Saltar al contenido
Lección 4 de 8

Contraseñas y Autenticación

4 min read

Autenticación, Autorización e Identidad

Antes de hablar de contraseñas conviene distinguir tres conceptos. La autenticación responde a la pregunta "¿quién sos?": el proceso de verificar la identidad de un usuario. La autorización responde a "¿qué podés hacer?": los permisos que se conceden una vez verificada la identidad. La gestión de identidad abarca todo el ciclo de vida de las cuentas: creación, modificación y eliminación de accesos.

La autenticación se basa en uno o más factores: algo que sabés (una contraseña), algo que tenés (un teléfono o una llave física) y algo que sos (una huella dactilar o reconocimiento facial). La fortaleza de un sistema de autenticación depende de cuántos factores independientes combine y de la calidad de cada uno.

Comprender esta distinción es clave: una contraseña fuerte protege la autenticación, pero sin una autorización bien diseñada, una cuenta comprometida podría acceder a mucho más de lo necesario. Por eso el principio de mínimo privilegio, que veremos al final del curso, complementa a la autenticación.

Qué Hace Fuerte a una Contraseña

Durante años se promovieron reglas rígidas —mayúsculas, números, símbolos— que en la práctica generaban contraseñas difíciles de recordar pero fáciles de adivinar para una máquina. La investigación moderna, reflejada en guías como las del NIST, prioriza la longitud por encima de la complejidad artificial. Una frase de paso larga como caballo-correcto-bateria-grapa resiste mejor un ataque que P@ssw0rd!.

Los atacantes no adivinan contraseñas una por una: usan ataques de diccionario que prueban palabras comunes, fuerza bruta que recorre combinaciones, y sobre todo credential stuffing, que reutiliza contraseñas filtradas en otras brechas. Por eso, reutilizar la misma contraseña en varios servicios es uno de los hábitos más peligrosos.

Las recomendaciones actuales son claras: contraseñas largas y únicas para cada servicio, evitar información personal predecible, y no forzar cambios periódicos sin motivo (lo que suele empeorar las elecciones de los usuarios). Verificar si una credencial apareció en una filtración conocida también ayuda a reaccionar a tiempo.

Autenticación Multifactor (MFA)

La autenticación multifactor (MFA) exige dos o más factores independientes, de modo que robar la contraseña no basta para acceder. Es, con diferencia, una de las medidas más eficaces y de mejor relación costo-beneficio en toda la ciberseguridad: bloquea la gran mayoría de los ataques automatizados contra cuentas.

No todos los segundos factores son iguales. Los códigos por SMS son mejores que nada, pero vulnerables al SIM swapping. Las aplicaciones de autenticación que generan códigos temporales (TOTP), como las basadas en el estándar de Google Authenticator o Authy, son más seguras. En lo más alto están las llaves físicas basadas en FIDO2/WebAuthn (por ejemplo YubiKey), resistentes incluso al phishing porque verifican criptográficamente el sitio web.

Activar MFA en cuentas de correo, banca y servicios críticos debería ser una prioridad absoluta. El correo, en particular, suele ser la llave maestra: si un atacante lo controla, puede restablecer las contraseñas de casi todo lo demás.

Gestores de Contraseñas

Es humanamente imposible recordar decenas de contraseñas largas y únicas. La solución no es reutilizarlas, sino usar un gestor de contraseñas: una aplicación que genera, almacena y completa contraseñas robustas, protegidas todas por una única contraseña maestra y, idealmente, por MFA.

Herramientas como Bitwarden, 1Password o KeePass cifran tu bóveda de credenciales con algoritmos sólidos, de modo que solo vos podés descifrarla. Además de comodidad, aportan seguridad: cada servicio recibe una contraseña distinta y aleatoria, y muchos gestores alertan si una de tus credenciales apareció en una filtración.

El único punto crítico es la contraseña maestra, que debe ser larga, única y memorable, y nunca compartirse. Combinada con MFA, esta arquitectura ofrece un equilibrio excelente entre seguridad y usabilidad.

El Futuro: Passkeys y Autenticación sin Contraseña

La industria avanza hacia un mundo sin contraseñas. Las passkeys, basadas en el estándar FIDO2/WebAuthn, reemplazan la contraseña por un par de claves criptográficas: una privada que nunca abandona tu dispositivo y una pública que guarda el servicio. Al iniciar sesión, tu dispositivo demuestra que posee la clave privada sin transmitir ningún secreto reutilizable.

Este enfoque elimina de raíz el phishing de credenciales y las filtraciones de contraseñas, porque no hay contraseña que robar. Aunque la transición llevará tiempo, comprender estos mecanismos te prepara para el modelo de autenticación que se está volviendo el estándar. En la próxima lección veremos la criptografía que hace posible toda esta protección.