El mito de las “contraseñas seguras”: por qué no protegen de los ataques con IA y robos de información

El Día Mundial de la Contraseña, que se conmemora este 7 de mayo, es una oportunidad para repensar el consejo clásico de “elige una contraseña compleja con números y símbolos”. En 2026, con el auge de la inteligencia artificial y el cambio en las tácticas de los ciberdelincuentes, las contraseñas tradicionales han dejado de ser un escudo efectivo y, en muchos casos, se han convertido en un punto débil explotado a escala global.

El ecosistema de la ciberdelincuencia ha evolucionado en una maquinaria industrializada, en la que la IA generativa potencia ataques cada vez más sofisticados. “Los hackers ya no entran ilegalmente, simplemente inician sesión”, resume Manuel Rodríguez, gerente de ingeniería de seguridad en NOLA de Check Point Software.

Hoy, la mayor parte del mercado negro de credenciales opera fuera de los foros tradicionales de la dark web y migra hacia canales privados de Telegram, donde bots y vendedores automatizados agilizan el intercambio de accesos, datos y malware.

Según el Índice de Precios de la Dark Web 2025/2026 de Privacy Affairs y DeepStrike, el valor de una identidad digital varía según la demanda: una cuenta de Facebook pirateada cuesta cerca de 45 dólares, una de Gmail llega a 65, y el acceso a cuentas bancarias verificadas puede superar los 1.170 dólares. El segmento más lucrativo es el acceso corporativo, donde el precio base de un acceso inicial ronda los 2.700 dólares, pero puede dispararse por encima de los 113.000 dólares si se trata de privilegios administrativos.

El abaratamiento y la accesibilidad de los kits de malware han democratizado los ataques. Por menos de 1.000 dólares mensuales, cualquier criminal puede suscribirse a servicios como LummaC2 o RedLine y robar millones de contraseñas, eliminando la ilusión de seguridad que brinda una clave compleja.

Factores humanos y el nuevo rol de la IA generativa

La principal debilidad de las contraseñas sigue siendo humana: reutilización y errores en el manejo de datos. El 94% de los usuarios emplea la misma contraseña en varias plataformas, lo que facilita los ataques automatizados de relleno de credenciales. Solo el 3% cumple con los estándares de complejidad recomendados.

El riesgo ha aumentado con el auge de la IA generativa y el uso indiscriminado de herramientas como ChatGPT. Según el Informe de Seguridad de Navegadores LayerX 2025, copiar y pegar datos en navegadores ya supera a la transferencia de archivos como principal vector de fuga de información corporativa. El 45% de los empleados usa IA de forma activa y el 77% de ellos pega datos directamente en chatbots, muchas veces desde cuentas personales no monitoreadas, lo que crea enormes puntos ciegos en la seguridad empresarial.

El resultado es preocupante: Group-IB reportó que más de 225.000 credenciales de OpenAI/ChatGPT fueron vendidas en la dark web tras ser robadas mediante malware. Cuando los empleados usan dispositivos infectados y credenciales corporativas en estas plataformas, el ciclo de fuga de datos se vuelve imparable.

Phishing 2.0 y la nueva crisis de identidad

La IA ha transformado el phishing en un servicio masivo y personalizado. Por menos de 100 dólares mensuales, los ciberdelincuentes pueden acceder a kits de “Phishing como servicio” que generan correos electrónicos sin errores y altamente dirigidos, alcanzando tasas de clics del 54%, frente al 12% del phishing tradicional.

El fraude se extiende ahora a videollamadas y audios deepfake: la clonación de voz ya es indistinguible para el oído humano y ha permitido estafas millonarias, como la sufrida por la empresa Arup, que perdió 25,6 millones de dólares tras una videoconferencia con directivos suplantados digitalmente.

Cómo defenderse en 2026: la era poscontraseña

Frente a la velocidad de los ataques y la sofisticación de las amenazas, la industria ya no recomienda confiar en la fortaleza de una contraseña. Entre las medidas prioritarias, los expertos sugieren:

• Adoptar acceso sin contraseña y FIDO2: el uso de claves de acceso elimina la reutilización de credenciales y blinda a la empresa frente al phishing.
• Implementar confianza cero centrada en la identidad: toda autenticación debe ser tratada con escepticismo y monitorizada con herramientas de detección de anomalías.
• Controlar el uso de IA en el navegador: es necesario bloquear que datos sensibles se peguen en chatbots no autorizados y monitorear el comportamiento en tiempo real.
• Monitoreo continuo de la dark web y Telegram: la vigilancia activa permite detectar la venta de credenciales antes de que sean utilizadas en ataques.

Las contraseñas han dejado de ser la pieza clave de la seguridad digital. El futuro depende de la verificación de la identidad basada en el comportamiento y la inteligencia artificial, no en cadenas de caracteres que, tarde o temprano, terminan en manos equivocadas.