El informe Identity Security Landscape 2025, de CyberArk, señala que el 94 % de las empresas españolas ha sufrido ataques de phishing o vishing, muchos de ellos potenciados por técnicas de deepfake. Unos ataques que suplantan la identidad de contactos u organizaciones de confianza, engañando a los empleados para que revelen información confidencial o hagan clic en enlaces maliciosos.
Índice de temas
El fin de las contraseñas
Las contraseñas siguen siendo uno de los principales objetivos para los ciberdelincuentes. Pero, entonces, ¿cómo detenemos uno de los vectores de ataque más utilizados? La respuesta pasa por un cambio de paradigma: reducir al máximo el uso de contraseñas. Porque sin contraseñas, no hay recompensa que robar. Y aquí es donde la autenticación sin contraseña cambia las reglas del juego, aunque su adopción ha sido más lenta de lo previsto. En el pasado, las contraseñas eran la norma, ya que eran sencillas y cumplían cierta función. Pero, a medida que las empresas crecían y la tecnología avanzaba, sus deficiencias se hicieron evidentes: había demasiadas. Los empleados solían reutilizar la misma contraseña en varios sistemas o elegían contraseñas débiles y fáciles de adivinar.
El abandono progresivo de las contraseñas tradicionales no solo responde a un problema de ciberseguridad: también mejora la experiencia de los empleados y la eficiencia operativa
ALBERT BARNWELL, SALES DIRECTOR IBERIA DE CYBERARK
Y las consecuencias han sido graves, pues han provocado filtraciones de alto perfil y robos de cuentas que han expuesto información confidencial de las organizaciones. Lo que ha puesto de manifiesto que las contraseñas, incluso combinadas con medidas de seguridad básicas, a menudo no protegen contra las ciberamenazas. Por ello, las organizaciones están adoptando rápidamente métodos de autenticación sin contraseña para eliminar estas vulnerabilidades.
De SSO y MFA a la autenticación sin contraseña
El viaje hacia este nuevo modelo comenzó con el inicio de sesión único (SSO), que redujo de forma significativa el número de contraseñas que un empleado debía recordar para acceder a sus aplicaciones corporativas. A continuación, la autenticación multifactor (MFA) añadió una capa de seguridad adicional, introduciendo elementos de verificación como códigos de un solo uso, biometría o tokens físicos.
Hoy, la evolución natural es la autenticación sin contraseña, que sustituye las cadenas de caracteres por métodos mucho más seguros y sencillos: huellas dactilares, claves de hardware seguras o claves de acceso vinculadas a dispositivos móviles. Estos mecanismos son más resistentes frente a ataques, ofrecen un inicio de sesión más ágil y reducen la carga para los departamentos de soporte. Por lo que las claves de acceso, basadas en criptografía robusta, se consolidan ya como el gran impulsor de este modelo.
Las empresas ahora utilizan herramientas de gestión de identidades y accesos (IAM) y gestores de contraseñas para empleados que se integran con los sistemas existentes, lo que les permite implementar soluciones sin contraseña de forma gradual. Y, gracias a estándares como FIDO2, las organizaciones disponen de un camino claro para desplegar estas soluciones de manera progresiva y compatible con sus sistemas existentes.
Workforce Identity: el marco que lo hace posible
La autenticación sin contraseña es un pilar fundamental, pero no actúa de forma aislada. Cobra todo su sentido cuando se integra en una estrategia amplia de Workforce Identity, que unifica cómo se gestionan las identidades y el acceso de todos los empleados. Esto significa que, desde el momento en que un trabajador enciende su portátil, accede a una aplicación en la nube o utiliza una herramienta heredada en local, la experiencia de autenticación debe ser coherente, fluida y segura. Incluso para aquellas aplicaciones que todavía dependen de contraseñas, los gestores de credenciales para empleados permiten automatizar el acceso, ofreciendo una experiencia casi idéntica a la autenticación sin contraseña.
De este modo, toda la fuerza laboral —desde usuarios de negocio hasta perfiles con privilegios elevados en TI o desarrollo—, disfruta de un acceso protegido, mientras la organización mantiene control centralizado y consistencia en sus políticas de seguridad.
Seguridad, productividad y resiliencia
El abandono progresivo de las contraseñas tradicionales no solo responde a un problema de ciberseguridad: también mejora la experiencia de los empleados y la eficiencia operativa. Al eliminar las fricciones derivadas de recordar o resetear contraseñas, se reducen costes de soporte y se gana agilidad en el día a día.
En paralelo, la seguridad se refuerza, porque se cierra una de las brechas más explotadas por los atacantes. Y a nivel estratégico, la autenticación sin contraseña dentro de un marco de Workforce Identity permite a las organizaciones ser más resilientes, estar preparadas frente a amenazas emergentes y avanzar en su transformación digital con mayor confianza.
Dejar atrás las contraseñas tradicionales no se trata solo de mantenerse al día con las tendencias, sino también de abordar importantes desafíos de seguridad y experiencia de usuario.
