En esta vorágine de que exista un día para cualquier cosa, resulta que hoy es el Día Mundial de la Contraseña, algo que inventó Intel para recordar a todo el mundo que hay que hacer un pequeño esfuerzo para vivir más seguros en un mundo de claves en el que hay gente usando todavía «123456» a estas alturas.
Estamos en 2026. Lo más importante que hay que entender para mentalizarse a estas alturas es que lo recomendable ya no es intentar recordar decenas de contraseñas sino precisamente lo contrario: no conocerlas. Lo ideal es utilizar un gestor de contraseñas que genere claves largas y aleatorias para cada sitio web y las proteja detrás de una única contraseña maestra, normalmente combinada con biometría. En otras palabras: poner el careto o el dedo para desbloquear el «cofre» donde están guardadas todas las demás.
Como gestores recomendados, Bitwarden (Windows/MacOS/Linux + navegadores) o la app Contraseñas de MacOS e iCloud funcionan suficientemente bien; también hay otras de pago con algunas funciones extra, como 1Password.
Cualquier app o sitio moderno permite generar contraseñas de decenas de caracteres incluso mezclando letras, números, mayúsculas, minúsculas y símbolos rarunos varios. Y eso tiene bastante más sentido que las típicas normas absurdas de algunos sitios que todavía limitan las claves a 8 caracteres (BBVA, Banco de Santander) aunque luego las combinan con SMS* o apps para desfacer el entuerto. Algunas empresas como la Comercializadora Regulada de Naturgy te envían correos para que cambies la contraseña de vez en cuando (práctica del pleistoceno) y muchas tiendas online vetustas, supermercados y similares pueden enviarte una contraseña que no te obligan a cambiar cuando te registras para «hacerlo más fácil». Pues no, todo esto es ridículamente inseguro.
Estas serían las red flags o cosas a evitar relacionadas con las contraseñas hoy en día:
- Sitios que te envían «tu contraseña» por correo electrónico cuando se te olvida.
- Webs que generan ellas mismas la contraseña definitiva.
- Servicios que sólo permiten letras y números.
Si un servicio puede enviarte tu contraseña original significa casi seguro que la guarda de forma reversible o incluso en texto plano; cualquiera puede verla o robarla. Lo correcto es almacenar únicamente hashes o «firmas» criptográficas y permitir restablecerla mediante enlaces temporales. Que estamos en 2026, oiga.
Otro problema clásico para mucha gente es reutilizar la misma contraseña en muchos sitios. Eso da lugar a toda una película de miedo: atacan un foro perdido cualquiera en el que te registraste una vez, filtran la base de datos y automáticamente empiezan a probar la misma combinación de correos y contraseñas en Gmail, Netflix, redes sociales y cuentas bancarias. ¿Qué podría salir mal para ti si has usado la misma en todas partes?
Una solución bastante práctica es visitar de vez en cuando la Revisión de contraseñas de Google que comprueba que todas las que hayas guardado en el navegador son seguras y no se repiten. Y, aunque es un poco más histérico porque guarda muchos casos antiguos, Have I Been Pwned? permite saber si se ha vulnerado algún servicio en el que tuvieras tu email como identificador de una cuenta.
En resumen, y por ir a lo práctico, la combinación más razonable y segura a día de hoy –salvo raras excepciones– suele ser:
- Un gestor de contraseñas.
- Contraseñas únicas y aleatorias.
- Autenticación de dos factores (2FA) (contraseña + app o llaves físicas).
- y desbloqueo biométrico localmente, para mayor comodidad
Si todavía eres capaz de recordar todas tus contraseñas de memoria, probablemente el problema no sea tu memoria. Es que reutilizas demasiadas.
_____
* Aunque recibir un código por SMS sigue siendo bastante mejor que no tener ningún segundo factor de autenticación (2FA), hace tiempo que no se considera «el método más seguro». Los SMS pueden interceptarse y caer en fraudes de duplicación de la SIM del móvil («SIM swapping»), con desvíos de llamadas, malware o ataques a la red telefónica. Además son vulnerables al phishing más clásico de «escribe aquí el código que te acaba de llegar por SMS». Por eso hoy se recomienda utilizar apps de autenticación, llaves físicas de seguridad o passkeys, que son bastante más resistentes a ese tipo de trampas digitales.
Relacionados:
- Las consideraciones seguridad de las contraseñas evolucionan con el tiempo: ya no hay que mezclar estilos ni cambiarlas de vez en cuando
- La importancia de las contraseñas y cómo usar un software para gestionarlas, en un divertido vídeo
- Minimizando daños en cuentas «owneadas»
- La «seguridad básica» de las contraseñas en muchos sitios de Internet: de 6 a 8 caracteres y arreando
- Información personal y «robo de datos»: una concienciación necesaria
