Proteger nuestras cuentas online ya no es solo cosa de expertos en informática: es una necesidad del día a día. Entre banca digital, correo electrónico seguro, redes sociales, nube, programas de gestión de la empresa y mensajería, estamos rodeados de servicios que almacenan datos personales, financieros y profesionales extremadamente sensibles. Cuando una sola cuenta cae en manos ajenas, el problema rara vez se queda ahí: muchas están enlazadas entre sí, lo que facilita el robo de identidad, fraudes económicos y daños serios a nuestra reputación.
En este contexto, la clásica contraseña se ha quedado corta. Han aparecido tecnologías como las llaves de acceso (passkeys), la autenticación multifactor, los tokens físicos o los estándares FIDO2 para ofrecer una autenticación robusta y una gestión avanzada de credenciales y llaves de acceso. En esta guía vamos a desgranar, con calma pero al grano, qué significa todo esto, cómo funciona por dentro, qué piden los estándares y leyes actuales y, sobre todo, cómo aplicarlo en la práctica tanto a nivel personal como en una organización.
Por qué una contraseña ya no es suficiente
Las cuentas digitales se han convertido en el epicentro de nuestra vida online. En ellas se almacena información bancaria, historiales de correo, conversaciones privadas (p. ej. configurar WhatsApp para que sea más seguro), fotografías, documentos corporativos y datos de salud. Si alguien accede a una sola de estas cuentas, puede no solo cotillear, sino también hacerse pasar por nosotros, realizar compras, transferencias, pedir préstamos o incluso chantajearnos con datos sensibles.
Además, muchas plataformas están interconectadas: un acceso indebido al correo puede permitir resetear contraseñas de redes sociales, bancos o servicios en la nube. Esta especie de “efecto dominó” hace que la protección de identidades y credenciales sea un componente crítico de la seguridad global de cualquier persona u organización.
Hay otro factor que a menudo se pasa por alto: la reputación. Cuando alguien toma el control de una cuenta, puede publicar contenido en nuestro nombre, enviar correos fraudulentos a clientes o familiares, difundir material privado y, en definitiva, destrozar la confianza que otros tienen en nosotros o en nuestra marca.
Por todo ello, ya no basta con la recomendación simplona de “no compartas tu contraseña”. Es imprescindible combinar contraseñas de alta entropía, gestores de contraseñas, autenticación multifactor y tecnologías passwordless como las llaves de acceso, junto con políticas claras de gestión y recuperación.
El nuevo estándar para contraseñas seguras
Durante años nos han mareado con reglas del tipo “usa mayúsculas, minúsculas, números y símbolos” o “cambia la contraseña cada 90 días”. Hoy, organismos como NIST (en su documento SP 800-63B) e INCIBE han dejado claro que la longitud y la imprevisibilidad son mucho más importantes que la complejidad arbitraria.
Desde el punto de vista técnico, la fortaleza de una contraseña se mide por su entropía, es decir, su capacidad para resistir ataques de fuerza bruta y de diccionario. INCIBE señala que, en muchos casos, una frase de paso de unas 4 o más palabras aleatorias puede ser más segura y fácil de recordar que una clave corta llena de símbolos como “P@ssw0rd!”.
El NIST desaconseja enfáticamente las políticas que obligan a cambiar contraseñas cada cierto tiempo sin indicios de compromiso. Se ha comprobado que esto lleva a los usuarios a prácticas peligrosas, como generar variaciones predecibles del mismo patrón (Contraseña1, Contraseña2…) o anotar claves en sitios inseguros. INCIBE coincide y recomienda cambiar solo cuando haya sospechas razonables de filtración, por ejemplo tras conocer una brecha de datos o al comprobar en servicios como Have I Been Pwned que una contraseña ha sido expuesta.
Otro punto clave: no sirve de nada tener una contraseña muy fuerte si el servicio que la guarda no hace lo propio. Los estándares actuales indican que los sistemas deben almacenar las contraseñas aplicando funciones de derivación resistentes como Argon2 o PBKDF2, con sal única por usuario, tal como señalan INCIBE y ENISA, en lugar de guardarlas en texto claro o con algoritmos obsoletos.
Cómo roban nuestras credenciales
Comprender cómo atacan las credenciales los ciberdelincuentes ayuda a dimensionar por qué necesitamos mejores mecanismos de autenticación. A día de hoy, los escenarios más frecuentes incluyen ataques de fuerza bruta, ataques de diccionario y campañas masivas de phishing.
En un ataque de fuerza bruta, el atacante prueba de forma sistemática todas las combinaciones posibles de caracteres hasta acertar. Con hardware moderno (GPUs, clusters en la nube) una contraseña de 8 caracteres, incluso con símbolos, puede resultar vulnerable en tiempos razonables, sobre todo si la base de datos de contraseñas se ha filtrado.
El ataque de diccionario es una variante más “lista”: el atacante usa listas gigantes de palabras comunes, frases típicas y contraseñas ya filtradas. Muchas personas siguen usando combinaciones muy predecibles, como “123456”, “qwerty” o “Barcelona2024”, lo que facilita muchísimo el trabajo al atacante.
Hay además ataques de diccionario con variantes de caracteres, donde se prueban sustituciones como “a” por “@” o “e” por “3” (p. ej. “p@ssw0rd”). De nuevo, si la contraseña sigue un patrón típico, los algoritmos modernos la incluirán en las listas de prueba casi seguro.
Todo esto se combina con el phishing, donde se engaña a los usuarios para que tecleen sus credenciales en páginas falsas que imitan a servicios legítimos. Incluso con contraseñas fuertes y únicas, si el usuario las teclea en una web maliciosa, la cuenta queda expuesta. Aquí es donde tecnologías como las llaves de acceso FIDO2 y la autenticación multifactor resistente a phishing marcan una enorme diferencia.
Gestores de contraseñas: El cerebro de tu seguridad digital
La realidad es sencilla: ningún ser humano normal puede recordar decenas o cientos de claves largas, únicas y aleatorias. Por eso organismos como INCIBE recomiendan usar gestores de contraseñas que cifren localmente la base de datos con AES-256 o superior, protegida con una contraseña maestra robusta o con biometría del dispositivo.
Un buen gestor de contraseñas genera y guarda claves únicas para cada servicio, evitando la reutilización, una práctica que según informes del CCN-CERT estaría presente en aproximadamente un 65 % de las filtraciones analizadas. Entre los gestores conocidos se encuentran LastPass, 1Password, Dashlane, Bitwarden o soluciones corporativas como Netwrix Password Secure, que además ayuda a aplicar políticas de contraseñas en entornos empresariales.
En estos almacenes cifrados, se pueden gestionar no solo contraseñas sino también, cada vez más, llaves de acceso (passkeys) y otros credenciales modernos. De hecho, varios proveedores están incorporando soporte completo para FIDO2 y llaves de acceso, ofreciendo sincronización segura entre dispositivos, auditoría de contraseñas débiles y comprobación automática frente a listados de claves filtradas.
Para organizaciones, es importante que estas herramientas se integren con servicios de directorio y aprovisionamiento (por ejemplo, mediante protocolos como SCIM), de modo que las políticas de contraseñas, caducidades condicionadas y auditoría de accesos puedan gestionarse de forma centralizada. Soluciones como Netwrix Password Secure o similares permiten aplicar bloqueos de cuenta, alertas en tiempo real, informes de cumplimiento y detección de credenciales débiles o reutilizadas.
Autenticación Multifactor (MFA): La capa extra irrenunciable
La autenticación multifactor añade una capa extra pidiendo dos o más elementos de entre estas categorías: algo que sabes (contraseña o PIN), algo que tienes (móvil, token físico) y algo que eres (datos biométricos). La lógica es clara: aunque roben la contraseña, sin el segundo factor la puerta sigue cerrada.
Hay diferentes modalidades de MFA: códigos enviados por SMS, aplicaciones TOTP (como Google Authenticator o Authy), notificaciones push, llaves de seguridad físicas FIDO2/U2F (p. ej. YubiKey, Google Titan) o autenticación biométrica integrada en dispositivos. El CCN-CERT y ENISA consideran que los métodos basados en SMS son los más débiles, por ser vulnerables a ataques de SIM swapping, mientras que los tokens FIDO2/U2F ofrecen una resistencia muy alta al phishing.
La razón es que estas llaves de seguridad no envían una contraseña al servidor, sino que usan criptografía de clave pública ligada al dominio concreto. Si el usuario intenta autenticarse en un sitio falso, la clave detecta que el dominio no coincide y la operación falla. No hay secreto estático que pueda ser robado y reutilizado.
En entornos corporativos y en servicios que tratan datos sensibles (sanidad, educación, administración pública, banca, comercio electrónico), la MFA deja de ser opcional para convertirse en requisito de cumplimiento normativo y buena práctica imprescindible. Esto se conecta directamente con las obligaciones del RGPD, NIS2, PCI DSS, HIPAA, FERPA o el Esquema Nacional de Seguridad, que exigen controles de acceso fuertes.
Llaves de acceso (Passkeys): El inicio de la era sin contraseñas
Las llaves de acceso, o passkeys, son el siguiente paso lógico: permiten iniciar sesión sin contraseña en webs y apps, usando criptografía asimétrica y autenticación local en el dispositivo (huella, rostro, PIN). Están basadas en estándares abiertos de la Alianza FIDO, por lo que son interoperables entre plataformas compatibles.
Cuando creas una llave de acceso para un servicio, tu dispositivo genera un par de claves: una clave privada que se queda guardada de forma segura en el dispositivo o gestor de llaves, y una clave pública que se registra en el servidor. Para iniciar sesión, el servidor lanza un desafío criptográfico que solo puede resolverse con la clave privada, pero sin que esta salga nunca del dispositivo.
El usuario no teclea nada: simplemente confirma el acceso con huella, reconocimiento facial o PIN local. Esto tiene varias ventajas enormes: no hay contraseña que memorizar, no se puede reutilizar en otros sitios, no se puede adivinar mediante fuerza bruta ni robar por phishing, ya que la llave está asociada al dominio concreto del servicio.
Las llaves de acceso son compatibles con dispositivos Apple, Google y Microsoft, y se integran con gestores de contraseñas y servicios como iCloud Keychain o Google Password Manager. Muchos servicios populares ya las soportan: Google (incluido YouTube), Microsoft y Xbox, Meta (Facebook y WhatsApp), LinkedIn, Amazon, PayPal, TikTok, Yahoo, Discord, GitHub, Adobe Creative Cloud y otros. Otros, como algunos grandes servicios de IA, Spotify o ciertas tiendas online, todavía no han dado el salto.
Frente a las contraseñas, las llaves de acceso ofrecen una protección superior contra el robo de cuentas. Como no existe una clave secreta que el usuario teclee, no hay forma de robarla mediante phishing tradicional, keyloggers o bases de datos filtradas. Cada llave es única para un sitio concreto y no se puede reutilizar en otros servicios.
Desde el punto de vista de comodidad, iniciar sesión con una passkey es mucho más rápido: basta con tocar el lector de huellas, mirar a la cámara o introducir un PIN corto en el dispositivo. No hay que recordar secuencias largas ni andar copiando y pegando contraseñas de un gestor.
Sin embargo, no todo son ventajas. Una de las principales desventajas es que cualquiera que pueda desbloquear tu dispositivo tendrá acceso a tus llaves de acceso y, por tanto, a tus cuentas. Esto es especialmente delicado en ordenadores compartidos en casa o en entornos poco controlados.
Otro problema aparece cuando las llaves se almacenan solo en un dispositivo sin copia de seguridad ni sincronización. Si ese dispositivo se pierde, se rompe o es robado, puedes quedarte sin acceso a tus cuentas y entrar en procesos de recuperación largos y complicados. Si además esa cuenta era tu email principal (donde llegan enlaces de recuperación de otros servicios), la cosa se complica mucho más.
A ello se suman los desafíos de compatibilidad: usuarios con varios dispositivos y sistemas operativos diferentes (Windows, macOS, Android, iOS, Linux) pueden sufrir fricciones al sincronizar o usar llaves de acceso en todos los entornos. Y en equipos antiguos o navegadores no actualizados, la experiencia puede ser directamente inviable.
Compatibilidad de las Passkeys: Ecosistemas y navegadores
Las llaves de acceso ya funcionan en la mayoría de sistemas operativos y navegadores modernos, aunque con matices. En el lado del sistema operativo, la compatibilidad general es la siguiente, siempre que se utilicen navegadores actualizados:
En Windows, las passkeys son compatibles de forma nativa a partir de Windows 11 22H2, y con ciertas limitaciones en Windows 10 si se usa un navegador como Chrome con el Gestor de contraseñas de Google.
En macOS e iOS/iPadOS, la compatibilidad llega desde macOS Ventura y iOS/iPadOS 16. Las llaves se guardan en el llavero de iCloud y se sincronizan entre dispositivos de Apple, permitiendo iniciar sesión cómodamente en webs y apps.
En Android, las llaves de acceso se pueden usar desde la versión 9, pero la integración avanzada con administradores de contraseñas de terceros y proveedores externos de passkeys solo está disponible a partir de Android 14. El administrador de contraseñas de Google sincroniza automáticamente las llaves asociadas a tu cuenta de Google.
En Linux, la mayoría de distribuciones no tienen aún un soporte nativo de passkeys a nivel de sistema, pero es posible utilizarlas a través de navegadores como Chrome, Edge o Firefox combinados con un administrador de contraseñas compatible o un token USB FIDO2. Es un entorno algo más “artesanal”, pero viable.
En navegadores, las funciones esenciales de llaves de acceso están disponibles desde Chrome/Edge/Opera basados en Chromium 108, con mejoras importantes a partir de la versión 128 y posteriores; Firefox ofrece soporte desde la versión 122, aunque no todos los sitios funcionan igual de bien; Safari las soporta desde la versión 16, con funciones adicionales a partir de Safari 18.
En la práctica, si tienes un móvil o un ordenador moderno, cambiar a llaves de acceso suele ser sencillo. En la mayoría de servicios, basta con ir a la sección de Seguridad o Cuenta, buscar la opción tipo “Llaves de acceso” o “Inicio de sesión sin contraseña” y pulsar en “Crear llave de acceso”. A partir de ahí, el navegador o la app te guiarán para usar tu lector de huellas, reconocimiento facial o PIN.
Las llaves se almacenan localmente: en iOS y macOS, en el llavero de Apple; en Android, en el Administrador de contraseñas de Google o en soluciones del fabricante (como Samsung Pass); en Windows, a través de Windows Hello o de gestores externos. En el futuro, cuando quieras iniciar sesión, simplemente eliges “Iniciar sesión con llave de acceso” y completas la verificación habitual de tu dispositivo.
Los navegadores modernos añaden un extra: si tienes una contraseña guardada para un sitio que ya admite passkeys, tras iniciar sesión pueden ofrecerte convertir automáticamente esa contraseña en una llave de acceso y guardarla para futuros inicios sin contraseña. Esto acelera mucho la transición.
En el caso específico de Google, puedes utilizar el Gestor de contraseñas de Google para crear y almacenar llaves directamente asociadas a tu cuenta de Google, lo que permite usarlas en cualquier dispositivo donde inicies sesión en Chrome o Android con esa misma cuenta. La protección se refuerza con un PIN propio del gestor, que tendrás que introducir al usar la llave.
Sincronización y administración de credenciales
Cuando entran en juego varios dispositivos, el reto está en cómo sincronizar o trasladar las llaves. Si todo tu ecosistema es homogéneo (por ejemplo, solo dispositivos Apple, o solo Android y ChromeOS), la cosa es fácil: activa la sincronización en iCloud Keychain o en el Administrador de contraseñas de Google y deja que el sistema haga el resto.
En iPhone y Mac, puedes revisar la sincronización desde Ajustes → → iCloud → Guardado en iCloud → Contraseñas y llavero, activando la opción correspondiente. En Android, las llaves y contraseñas asociadas al gestor de Google se sincronizan de forma automática con tu cuenta.
Windows y Linux, a día de hoy, no ofrecen herramientas nativas tan integradas para sincronizar llaves de acceso entre dispositivos, aunque Microsoft ha anunciado que trabaja en ello. En estos entornos, y especialmente cuando combinas sistemas (Windows + Android, macOS + Android, etc.), los administradores de contraseñas de terceros con soporte de passkeys se han convertido en la opción más universal.
Estas soluciones permiten guardar y sincronizar las llaves en la nube cifrada del proveedor. Si pierdes tu único dispositivo, podrás restaurar todas tus llaves en uno nuevo tras autenticarte con la contraseña maestra y, en su caso, un segundo factor. Eso sí, tendrás que instalar el gestor y su extensión de navegador en todos tus equipos para tener una experiencia fluida.
Otra opción es almacenar llaves de acceso en hardware específico, como llaves de seguridad USB compatibles con FIDO2 (YubiKey, Titan, etc.). Es un enfoque muy robusto para escenarios corporativos, accesos de alto riesgo o uso en ordenadores públicos, aunque tiene la pega de que si pierdes o reseteas la llave física, las passkeys almacenadas en ella no pueden recuperarse.
Al igual que con las contraseñas, las llaves de acceso necesitan gestión: revisar qué llaves tienes creadas, en qué servicios, desde qué dispositivos, y revocar las que ya no sean necesarias. Cada plataforma ofrece sus propios menús centralizados.
En iOS (hasta la versión 17) puedes gestionar credenciales desde Ajustes → Contraseñas, mientras que en iOS 18 y macOS Sequoia existe ya la app dedicada “Contraseñas”. En macOS anteriores, las opciones se encuentran en “Contraseñas” dentro de Ajustes del sistema.
En Android, la ruta varía según la marca del dispositivo, pero suele encontrarse en los menús de Contraseñas, llaves de acceso y cuentas, Administrador de contraseñas o bien en aplicaciones propias como Samsung Pass. En Windows 11, el apartado está en Configuración → Cuentas → Llaves de acceso.
Si usas el Gestor de contraseñas de Google, puedes acceder desde Chrome (Menú → Contraseñas y Autocompletar → Gestor de contraseñas de Google) o vía web. Ahí podrás ver, editar, eliminar llaves, cambiar tu PIN del gestor o desactivar la creación automática de passkeys al iniciar sesión con contraseñas guardadas.
Cuando utilices gestores de contraseñas de terceros, la administración se realiza íntegramente desde sus aplicaciones y paneles web: alta y baja de llaves, exportación/backup, integración con navegadores y, en entornos empresariales, informes detallados sobre uso, políticas de longitud y complejidad, detección de contraseñas comprometidas y cumplimiento normativo.
Normativas y cumplimiento: La seguridad como obligación legal
La autenticación robusta no es solo una cuestión técnica; también está respaldada (y en muchos casos exigida) por la normativa. El Reglamento General de Protección de Datos (RGPD), en su artículo 32, obliga a aplicar “medidas técnicas y organizativas apropiadas” para proteger los datos personales, lo que la AEPD suele interpretar como la necesidad de contraseñas fuertes y MFA, especialmente cuando se tratan datos sensibles.
La Directiva NIS2, transpuesta al ordenamiento español mediante el Real Decreto-ley 15/2023, impone a entidades esenciales y grandes empresas la obligación de implementar autenticación multifactor en accesos remotos a redes y sistemas críticos. En el sector público, el Esquema Nacional de Seguridad (RD 311/2022) establece controles muy concretos sobre gestión de identidades, prohibición de contraseñas por defecto y requisitos mínimos de complejidad.
En otros ámbitos, normas como PCI DSS (para datos de tarjetas de pago), HIPAA (sanidad en EE. UU.) o FERPA (educación) también incluyen requisitos de seguridad de contraseñas, control de accesos y auditoría. No cumplirlos puede acarrear sanciones económicas, pérdida de certificaciones y un daño reputacional difícil de remontar.
Además, hay marcos voluntarios como el NIST Cybersecurity Framework o la norma ISO 27001 que proporcionan buenas prácticas para montar y gobernar un sistema de gestión de seguridad de la información, en el que las políticas de contraseñas, MFA y gestión de llaves de acceso ocupan un lugar central.
Llevando todo lo anterior a un terreno práctico, podríamos condensar las principales recomendaciones en un conjunto de buenas prácticas aplicables tanto a nivel personal como corporativo.
En primer lugar, para contraseñas, prioriza longitud (mínimo 12 caracteres o passphrases largas), unicidad total entre servicios y generación aleatoria mediante un gestor de contraseñas. Evita patrones obvios y no reutilices claves ni siquiera con pequeñas variaciones.
En segundo lugar, habilita autenticación multifactor siempre que el servicio lo permita, dando preferencia, cuando sea posible, a métodos resistentes a phishing como llaves de seguridad FIDO2, passkeys y aplicaciones TOTP frente a SMS.
En tercer lugar, migra progresivamente a llaves de acceso en los servicios que lo ofrezcan, pero sin olvidar un plan B: mantén métodos alternativos de inicio de sesión o recuperación (contraseña segura, email o teléfono de respaldo, gestores de contraseñas con copias cifradas en la nube) para evitar perder el acceso si falla el dispositivo principal.
Finalmente, en organizaciones resulta clave establecer políticas claras y formar a los usuarios: explicar los riesgos de la reutilización de contraseñas, cómo detectar correos de phishing, qué hacer ante una sospecha de compromiso y cómo usar correctamente los gestores de credenciales y las llaves de acceso. Contar con herramientas de monitorización como Netwrix Password Secure u otras similares ayuda a reforzar estas políticas con controles técnicos reales.
La combinación adecuada de contraseñas robustas, gestores de confianza, autenticación multifactor y llaves de acceso bien gestionadas permite elevar de forma drástica el nivel de protección, reduciendo la superficie de ataque frente a brechas, suplantaciones de identidad y robos masivos de credenciales, y alineando a la vez la seguridad con las exigencias normativas actuales.
Continúar leyendo...