Según el informe Active Adversary 2025 de Sophos, el 41% de los ciberataques del último año comenzó con credenciales comprometidas. Ante esta realidad, la compañía de ciberseguridad llama a cambiar de modelo coincidiendo con el Día Mundial de la Contraseña, que se celebra el 1 de mayo. Su propuesta es clara: sustituir los códigos secretos por passkeys basadas en el estándar WebAuthn, más resistentes al robo y más sencillas de usar.
Índice de temas
La amenaza de las credenciales robadas
Las técnicas de los atacantes se perfeccionan sin pausa. Hoy resultan capaces de sortear la doble autenticación tradicional con herramientas como evilginx2, que clona páginas para capturar códigos de un solo uso o incluso robar cookies de sesión. El aumento de estas prácticas explica por qué las contraseñas y los factores basados en el conocimiento son cada vez menos fiables. La propia Sophos advierte de que prolongar la vida de estos métodos mediante capas adicionales es un camino “plagado de peligros”, pues sólo retrasa lo inevitable: el fin del modelo centrado en el secreto que el usuario recuerda.
Passkeys y WebAuthn: un paso firme contra el phishing
La alternativa propuesta pasa por WebAuthn, protocolo que crea un par de claves pública y privada en el momento de registrar la cuenta. La clave pública viaja al servidor; la privada queda protegida en el dispositivo del usuario. Para iniciar sesión basta con tener el teléfono o el portátil a mano y demostrar la identidad con huella o rostro, sin teclear nada. El servicio envía un desafío criptográfico que sólo puede resolverse con la clave privada y que, además, incluye el dominio legítimo del sitio web, lo que corta de raíz los intentos de phishing porque el usuario verifica a su vez a la página.
El sistema mantiene la filosofía de los dos factores, algo que el usuario posee y algo que es, pero elimina los códigos enviados por SMS o las contraseñas, que suelen repetirse o almacenarse sin control. El resultado es doble: la experiencia mejora y la superficie de ataque se reduce.
Retos pendientes en la implantación
Sustituir contraseñas no es tan simple como activar una casilla. Las empresas deben garantizar la seguridad del dispositivo o la nube donde se guardan las claves y formar a sus empleados para que acepten el nuevo método. Además, los ciberdelincuentes siguen explorando vías como el robo de cookies de sesión, capaz de saltarse incluso esta protección si la sesión está abierta. Sophos recuerda que no hay receta infalible, pero insiste en que adoptar passkeys “debería convertirse en una prioridad estratégica” porque ofrece la defensa más sólida disponible hoy.
“Tenemos que dejar de depender de las contraseñas y los secretos compartidos”, resume Chester Wisniewski, Global Field CISO de la compañía. “Las passkeys representan la solución más robusta para construir un futuro sin contraseñas ni phishing y, con suerte, sin compromisos masivos”.
El calendario juega a favor del cambio. Apple, Google y Microsoft ya han integrado WebAuthn en sus plataformas, lo que facilita a los usuarios activar passkeys con pocos pasos y sincronizarlas entre dispositivos. Este apoyo de la industria, unido a la presión de los ciberriesgos, sugiere que la contraseña clásica entra en su recta final.
Un futuro sin “123456”
La revolución no será instantánea, pero el movimiento resulta imparable. Cada vez que un ladrón de credenciales logra acceso a una empresa, los costes se multiplican y la confianza se erosiona. Frente a ello, las passkeys ofrecen un mecanismo que el atacante no puede adivinar ni capturar con un correo fraudulento. Son, en palabras de Sophos, “el antídoto” contra el método de ataque más frecuente.
El Día Mundial de la Contraseña llega con un mensaje contundente: el mejor homenaje al viejo password es jubilarlo. Pasar de “123456” a un par de claves cifradas puede parecer un detalle técnico, pero marca la diferencia entre un sistema expuesto y uno resiliente. La transición exigirá inversión, educación y vigilancia, pero la puerta está abierta y el riesgo de no cruzarla crece a diario.
