporativos y de nube.

Si una de estas cuentas cae, puede convertirse en punto de partida para comprometer muchas otras.

10.15 Buenas prácticas recomendadas

  • Usar contraseñas largas y únicas.
  • Activar MFA siempre que sea posible.
  • Usar un gestor de contraseñas confiable.
  • No compartir credenciales.
  • Revisar inicios de sesión y alertas de seguridad.
  • Cambiar contraseñas comprometidas de inmediato.

10.16 Qué hacer si una cuenta fue comprometida

Ante la sospecha o confirmación de compromiso, conviene actuar rápido:

  • Cambiar la contraseña.
  • Cerrar sesiones activas.
  • Activar o reforzar MFA.
  • Revisar reglas, reenvíos, dispositivos vinculados y métodos de recuperación.
  • Cambiar también otras cuentas donde la misma contraseña haya sido reutilizada.

10.17 Qué debes recordar de este tema

  • Las credenciales son uno de los objetivos más atacados.
  • Una contraseña segura debe ser larga, única y no predecible.
  • La reutilización de contraseñas multiplica el riesgo.
  • El MFA es una de las defensas más efectivas contra el compromiso de cuentas.
  • Proteger el correo principal y las cuentas críticas debe ser prioridad.

10.18 Conclusión

La seguridad de acceso es una base esencial de la ciberseguridad moderna. Muchas intrusiones exitosas podrían haberse evitado con mejores hábitos de contraseñas, MFA y gestión de identidades.

En el próximo tema veremos seguridad en dispositivos, sistemas y actualizaciones, para ampliar la protección desde las cuentas hacia los equipos y plataformas que usamos todos los días.

Volver al índice