Enfoque

Cómo tener ahora la contraseña del futuro en 3 pasos

Las credenciales comprometidas representan la principal causa de ciberataque por segundo año consecutivo (41% de los casos), según se indica en la edición de 2025 del informe Active Adversary de Sophos. Además, según este estudio, las sofisticadas técnicas, tácticas y procedimientos (TTP) de los ciberatacantes en 2025 les permitirán burlar fácilmente los métodos de autenticación tradicionales. Por este motivo, es esencial que los usuarios y las empresas adopten métodos más sólidos para proteger sus datos contra el robo de credenciales.

Con ocasión del Día Mundial de la Contraseña, que se celebra el 1 de mayo, Sophos, líder mundial en soluciones de seguridad innovadoras para derrotar a los ciberataques, subraya los límites de la contraseña y de los métodos de autenticación basados en el conocimiento, prestando atención a tres aspectos clave para tener en cuenta:

1.     Un libro sobre una mesa

El contenido generado por IA puede ser incorrecto.Los límites de la protección basada en el conocimiento

Las soluciones de autenticación doble o multifactor (2FA/MFA) están muy extendidas. Sin embargo, al igual que la contraseña, estas capas adicionales de protección a menudo se basan en códigos secretos basados en el conocimiento que se comparte a través de SMS o aplicaciones de autenticación. Por desgracia, muchos de estos métodos siguen siendo vulnerables. Los cibercriminales disponen ahora de herramientas que, como evilginx2, facilitan eludir estas protecciones a través de la automatización de la suplantación de identidad o robando las cookies de sesión.

Esto significa que el camino de posponer constantemente el momento en el que las contraseñas queden obsoletas, mediante frágiles complementos, parece plagado de peligros. La realidad del panorama de las ciberamenazas debería empujar a las empresas hacia un cambio de paradigma que abandone el modelo de contraseñas y los secretos compartidos basados en el conocimiento.

2.     WebAuthn y claves de acceso. ¿Hacia una autenticación multifactor más fuerte?

Para protegerse contra el phishing, el protocolo WebAuthn (que utiliza, en particular, claves de acceso o passkeys) cuenta con el respaldo de los expertos en ciberseguridad. Con este método, cuando se crea una cuenta, se genera un par único, público/privado, de claves cifradas. A continuación, éstas se almacenan localmente: en el servidor de la página web para la clave pública y en el terminal del usuario para la clave privada, junto con el nombre del sitio y el identificador de usuario.

Para conectarse, el usuario ya no necesita introducir una contraseña o un código secreto compartido por SMS o una aplicación de autenticación. En su lugar, el servidor envía una solicitud de autenticación digital que sólo puede resolverse si el usuario está en posesión física de un dispositivo y puede demostrar que es el propietario de la clave privada (mediante verificación biométrica, por ejemplo). Por tanto, la autenticación sigue basándose en dos factores, pero éstos no dependen de los conocimientos del usuario, sino de la posesión física del dispositivo y de las características biométricas del propio usuario. En principio, por tanto, no pueden robarse mediante métodos convencionales de suplantación de identidad.

Además, el proceso de autenticación incluye una comprobación bidireccional que permite al usuario verificar la identidad del servicio mediante el dominio de la página web, enviado cuando el servidor solicita la autenticación. A diferencia de los métodos que utilizan contraseñas y códigos secretos basados en el conocimiento, el usuario ya no es el único que debe demostrar su legitimidad.

3.     Precauciones que deben tomarse para garantizar una autenticación robusta y simplificada

Este nuevo estándar sectorial, basado en la norma FIDO2, parece ofrecer una protección probada contra el phishing (principal causa de amenaza para el robo de credenciales), al mismo tiempo que simplifica la autenticación para los usuarios.

No obstante, aunque WebAuthn representa un gran paso hacia adelante, persisten varias vulnerabilidades, por lo que se impone la vigilancia:

·      Es fundamental garantizar que el dispositivo o la nube donde se almacenan las claves sea seguro

·      La transición satisfactoria a WebAuthn requiere la aceptación y adopción por parte de las empresas y departamentos

·      El robo de cookies de sesión sigue siendo una forma de ataque que permitiría a los cibercriminales eludir esta protección

Es importante tener en cuenta que los delincuentes perfeccionan constantemente sus métodos de ciberataque. Por eso, adoptar estas tecnologías debería ser hoy una prioridad estratégica de ciberseguridad para las empresas.

Según Chester Wisniewski, Director, Global Field CISO de Sophos: "Tenemos que dejar de depender de las contraseñas y los secretos compartidos. Las claves de acceso o passkeys representan hoy la solución más sólida para construir un futuro sin contraseñas, phishing y, con suerte, compromiso a gran escala".

Te puede interesar:

Nota Principal

HIP 2026 pone a Madrid en el foco mundial de la hostelería y deja un impacto económico de más de 102 millones

La hostelería tiene desde el próximo lunes hasta el miércoles, 18 de febrero, una cita en Madrid. HIP 2026, la mayor feria en Europa de soluciones para el ámbito HORECA, abrirá sus puertas el 16 de febrero en IFEMA Madrid para recibir a más de 60.000 empresarios, directivos y profesionales de la industria que descubrirán las estrategias y herramientas con las que mejorar la competitividad de sus empresas. Con ello, el encuentro posicionará la ciudad como capital mundial de la innovación hostelera y dejará un impacto económico de más de 102 millones de euros. 

InfoStartUps

Al Andalus Innovation Venture abre la convocatoria de su V edición para encontrar a las startups y scaleups más prometedoras de Iberia

Al Andalus Innovation Venture, el mayor foro de startups e innovación abierta de Andalucía, ha lanzado oficialmente la convocatoria para su quinta edición. La cita, que se celebrará los días 22 y 23 de septiembre de 2026 en Sevilla, en el Pabellón de la Navegación (Cartuja) busca atraer a las startups y scaleups más disruptivas de España y Portugal.

Y además

Casi 1 de cada 4 personas ha mantenido una relación sentimental en el trabajo

El trabajo ocupa una parte central de la vida, de ahí la importancia que adquiere ese espacio compartido con otras personas y las relaciones que se establecen en él. Tanto es así que, según los últimos datos de la encuesta de InfoJobs sobre Relaciones personales en el entorno laboral, 6 de cada 10 españoles (63%) perciben su relación con los compañeros como muy positiva, contabilizando una valoración media de 6,9 sobre 10. Las relaciones profesionales no solo favorecen la colaboración y el buen clima, sino que también propician lazos personales y sentimentales, difuminando cada vez más la frontera entre lo laboral y lo privado.

C-Level

L'Oréal nombrará a Pablo Isla vicepresidente del grupo

El consejo de administración someterá a la Junta General de Accionistas, que se celebrará el próximo 24 de abril, el nombramiento de Pablo Isla, actual presidente de Nestlé y exconsejero delegado de Inditex entre 2005 y 2011, como vicepresidente del grupo, según ha informado la empresa en un comunicado.

InfoStartUps

El estado de la innovación en España"_El 80% de las empresas ya innovan en España, pero solo 1 de cada 6 logra llevar esa innovación al negocio

Las empresas españolas ya han superado la fase exploratoria de la innovación, pero aún no han resuelto cómo trasladarla al negocio y generar impacto. El informe El estado de la innovación en España, elaborado por PATIO Campus, hub de innovación corporativa abierta, analiza el grado de madurez del ecosistema de la innovación corporativa y concluye que el principal reto ya no es innovar, sino cerrar la brecha entre experimentación, despliegue operativo e impacto económico. 

Enfoque

Ayesa Digital prevé aumentar la plantilla cerca de un 10% en todos sus hubs tecnológicos hasta 2027

Ayesa Digital, proveedor global de servicios digitales, prevé aumentar cerca de un 10% el número de profesionales en todos sus hubs tecnológicos para acompañar al crecimiento del negocio hasta 2027. Así lo ha trasladado Antón Arriola, presidente de Kutxabank y representante del consorcio inversor que el pasado 31 de diciembre alcanzó un acuerdo para adquirir la firma tecnológica. El cierre de la operación está previsto para las próximas semanas tras la necesaria aprobación por parte de las autoridades competentes. 

Plus

“Los menores podrán seguir encontrando vías para esquivar el nuevo control de acceso a redes sociales si el sistema no se diseña con garantías técnicas y legales” (advierten los expertos)

España se prepara para implantar uno de los marcos regulatorios más estrictos de Europa en materia de protección digital de menores. El Gobierno ultima un paquete legislativo que prohibirá el acceso a redes sociales a los menores de 16 años y obligará a las plataformas a desplegar sistemas de verificación de edad fiables y auditables.

Plus

Amazon Ads lanza Creative Agent, una herramienta de IA que crea anuncios con calidad profesional

Amazon Ads ha lanzado en España, Creative Agent, una herramienta de IA que ayuda a crear campañas publicitarias de forma sencilla y con calidad profesional. La solución cubre todo el proceso creativo, desde la investigación de mercado y audiencias hasta el diseño y la producción final de materiales en diversos formatos gráficos y de vídeo. Con ella, Amazon Ads permite a empresas de todos los tamaños y sectores crear campañas publicitarias que conecten con sus clientes, reduciendo costes y tiempo de producción.