En entornos corporativos, los administradores de sistemas aconsejan la creación de contraseñas robustas, lo que implica la combinación de caracteres especiales, números y letras mayúsculas y minúsculas en una cadena larga y compleja. Esto, lamentablemente, dificulta que los usuarios las recuerden y, en consecuencia, opten por unas más simples y fáciles de recordar.
En ocasiones, las personas tienden a reutilizar sus contraseñas, lo que debilita considerablemente la cadena de protección. Además, existen sistemas y servicios que no demandan el uso de contraseñas robustas, lo que las hace muy fáciles de deducir.
Los ciberdelincuentes han utilizado distintas técnicas para hacerse de millones de contraseñas. Una de ellas es el ataque de diccionario, que se emplea para intentar obtener credenciales de acceso a sistemas, cuentas en línea o dispositivos electrónicos, el cual se basa en la suposición de que las contraseñas utilizadas son palabras comunes o combinaciones de palabras que se encuentran en un diccionario, en lugar de ser contraseñas complicadas y únicas.
Otra es el ataque de fuerza bruta, que consiste en hacer una prueba repetitiva de todas las combinaciones posibles de caracteres hasta dar con la contraseña correcta. A diferencia de los ataques de diccionario, los ataques de fuerza bruta no se basan en suposiciones específicas sobre las contraseñas, sino que prueban sistemáticamente todas las combinaciones posibles.
Para abordar estos riesgos, se han utilizado gestores de contraseñas que sugieren patrones específicos basados en políticas de seguridad definidas y que almacenan contraseñas de forma segura. Sin embargo, esta solución no ha logrado eliminar el uso de contraseñas débiles. Por otro lado, la autenticación multifactor (MFA) ha registrado una adopción importante, gracias a que combina algo que sabemos (contraseña) con algo que tenemos (teléfono móvil o token) o algo que somos (huella digital, iris, rostro). Aunque más segura, MFA aún implica el uso de contraseñas.
Dejar de lado las contraseñas no es una idea nueva. Aún hay mucho que avanzar en su uso masivo y concientizar al usuario final de su efectividad. En una organización, el usuario es la primera línea de defensa y es vital fortalecerlo mediante un principio de ciberseguridad que es la comunicación y capacitación. En esta tarea deben participar organizaciones privadas, los gobiernos a través de distintos niveles de educación y la familia.