- Las contraseñas siguen siendo críticas, pero la IA ha multiplicado la capacidad de adivinarlas mediante ataques de diccionario, fuerza bruta y modelos generativos.
- Los LLM no producen verdadera aleatoriedad: sus patrones hacen que las contraseñas que generan tengan baja entropía y sean sorprendentemente fáciles de romper.
- La protección pasa por gestores de contraseñas, contraseñas largas y únicas, autenticación multifactor y una monitorización continua basada en IA.
- El futuro se orienta a modelos passwordless, passkeys y Zero Trust, donde la identidad y el contexto pesan más que un único secreto compartido.
Las contraseñas están viviendo una auténtica prueba de fuego en plena revolución de la inteligencia artificial. Siguen siendo el sistema de autenticación más extendido del planeta, pero cada avance en IA, ciberataques y automatización pone más presión sobre un modelo que nació en otra época. Mientras tanto, millones de usuarios siguen protegiendo su correo, su banco o sus redes sociales con claves que un atacante moderno puede romper en segundos.
Al mismo tiempo, no todas las cuentas están preparadas para dar el salto a un mundo sin contraseñas. Las passkeys, la autenticación biométrica o los modelos Zero Trust avanzan, sí, pero conviven con formularios de login clásicos y servicios antiguos que siguen dependiendo de ese “algo que sabes”. En este contexto, entender por qué las contraseñas importan más que nunca, cómo la IA las está poniendo contra las cuerdas y qué alternativas reales tenemos ya no es un tema técnico: es una cuestión de supervivencia digital básica.
Por qué las contraseñas siguen siendo críticas en la era de la IA
Hoy, los datos personales y corporativos se han convertido en dinero contante y sonante. Una sola contraseña filtrada puede venderse por unos pocos dólares en foros clandestinos, pero si esa clave abre la puerta a un correo corporativo, un sistema de archivos interno o una cuenta bancaria, el impacto económico puede escalar a cientos de miles de euros.
Servicios tan dispares como banca online, correo electrónico, historiales médicos, redes sociales o herramientas de trabajo en la nube siguen usando la contraseña como control de acceso principal. Si alguien entra con “password123” o alguna variación cutre, es el equivalente digital a dejar la puerta de casa abierta con un cartel de “pasa sin llamar”.
Las investigaciones coinciden en que aproximadamente la mitad de las aplicaciones dependen solo de contraseñas, sin capas adicionales de seguridad. Y, para rematar, solo una minoría de usuarios utiliza claves distintas para cada servicio. Esto choca frontalmente con la realidad: la mayoría de las personas gestiona entre 70 y 100 cuentas online, mientras que somos capaces de recordar, con suerte, entre 5 y 7 contraseñas diferentes.
Esa brecha entre lo que podemos memorizar y el número de cuentas que usamos a diario nos lleva a hábitos peligrosos: reutilizar contraseñas, apuntarlas en notas sin cifrar o compartirlas por canales inseguros. Aunque tú seguramente no lo hagas, muchísima gente sigue guardando claves en una app de notas o en un papel pegado al monitor, lo que simplifica enormemente el trabajo de cualquier atacante medianamente organizado.
La IA añade otra capa de complejidad: los ataques de fuerza bruta, de diccionario o de relleno de credenciales ahora se pueden automatizar y optimizar a escala industrial. Lo que antes requería tiempo, esfuerzo y cierta pericia técnica, hoy puede orquestarse con herramientas avanzadas que prueban millones de combinaciones aprendidas de filtraciones reales.
Longitud, complejidad y entropía: qué hace realmente fuerte a una contraseña
Uno de los mitos más extendidos es pensar que una contraseña “que parece complicada” es automáticamente segura. Añadir mayúsculas, sustituir letras por números o meter un símbolo en medio da cierta sensación de fortaleza, pero frente a los métodos modernos de ataque el factor decisivo es otro: la longitud.
Cuando un atacante se hace con una base de datos de credenciales filtradas de una gran empresa, lo normal es que las contraseñas no estén guardadas en texto plano, sino en forma de hashes cifrados. Para intentar recuperar la clave original, utilizan técnicas de cracking: generan conjeturas de contraseñas, las cifran del mismo modo y comparan resultados hasta que encuentran coincidencias.
En ese escenario, cuanto más larga sea la contraseña, más explosivo es el crecimiento del número de combinaciones posibles. Una clave de 8 caracteres puede caer en segundos o minutos en un clúster de GPU o en un entorno de computación en la nube, incluso si alterna letras, números y símbolos. En cambio, una contraseña de 16 caracteres, bien construida, puede tardar años, siglos o directamente ser inviable con los recursos actuales.
Si encima pensamos en futuros ordenadores cuánticos, la longitud sigue marcando la diferencia: una cadena absurda como 40 veces la misma letra sería prácticamente imposible de romper incluso con capacidades cuánticas teóricas, mientras que una contraseña corta “creativa” basada en tu equipo de fútbol o en una canción famosa podría ser adivinada en un suspiro.
Desde un punto de vista más formal, la seguridad de una contraseña se mide en bits de entropía, que reflejan cuántos intentos serían necesarios, de media, para adivinarla. Cuanto más amplio sea el conjunto de caracteres usados (mayúsculas, minúsculas, números, símbolos) y más larga sea la combinación, más entropía y más difícil de romper mediante ataques de fuerza bruta.
Una clave con unos 20 bits de entropía genera alrededor de un millón de posibles combinaciones, algo que un atacante con GPU modernas puede cubrir en cuestión de segundos. En cambio, una contraseña con unos 100 bits de entropía implicaría tantísimas combinaciones que, en la práctica, tardaría billones de años en descifrarse. La diferencia entre una y otra no es magia: es longitud real y variedad efectiva de caracteres, no solo apariencia de complejidad.
El gran error: dejar la seguridad en manos de contraseñas generadas por IA
Con el auge de los chatbots, es tentador pedirle a un modelo como ChatGPT, Claude o Gemini que “genere una contraseña segura de 16 caracteres con números, símbolos y letras”. Sobre el papel suena perfecto: el modelo devuelve cadenas complejas, difíciles de leer e imposibles de recordar a simple vista, muy parecidas a las que ofrecen los gestores de contraseñas.
El problema es que, bajo el capó, los modelos de lenguaje no están diseñados para producir verdadera aleatoriedad. Funcionan prediciendo el siguiente fragmento de texto (token) más probable según los datos con los que fueron entrenados. Justo lo contrario de lo que necesitamos para una contraseña robusta, que exige elecciones equiprobables e impredecibles.
Investigaciones recientes de especialistas en seguridad de IA han mostrado que, cuando se pidió a estos modelos que generasen docenas de contraseñas “únicas”, aparecían patrones muy claros y repetitivos. En las pruebas con Claude, muchas claves comenzaban con la misma letra y el segundo carácter era casi siempre el mismo número; además, se reutilizaba un subconjunto muy pequeño del alfabeto, dejando fuera la mayoría de letras.
Con ChatGPT sucedía algo similar: casi todas las contraseñas arrancaban con la misma letra y cerca de la mitad usaban la “Q” como segundo carácter. Gemini también mostraba estructuras recurrentes, con combinaciones que parecían aleatorias pero que, al analizarlas estadísticamente, estaban lejos de una distribución uniforme.
Lo más llamativo es que en muchas de estas contraseñas generadas no se veía ni una sola repetición de caracteres. Para el ojo humano, eso da una sensación de orden caótico, pero desde el punto de vista probabilístico es extremadamente improbable si realmente se estuviesen tomando decisiones al azar. Es un indicio claro de que el modelo está siguiendo “reglas internas” que lo hacen mucho más predecible de lo que parece.
Cuando se midió la entropía de estas contraseñas creadas por LLM, los resultados fueron demoledores: frente a los aproximadamente 6,13 bits de entropía por carácter que daría un generador verdaderamente aleatorio, los modelos se quedaban alrededor de 2,08 bits por carácter. En una contraseña de 16 caracteres, eso supone pasar de unos 98 bits (muy robusto) a apenas 27 bits, algo que un atacante puede tumbar con ataques de fuerza bruta sin dejarse la vida en el intento.
Para rematar, los investigadores localizaron patrones característicos de contraseñas generadas por IA en servicios reales en Internet. Es decir, hay aplicaciones y sitios que ya están protegidos por claves que comparten estructuras predecibles, lo que las convierte en un blanco perfecto para ataques de diccionario especializados que incluyan “listas de contraseñas típicas de chatbots”.
Por eso, muchas empresas de seguridad lo tienen claro: no es buena idea delegar la creación de contraseñas en una IA de propósito general. Están optimizadas para producir texto plausible, no para garantizar una distribución aleatoria resistente al análisis. Si ya has generado contraseñas con un chatbot, merece la pena cambiarlas y, como mínimo, añadir autenticación multifactor (2FA) para subir el nivel de protección.
Gestores de contraseñas, aleatoriedad real y buenas prácticas básicas
Si memorizar docenas de contraseñas únicas, largas y complejas es imposible (que lo es), la solución práctica pasa por centralizar la gestión. Aquí entran en juego los gestores de contraseñas, que crean y almacenan claves robustas en una “bóveda” cifrada protegida por una contraseña maestra y, cada vez más, por factores adicionales de autenticación.
A diferencia de los LLM, los gestores de contraseñas utilizan generadores de números aleatorios criptográficos. Estos se apoyan en entropía del sistema operativo y fuentes físicas (movimientos del ratón, tiempos entre eventos, etc.) para producir bits realmente impredecibles, que luego se convierten en cadenas de caracteres sin introducir patrones “bonitos” a ojos humanos.
Herramientas como Bitwarden, que ofrece una versión gratuita bastante completa, o 1Password, de pago pero muy potente, permiten gestionar no solo contraseñas, sino también tarjetas, notas seguras y otros secretos. El usuario solo necesita recordar una clave maestra muy fuerte (y, preferiblemente, proteger la cuenta con 2FA), mientras el gestor se encarga del resto.
Además de generar contraseñas seguras, estos gestores suelen incluir funciones de rotación periódica de credenciales, avisos de filtraciones conocidas y comprobaciones de reutilización. Si una web sufre una brecha o si tus datos aparecen en listas de la dark web, el gestor puede alertarte para que cambies las claves afectadas antes de que alguien las explote.
Otra buena costumbre es eliminar las cuentas que ya no utilizas. Es fácil olvidarse de un viejo perfil de Myspace, una cuenta de Hotmail de principios de los 2000 o un servicio en el que te registraste “por probar”. Sin embargo, si alguna vez usaste ese correo como dirección de recuperación de otra cuenta importante, se convierte en un eslabón vulnerable dentro de tu cadena de seguridad.
Por último, activar la autenticación de múltiples factores en todas las cuentas posibles es prácticamente obligatorio. Da igual que uses SMS, aplicaciones como Authy o Google Authenticator, o métodos más avanzados: obligar a introducir un segundo factor (código, llave física, biometría) reduce drásticamente el impacto de una contraseña comprometida.
Cómo la IA potencia tanto a atacantes como a defensores
La inteligencia artificial está cambiando las reglas del juego en ambos bandos. Por un lado, los ciberdelincuentes ya no dependen solo de la fuerza bruta clásica: entrenan modelos con millones de contraseñas filtradas para generar diccionarios extremadamente eficaces, capaces de capturar patrones humanos al crear claves (nombres, fechas, equipos, letras de canciones, etc.).
Herramientas como PassGAN, basadas en redes generativas, pueden producir volúmenes masivos de conjeturas de contraseñas sin necesidad de reglas explicitas definidas por humanos. Frente a utilidades tradicionales como Hashcat, que aplican transformaciones predefinidas sobre listas conocidas, estos modelos continúan aprendiendo y refinando su producción a medida que generan más intentos.
En pruebas realizadas con conjuntos de datos como la famosa filtración de RockYou o las contraseñas de LinkedIn, PassGAN ha llegado a adivinar entre un 51% y un 73% más de contraseñas únicas que herramientas basadas en reglas. Entrenado específicamente con muestras de un leak concreto, fue capaz de acertar casi una cuarta parte de las contraseñas de otro conjunto independiente, algo especialmente preocupante si pensamos en usuarios que repiten patrones entre servicios.
Además, técnicas de ataque como el credential stuffing o el password spraying se benefician enormemente de la automatización avanzada. Con IA, los atacantes pueden ajustar el orden y la prioridad de las contraseñas que prueban, optimizando recursos y centrándose en combinaciones con mayor probabilidad de éxito según el perfil de la víctima.
Pero la IA también multiplica el daño en otra dimensión: el phishing y la ingeniería social. Los modelos generativos permiten crear correos, webs de login falsas y hasta llamadas de voz con deepfakes que imitan a familiares, jefes o compañeros con un nivel de realismo inquietante. En esas situaciones, por muy robusta que sea tu contraseña, de poco sirve si acabas escribiéndola en una página falsa que la envía directamente al atacante.
En el lado defensivo, sin embargo, la IA se ha convertido en un aliado imprescindible. Muchos sistemas de seguridad utilizan modelos para analizar patrones de inicio de sesión y detectar comportamientos anómalos: accesos desde países inusuales, horarios sospechosos, velocidad de tecleo incompatible con un humano o dispositivos no habituales.
Si se detecta, por ejemplo, un acceso desde una ubicación atípica combinado con un ritmo de interacción que parece automatizado, el sistema puede bloquear el intento, pedir una verificación adicional o forzar un cambio de contraseña. Aquí la clave es la monitorización continua: no basta con cerrar la puerta, hay que vigilar quién intenta entrar y cómo.
Más allá de la contraseña: MFA, biometría, Zero Trust y passkeys
Con el aumento continuo de ataques y la masificación de identidades digitales (humanas y no humanas), el modelo clásico basado solo en usuario y contraseña se ha quedado corto. La tendencia es desplazar el peso de la seguridad desde un secreto único hacia una combinación de señales, contextos y verificaciones continuas.
En primer lugar, la autenticación multifactor (MFA) se ha consolidado como un pilar básico. No todos los factores son igual de robustos: los códigos de un solo uso por SMS, por ejemplo, son vulnerables a ataques de interceptación, duplicados de SIM o phishing sofisticado. Aun así, son mejores que nada, y el siguiente paso es apostar por métodos más resistentes, como aplicaciones dedicadas, llaves de seguridad o notificaciones push con protección antifraude.
La biometría, como el reconocimiento facial o la huella dactilar en móviles y portátiles modernos, ofrece una experiencia muy cómoda y eleva el listón para los atacantes, aunque no es infalible. Combinada con claves criptográficas almacenadas en el dispositivo, permite esquemas en los que no hay ninguna contraseña que el usuario tenga que escribir, reduciendo el riesgo de phishing.
Aquí entran en juego las passkeys y las soluciones passwordless, que utilizan criptografía de clave pública para autenticar al usuario sin necesidad de una clave tradicional. Servicios como Okta FastPass permiten vincular de forma segura un dispositivo a una identidad y validar el acceso usando llaves criptográficas, integrándose además con métodos como Windows Hello, Apple Touch ID o Face ID.
Este tipo de soluciones no solo mejora la experiencia de usuario (nada de recordar docenas de contraseñas), sino que reduce drásticamente la probabilidad de que un atacante pueda robar credenciales reutilizables. No hay un “secreto compartido” que viaje por la red y pueda capturarse: la verificación se hace mediante desafíos criptográficos que solo el dispositivo legítimo puede resolver.
En paralelo, muchas organizaciones están abrazando el enfoque Zero Trust, que asume que ningún acceso es confiable por defecto, ni siquiera si viene desde dentro de la red corporativa. Cada petición se evalúa teniendo en cuenta múltiples factores: quién es el usuario, desde qué dispositivo accede, desde dónde, a qué hora, con qué comportamiento reciente, etc.
En este modelo, la gestión de identidades y accesos (IAM/IGA) se convierte en el centro del control de seguridad. Se aplican principios de mínimo privilegio, revisiones periódicas de permisos y correlación de señales de riesgo en tiempo real. Cuando algo se desvía del patrón esperado, el sistema puede revocar privilegios al instante o exigir nuevas verificaciones.
El nuevo frente: identidades de agentes de IA y cuentas no humanas
La irrupción de la IA con agentes autónomos añade otra capa de complejidad. Estos agentes no solo consultan sistemas, sino que actúan dentro de ellos: se autentican, llaman a APIs, leen y escriben datos, e incluso toman decisiones operativas en nombre de la empresa.
Cada agente de este tipo necesita una identidad propia o, al menos, un conjunto de credenciales. Esto amplía la superficie de ataque de forma notable, porque hablamos de claves API, tokens OAuth, cuentas de servicio y otros secretos que, a menudo, están mal inventariados, tienen permisos excesivos o caducan tarde (si es que caducan).
Además, los sistemas basados en agentes introducen nuevas vulnerabilidades específicas: inyección de comandos en las instrucciones que se les dan, envenenamiento de modelos, manipulación de datos, escaladas de privilegios no deseadas, etc. No solo se ataca el código tradicional, sino también la lógica de toma de decisiones de la IA.
La llamada “IA en la sombra” empeora la situación: empleados que integran herramientas de IA no autorizadas en sus flujos de trabajo pueden abrir brechas que los controles clásicos (firewalls, antivirus, políticas heredadas) no están preparados para cubrir. Un agente mal configurado podría, por ejemplo, revocar credenciales legítimas o poner en cuarentena recursos críticos sin que nadie lo detecte a tiempo.
Por eso, los expertos recomiendan tratar a los agentes de IA como identidades digitales de alto valor. Esto implica concederles solo los permisos estrictamente necesarios, supervisar de cerca su actividad, establecer mecanismos para detenerlos o limitar su acción si se salen del comportamiento esperado, y asegurar que las copias de seguridad, la recuperación y la gobernanza contemplan también estos componentes.
Un reto nada menor es de pura visibilidad: muchas empresas ni siquiera saben cuántos agentes están operando en un momento dado, a qué sistemas se conectan o qué datos tocan. Sin inventario ni trazabilidad, el riesgo de pérdida de control se dispara, y cualquier incidente puede amplificarse por la propia autonomía de estos sistemas.
La parte positiva es que las herramientas para gestionar identidades, permisos y accesos, tanto humanos como no humanos, ya existen y están bastante maduras. El desafío real es cultural y organizativo: integrar gobierno, resiliencia y formación desde el principio, en lugar de tratar a la IA como un simple “plugin” que se enchufa y listo.
Si miramos el panorama completo, queda claro que las contraseñas siguen jugando un papel importante, pero ya no pueden sostener por sí solas la seguridad digital. En un contexto donde la IA acelera tanto los ataques como las defensas, donde agentes autónomos toman decisiones en sistemas críticos y donde las identidades se multiplican, la estrategia pasa por usar contraseñas largas y únicas gestionadas con herramientas robustas, apoyarlas siempre con MFA, ir reduciendo su protagonismo mediante passkeys y esquemas passwordless, y reforzar un modelo de identidad y acceso basado en Zero Trust y supervisión continua; solo así se puede mantener a raya un entorno de amenazas que, cada día que pasa, es más rápido, más automatizado y más inteligente.
