Un usuario tiene en promedio 170 contraseñas: ¿cómo protegerlas de los ciberdelincuentes?

Llegó un momento en mi vida adulta en que acumulé tantas llaves —para puertas, rejas y portones— que perder alguna era casi rutina. Más de una vez me tocó buscarlas por toda la casa, perdiendo minutos valiosos. En mi vida digital pasa algo parecido: he olvidado contraseñas una y otra vez, y recuperarlas suele ser un verdadero dolor de cabeza. No es raro. Un usuario promedio tiene 168 contraseñas, según un estudio de NordPass. El riesgo no es solo el olvido, los cibercriminales están al acecho constantemente.

Y no se trata únicamente de las cuentas personales. El informe revela que, en promedio, un trabajador gestiona además 87 contraseñas laborales. La pregunta es evidente: ¿cómo mantener ese volumen bajo control y evitar que caiga en manos de terceros?

MIRA TAMBIÉN: ¿Pueden hackearte y robar tus cuentas solo por abrir una página web?

Julio Seminario, experto en ciberseguridad de Intecnia Corp, explica que hoy un atacante no necesita ser “el hacker de película” para robar una contraseña.

“Lo hacen principalmente a través del phishing: correos o mensajes que parecen legítimos y que llevan a páginas falsas para que el propio usuario ingrese su contraseña”, señala a El Comercio.

El phishing no es nuevo —se remonta a los primeros años de internet—, pero se ha vuelto cada vez más sofisticado. La ingeniería social, combinada con inteligencia artificial, permite personalizar los engaños con un nivel de detalle que los hace altamente creíbles.

También existen, aunque con menor frecuencia, malware diseñados específicamente para robar contraseñas. Seminario menciona dos de los más habituales: keyloggers y spyware. Los primeros registran cada tecla que se presiona; los segundos pueden incluso tomar capturas de pantalla o monitorear la actividad del dispositivo.

“Lo preocupante es que trabajan en segundo plano y el usuario no nota nada extraño”, advierte.

Estos programas maliciosos suelen instalarse a través de archivos adjuntos, descargas engañosas o software pirata. Una vez dentro del sistema, pueden extraer información en cuestión de segundos.

A ello se suma otro factor de riesgo: las filtraciones masivas de datos. Cuando un servicio es vulnerado, millones de contraseñas terminan circulando en foros clandestinos. Y como muchos usuarios reutilizan claves, los delincuentes las prueban en redes sociales, correos electrónicos o servicios bancarios. Ahí es donde entran en juego las cuentas antiguas. Abandonadas, con contraseñas recicladas y sin protección adicional, se convierten en puertas traseras fáciles de explotar.

En la práctica diaria, pocos llevan un registro físico de todas sus claves. La mayoría usa gestores integrados como los de Google o Apple, que —en líneas generales— cumplen bien su función.

“Cifran las contraseñas, sincronizan los datos entre dispositivos y ofrecen alertas si alguna clave aparece en una filtración”, explica Martina Lopez, investigadora de seguridad informática de ESET Latinoamérica.

Pero advierte un punto crucial: “Todo es tan seguro como lo sea la contraseña maestra o el método principal de desbloqueo del dispositivo”.

Un PIN débil o una clave sencilla reduce significativamente la protección. Mantener un control estricto del acceso al dispositivo —idealmente con autenticación biométrica o contraseñas robustas— es esencial.

Existen también gestores de terceros, bastante conocidos, que suelen ofrecer funciones más avanzadas, como compartir contraseñas de forma segura, gestionar accesos corporativos o administrar identidades. Aunque algunos han sufrido incidentes de seguridad, Lopez aclara que “lo importante es entender que, incluso cuando ocurrieron, la información de los usuarios estaba cifrada y no quedó expuesta de forma directa”.

“La clave es elegir proveedores transparentes, que publiquen auditorías y expliquen claramente cómo protegen los datos”, añade.

A medida que los ciberdelincuentes perfeccionan sus técnicas, también lo hacen las tecnologías de defensa. Una de las más prometedoras son las passkeys o claves de acceso: credenciales digitales que permiten autenticarse sin escribir una contraseña.

Se basan en factores biométricos o físicos, lo que elimina riesgos asociados a claves débiles o reutilizadas.

“Representan un cambio de paradigma, porque eliminan el problema de recordar contraseñas y hacen muy difícil que un atacante las robe mediante phishing”, sostiene Lopez.

Seminario coincide, ya que considera que “reducen enormemente el riesgo porque no hay una contraseña que escribir ni que robar”. Pero advierte que aún hay limitaciones: “Todavía no todos los servicios las soportan y dependen mucho del dispositivo donde se almacenan”.

La adopción es gradual y todavía presenta desafíos —interoperabilidad entre dispositivos, configuraciones confusas, barreras en entornos corporativos—, pero el rumbo es claro: un futuro con menos contraseñas y más mecanismos invisibles para el usuario.

Ambos especialistas coinciden en que, frente a un ecosistema digital cada vez más complejo, la clave está en adoptar hábitos simples pero consistentes. Usar contraseñas únicas y robustas —largas, con caracteres especiales y números— para cada servicio reduce drásticamente el impacto de cualquier filtración. Para lograrlo sin caer en el olvido, lo más práctico es apoyarse en un gestor de contraseñas, ya sea el integrado en el sistema operativo, el de Google o Apple, o una aplicación dedicada.

También subrayan la importancia de activar siempre la autenticación multifactor. Ese paso adicional, que a veces parece una molestia, complica enormemente el acceso de los atacantes incluso si logran obtener una contraseña. Verificar la legitimidad de los sitios donde se ingresan credenciales —en especial si se llega a ellos desde un enlace o desde una búsqueda rápida— es otra capa de protección fundamental.

Los expertos recomiendan además revisar y cerrar cuentas antiguas, actualizar los dispositivos con regularidad y desconfiar de enlaces que llegan por correo o mensajería instantánea. Finalmente, mantener instalada una solución de seguridad que detecte amenazas como keyloggers o spyware agrega una barrera adicional frente al robo silencioso de información. En un entorno donde gestionamos cientos de claves, la prevención sigue siendo la defensa más eficaz.