- La inteligencia artificial ha multiplicado la capacidad de ataque y defensa, obligando a pasar de la contraseña aislada a un modelo basado en identidad, contexto y verificación continua.
- Los agentes de IA introducen identidades no humanas con permisos amplios, que requieren inventario, trazabilidad y controles de mínimo privilegio bajo un enfoque Zero Trust.
- Passkeys, biometría, MFA y gestores de contraseñas reducen la exposición de las claves tradicionales, mientras que las directivas y frases de contraseña siguen siendo clave en entornos como Windows y Active Directory.
- La protección de cuentas personales y corporativas pasa por combinar tecnología madura, buenas prácticas y una gobernanza sólida de identidades humanas y de IA.
Las contraseñas ya no son solo ese código que escribimos casi sin pensar para entrar en el correo o en el banco: se han convertido en el epicentro de una batalla silenciosa entre defensores y atacantes en plena era de la inteligencia artificial. Lo que antes se solucionaba con un par de normas básicas (no uses 123456, cambia la clave de vez en cuando) hoy exige comprender algoritmos, identidad digital, agentes de IA y modelos de confianza cero.
En este nuevo escenario, la clásica combinación de usuario y contraseña se ha quedado corta. Frente a ataques automatizados capaces de probar millones de claves por segundo, campañas de phishing hiperrealistas y sistemas llenos de identidades no humanas, la seguridad ya no puede apoyarse en un único secreto. La nueva dimensión de las contraseñas pasa por reducir su protagonismo, reforzar la identidad y controlar mejor quién accede, desde dónde y para hacer qué, aplicando estrategias clave para proteger tus dispositivos.
De la contraseña clásica a la carrera de algoritmos
La llegada de la inteligencia artificial ha transformado la ciberseguridad en una auténtica guerra de algoritmos. Ya no basta con vigilar accesos manualmente: los sistemas deben ser capaces de detectar comportamientos anómalos en tiempo real. Si, por ejemplo, se registra un inicio de sesión desde una ubicación insólita y con una velocidad de tecleo imposible para un humano, el sistema debería bloquear proactivamente el acceso antes de que el atacante consiga avanzar.
El gran reto es que los sistemas autónomos empiezan a desarrollar capacidades que superan lo previsto por sus propios creadores. Tenemos todavía poca experiencia real gestionando entornos donde múltiples agentes de IA interactúan entre sí, comparten información y toman decisiones basadas en esos intercambios, por ello son imprescindibles prácticas de desarrollo seguro. Esto abre la puerta a situaciones tan delicadas como que un agente modifique permisos, revoque credenciales o altere datos de forma no esperada.
En este contexto surgen nuevas vulnerabilidades: la inyección de comandos en agentes de IA, el envenenamiento de modelos o la manipulación de datos que alimentan sus decisiones. Los atacantes dejan de centrarse solo en el código para apuntar también a la lógica de toma de decisiones. Si consiguen influir en lo que el sistema considera “correcto”, pueden provocar acciones muy dañinas sin necesidad de vulnerar directamente una contraseña concreta.
Además aparece el fenómeno de la IA en la sombra: empleados que integran herramientas y agentes de IA sin validación previa en sus flujos de trabajo diarios. Esto crea brechas de seguridad que los controles clásicos no están preparados para gestionar. Un agente mal configurado puede, sin mala intención, aislar recursos críticos, revocar accesos legítimos o interrumpir procesos de producción.
Sin unas barreras de seguridad claras, estas identidades de IA pueden terminar con niveles de acceso y autonomía desproporcionados. Y cuanto más autónomos sean los agentes, más se amplifica cualquier error, manipulación o configuración insegura que afecte a sus credenciales.
El problema de las contraseñas se dispara en la era de la IA
En plena explosión de la IA agentiva, el problema de las contraseñas deja de ser solo cuestión de claves débiles o reutilizadas. Ahora entran en juego agentes automatizados capaces de explotar estas credenciales a escala masiva, con precisión y sin descanso, lo que hace que el modelo de autenticación tradicional quede definitivamente anticuado.
Ante este panorama, muchos expertos coinciden en que la solución no es endurecer la contraseña clásica, sino restarle protagonismo. El camino pasa por modelos passwordless basados en passkeys, la implantación generalizada de una MFA adaptativa y la centralización de la gestión de identidades bajo un enfoque Zero Trust, donde nadie es de confianza por defecto, ni siquiera tras autenticarse una vez.
La idea central es proteger la identidad usando múltiples señales contextuales: ubicación, dispositivo, horario, patrón de uso, reputación de la IP, etc., en lugar de apoyarse en un único secreto que puede filtrarse o ser robado. De este modo, aun cuando se comprometa una contraseña, el atacante se topa con varias capas adicionales de verificación.
Otro aspecto clave es ir más allá de la simple autenticación y centrarse en los permisos efectivos que tiene cada identidad. Los agentes de IA pueden conectarse a multitud de herramientas y abrir cientos de sesiones por minuto en servicios SaaS, las 24 horas del día. Aplicarles las mismas políticas pensadas para personas con horario de oficina no tiene sentido.
Por eso se empieza a hablar de un Zero Trust adaptado a identidades no humanas. Aquí el principio de mínimo privilegio debe ser especialmente estricto: el primer desvío de comportamiento debería implicar la revocación inmediata de permisos. No se trata solo de comprobar quién entra, sino de vigilar continuamente cómo se comporta esa identidad dentro del sistema.
IA al ataque: del credential stuffing al phishing con deepfakes
La inteligencia artificial no solo acelera las defensas, también multiplica el alcance de los ataques. Técnicas como el credential stuffing (probar credenciales filtradas en múltiples servicios) o el password spraying (probar pocas contraseñas comunes en muchos usuarios) se benefician de la automatización avanzada y de la generación de diccionarios de ataque mucho más afinados.
Esto reduce drásticamente el coste operativo para el atacante: con recursos modestos pueden lanzar ataques masivos y continuos contra miles de servicios, buscando la mínima fisura. La contraseña, por robusta que sea, se ve sometida a un entorno cada vez más hostil en el que, tarde o temprano, será probada o filtrada.
El eslabón humano sigue siendo, además, el punto más frágil. La IA permite crear campañas de phishing altamente personalizadas, que imitan el tono, estilo y contexto de comunicaciones reales de la empresa o de contactos de confianza. Muchos de estos mensajes son prácticamente indistinguibles de los legítimos, incluso para usuarios formados.
A esto se suman los deepfakes de voz y vídeo, capaces de suplantar a directivos, proveedores o compañeros con un realismo inquietante. Mecanismos tradicionales basados en “algo que solo sabríamos nosotros” o en la verificación manual por llamada empiezan a tambalearse cuando la propia comunicación puede ser falsificada.
En este nuevo escenario, la seguridad debe pivotar desde la contraseña hacia una identidad verificada de forma continua. El modelo Zero Trust asume que ninguna autenticación inicial es suficiente: cada intento de acceso debe evaluarse en función del contexto, el dispositivo y el comportamiento reciente del usuario o agente.
Zero Trust, MFA y gestión de identidades como núcleo de la seguridad
La autenticación multifactor sigue siendo una pieza esencial, pero no todos los factores son igual de robustos. Los OTP por SMS, por ejemplo, son vulnerables a ataques de interceptación, SIM swapping y phishing. El mercado está empujando hacia factores más resistentes al phishing, como tokens FIDO2, aplicaciones autenticadoras o notificaciones push protegidas.
En paralelo, la gestión de identidades y accesos (IAM/IGA) se convierte en el centro neurálgico del control de seguridad. Aquí entran en juego el gobierno de identidades, el principio de mínimo privilegio, las revisiones de acceso periódicas y la correlación en tiempo real de señales de riesgo (ubicaciones extrañas, cambios bruscos de patrón, dispositivos comprometidos, etc.).
El objetivo ya no es endurecer sin fin las contraseñas, sino reducir al máximo su superficie de exposición. En muchos entornos críticos se busca que la contraseña sea casi un respaldo residual, mientras que el peso real de la seguridad recae en la combinación de identidad fuerte, contexto y verificación continua.
Esto se traduce en que las organizaciones deben tratar tanto a los usuarios humanos como a los agentes de IA como identidades digitales con ciclo de vida completo: alta, asignación de permisos, supervisión, revisión y baja. Sin una gestión centralizada y coherente, el entorno se llena de cuentas huérfanas, tokens caducados (pero válidos) y accesos que nadie recuerda haber concedido.
Buenas prácticas y controles avanzados para entornos con IA
Los principios clásicos de una buena gestión de contraseñas y accesos siguen siendo totalmente válidos, tanto para personas como para agentes. Es fundamental disponer de cifrado sólido, MFA robusta, aprobaciones múltiples para acciones sensibles y una gestión centralizada de identidades que evite islas de credenciales descontroladas.
Con los agentes de IA, sin embargo, la tarea no termina ahí. Es imprescindible alinear la estrategia de IA con el control, la resiliencia y la gobernanza. Esto implica supervisar de cerca la actividad de los agentes, tratándolos como identidades críticas y concediéndoles únicamente los derechos necesarios para realizar sus funciones.
También es importante establecer mecanismos claros para detener, reiniciar o limitar a un agente si se detecta que excede sus límites definidos o si presenta comportamientos anómalos. La protección de datos debe actualizarse para abarcar las tareas impulsadas por IA, asegurando que copias de seguridad, integridad de la información y procesos de recuperación contemplan la presencia de estos agentes.
La supervisión centralizada de todos los entornos (DevOps, SecOps, ITOps, entornos de producción y pruebas) ayuda a evitar que surjan zonas “opacas” donde un agente pueda operar sin suficiente vigilancia. La implementación controlada, con políticas claras y registros detallados, reduce el riesgo de que una acción autónoma genere un problema en cadena.
La clave está en integrar gobernanza, resiliencia y formación desde el principio, y huir de la tentación de tratar a la IA basada en agentes como una simple “automatización plug-and-play”. Las organizaciones que dominen este equilibrio convertirán la IA agentiva en un potente aliado de la seguridad; las que no lo hagan, pueden acabar multiplicando sin querer sus vulnerabilidades.
El gran reto: inventario, trazabilidad y control de agentes
Un punto crítico que a menudo se pasa por alto es algo tan básico como saber cuántos agentes de IA están activos en un momento dado, a qué herramientas se conectan y qué datos manipulan. Sin un inventario claro de identidades no humanas, es imposible aplicar políticas de seguridad coherentes.
A esta falta de visibilidad se suma la dificultad de parar o revertir acciones ejecutadas por agentes. Si un bot automatizado revoca credenciales, modifica configuraciones o mueve grandes volúmenes de datos, la organización necesita tener muy claro cómo deshacer esos cambios de forma rápida y fiable.
Estamos, por tanto, ante un problema elevado de inventario, trazabilidad y control: hay que registrar qué hace cada agente, con qué permisos y en qué contexto. Esto exige herramientas específicas de gestión de identidades no humanas y un enfoque de auditoría continua, no solo revisiones puntuales.
Quienes consigan implantar estos mecanismos de control podrán aprovechar la potencia de los agentes sin perder el control del sistema. Quienes no lo hagan corren el riesgo de que sus propios automatismos se conviertan en el mejor aliado de un atacante o en la causa de un incidente grave por simple error de configuración.
Passkeys, biometría y gestores de contraseñas: hacia un día a día más seguro
Mientras las empresas luchan con identidades complejas, los usuarios de a pie siguen dependiendo en gran medida de las contraseñas tradicionales. A pesar de todas las advertencias, claves como 123456 o similares continúan encabezando las listas más utilizadas, lo que demuestra que los malos hábitos están muy arraigados.
Las contraseñas, además, son el objetivo preferido de ataques de phishing, malware y filtraciones masivas de datos. Frente a esto, cobra fuerza el uso de passkeys y autenticación biométrica, que sustituyen la contraseña por métodos como el reconocimiento facial, la huella o el PIN del dispositivo anclados a criptografía asimétrica.
Una de las grandes ventajas de las passkeys es que la clave privada nunca sale del dispositivo y no viaja por internet, por lo que no puede robarse en una filtración tradicional ni reutilizarse en otra web. Además, son intrínsecamente resistentes al phishing: aunque un usuario caiga en una página falsa, el navegador no entregará una credencial válida para ese dominio.
Mientras las contraseñas sigan presentes, los gestores de contraseñas se convierten en una herramienta casi imprescindible. Estos programas permiten generar claves largas, únicas y complejas, almacenadas en una bóveda cifrada a la que se accede con una única contraseña maestra (que sí debe ser realmente robusta y protegida).
Como capa adicional, la verificación en dos pasos (2FA o MFA) añade un código temporal o un factor extra junto a la contraseña, elevando la dificultad de acceso incluso cuando se ha filtrado la clave. No es infalible, pero incrementa de forma notable el esfuerzo necesario para el atacante y compra tiempo de reacción.
Cómo crear y gestionar contraseñas fuertes en la práctica
Para quienes todavía dependen de contraseñas tradicionales, los expertos recomiendan claves de al menos 16 caracteres, que mezclen letras mayúsculas, minúsculas, números y símbolos. La longitud es determinante: cuantos más caracteres y más amplio el conjunto, más crece el “espacio de contraseñas” y más difícil resulta forzarlas.
Detrás de todo esto está el concepto de entropía en teoría de la información: una medida de la incertidumbre o del número de combinaciones posibles. A mayor entropía, menor probabilidad de que un atacante adivine una clave concreta. Con potencias de cálculo actuales capaces de generar más de cien mil millones de contraseñas por segundo, las claves cortas se vuelven trivialmente vulnerables a ataques de fuerza bruta.
De hecho, se estima que hoy en día un ciberdelincuente puede, mediante servicios en la nube, romper una contraseña de ocho caracteres en cuestión de minutos por un coste muy reducido. En este contexto, insistir en claves breves o fácilmente recordables es prácticamente una invitación al ataque.
A los riesgos del descifrado se suma el mercado negro de credenciales. Millones de combinaciones de usuario y contraseña circulan por foros y mercados en la dark web, a menudo empaquetados con correos electrónicos y otros datos personales. Sitios de comprobación de brechas como haveibeenpwned agrupan ya miles de millones de registros, recordándonos que es muy probable que alguna de nuestras cuentas haya estado expuesta alguna vez.
La mala noticia es que seguimos reutilizando contraseñas en múltiples servicios; la buena, que los gestores de contraseñas nos permiten cortar de raíz este hábito peligroso al crear y guardar claves únicas sin necesidad de memorizarlas todas. A cambio, eso sí, hay que tomarse muy en serio la protección de la contraseña maestra y, siempre que sea posible, acompañarla de MFA.
Contraseñas e identidades en Windows y Active Directory
En entornos profesionales basados en Windows, las contraseñas están sometidas a un manejo técnico bastante más complejo de lo que percibe el usuario. Internamente, Windows representa las contraseñas como cadenas UNICODE y las almacena mediante funciones unidireccionales u OWF (one-way functions), generalmente hashes criptográficos que no se pueden revertir de forma práctica.
Históricamente, el sistema ha utilizado dos tipos de hash: el hash de LAN Manager (LM) y el hash de NT. El primero, heredado por compatibilidad, es mucho más débil: convierte la contraseña a mayúsculas, la limita a 14 caracteres y la divide en bloques para cifrar una cadena fija, lo que reduce enormemente la entropía real. El hash de NT, en cambio, aplica un algoritmo de hash (como MD4) directamente a la contraseña, ofreciendo una seguridad superior.
En Active Directory, estos hashes se almacenan en la base de datos NTDS.DIT en atributos específicos como unicodePwd, dBCSPwd, ntPwdHistory o lmPwdHistory, entre otros. Para proteger los hashes en reposo, Windows los cifra en varias capas (por ejemplo, DES más AES-256 a través de CNG en versiones modernas). En equipos miembro, los hashes de cuentas locales se guardan en la base de datos SAM del registro, también cifrados.
Windows mantiene además credenciales almacenadas en caché para permitir autenticaciones offline cuando un equipo de dominio no puede contactar con el controlador. Estas credenciales se derivan del hash de NT combinado con el nombre de usuario, y se usan como comprobadores de contraseña en ausencia de conexión.
En cuanto al uso diario, cuando un usuario inicia sesión, la contraseña que teclea se transforma en los hashes correspondientes y se mantiene en memoria bajo el proceso LSASS. Si la cuenta es local, el hash de NT se compara con el almacenado; si la autenticación es contra un dominio, se emplea Kerberos siempre que sea posible, o protocolos como NTLM / LMv2 en escenarios donde Kerberos no aplica (acceso por IP, dominios antiguos, equipos no unidos al dominio, etc.).
Contraseñas seguras, frases de contraseña y directivas en Windows
Para reforzar la seguridad, Windows incorpora directivas que obligan a usar contraseñas complejas y renovarlas periódicamente. Las cuentas administrativas, en particular, deberían tener contraseñas largas, distintas de las anteriores y difíciles de asociar con el usuario o el dominio.
Una contraseña fuerte suele tener al menos siete u ocho caracteres (en la práctica, se recomiendan bastantes más), mezclar mayúsculas, minúsculas, números y símbolos, y evitar palabras de diccionario completas. Ejemplos típicos muestran cómo una clave que cumple los requisitos mínimos puede seguir siendo frágil si su estructura es predecible, mientras que pequeñas alteraciones incrementan mucho su resistencia.
Windows permite también el uso de frases de contraseña, cadenas más largas formadas por palabras, espacios y símbolos. Estas frases, si se acercan al límite de caracteres definido en la directiva, son muy difíciles de romper debido al gran número de combinaciones posibles. Además, superando los 14 caracteres se evita que se almacene el hash de LM, mucho más vulnerable.
Otra opción para reforzar la seguridad es utilizar caracteres del conjunto ANSI extendido, que amplían el alfabeto disponible y complican el trabajo de las herramientas de cracking. Eso sí, conviene probar bien la compatibilidad con aplicaciones y sistemas cuando se usan estos caracteres, especialmente en entornos con varios sistemas operativos o codificaciones de texto distintas.
A nivel de dominio, los administradores pueden definir directivas locales y, desde Windows Server 2008, directivas de contraseñas pormenorizadas (fine-grained) que se aplican a grupos concretos de usuarios. Esto permite imponer reglas más estrictas a cuentas privilegiadas y otras más flexibles a usuarios estándar, o adaptar la directiva a cuentas sincronizadas con otros orígenes de datos.
Por qué proteger las cuentas es tan crítico en la vida diaria
Más allá de la parte técnica, las contraseñas siguen protegiendo algo muy concreto: nuestra información personal y confidencial. Cuentas bancarias, correos, conversaciones, fotos, documentos, teléfonos, servicios en la nube… Todo eso está detrás de uno o varios credenciales. Si alguien consigue entrar, puede suplantar nuestra identidad, cometer fraudes o dañar nuestra reputación en cuestión de minutos.
Además, muchas cuentas están encadenadas entre sí. Un acceso no autorizado al correo puede permitir restablecer contraseñas de otros servicios vinculados, ampliando el impacto del incidente. Por eso no basta con “que no me roben el perfil de una red social”; el problema puede escalar mucho más allá.
Proteger bien las cuentas nos da algo tan simple y valioso como tranquilidad y control sobre nuestros datos y actividades en línea. Evitar que terceros accedan, modifiquen contenidos o actúen en nuestro nombre reduce no solo el riesgo económico, sino también el daño reputacional y emocional que puede implicar un ataque exitoso.
Cambiar contraseñas, usar gestores y añadir capas de seguridad
Un buen momento para revisar la seguridad digital suele ser el cambio de año o cualquier hito importante. Actualizar periódicamente las contraseñas ayuda a mitigar el impacto de filtraciones o accesos no detectados: aunque un atacante tenga una clave antigua, esta deja de servirle si ya ha sido renovada.
Organismos como la AEPD recomiendan contraseñas de al menos 8-10 caracteres combinando tipos de símbolos, evitando datos personales evidentes y, sobre todo, no reutilizar la misma contraseña en distintos servicios. Si una clave se ve comprometida, el riesgo debe quedarse limitado a esa cuenta, no propagarse a todas.
Apuntar contraseñas en papeles, notas adhesivas o documentos sin protección es una mala práctica evidente. Los gestores de contraseñas, por el contrario, ofrecen una bóveda cifrada accesible con una sola clave maestra, generando y almacenando credenciales seguras y diferentes para cada servicio sin que tengamos que recordarlas todas.
Entre sus ventajas se incluyen una seguridad mejorada, la generación automática de claves fuertes y una mayor sencillez para el usuario, que solo debe recordar esa contraseña maestra. Combinados con autenticación en dos factores, actualizaciones regulares de software y un mínimo de formación en ciberseguridad, estos gestores se convierten en una de las herramientas más eficaces para reforzar la protección del día a día.
Todo este conjunto de prácticas y tecnologías —desde passkeys y MFA hasta Zero Trust, IAM avanzado y gestión rigurosa de agentes de IA— dibuja un panorama en el que la contraseña ya no es la estrella del sistema, sino una pieza más de un engranaje mucho mayor. Quedarse anclado al viejo modelo basado solo en claves secretas es jugar con fuego en un mundo donde los algoritmos atacan y defienden a velocidades inhumanas; apostar por esta nueva dimensión de la identidad digital es, sencillamente, la forma sensata de seguir conectados sin perder el control.
