Sign in

El fin de la reutilización de contraseñas

El fin de la reutilización de contraseñas

Bóvedas, passkeys y el fin de la reutilización.

Una guía práctica para reducir fricción y riesgos en el día a día: menos memoria, más control y mejores recuperaciones.

Introducción

Entre plazos, clases, tutorías, reuniones y trámites, nadie tiene tiempo (ni cabeza) para “gestionar” decenas de accesos como si fuera un proyecto aparte. Y, aun así, las credenciales siguen siendo la puerta de entrada más habitual cuando algo falla.

La buena noticia es que en 2026 tenemos opciones más cómodas que “inventar contraseñas” y repetirlas: gestores tipo KeePass (bóveda / cofre-fuerte), passkeys y mejoras en los flujos de inicio de sesión. La clave está en combinarlas bien, sin complicar la vida y sin confiar en atajos peligrosos.

Este artículo aterriza qué merece la pena adoptar ya, qué conviene revisar y cómo actuar si sospechas que una cuenta se ha visto comprometida, en un contexto universitario como el de la Universidad Pontificia Comillas.

Qué es la gestión moderna de credenciales y por qué importa

Tradicionalmente, “gestionar contraseñas” significaba memorizar (o apuntar) secretos y cambiarlos de vez en cuando. En la práctica, eso empuja a dos hábitos que salen caros: reutilizar y simplificar. El primero hace que una filtración en un servicio ajeno pueda abrir la puerta a otros; el segundo facilita adivinaciones y ataques automatizados.

En 2026, el enfoque más útil es pensar en credenciales como un sistema:

  • Una gestor de contraseñas para generar y guardar claves únicas, largas y aleatorias sin depender de la memoria.
  • Passkeys (claves de acceso) para entrar sin teclear contraseña en servicios compatibles, con resistencia alta al phishing.
  • Recuperación y continuidad: cómo vuelves a entrar si pierdes el móvil, cambias de portátil o te bloquean la cuenta.

El impacto es personal (pérdida de acceso, suplantación, compras no autorizadas) y también institucional: si una cuenta universitaria se ve comprometida, puede afectar a correo, almacenamiento, documentos compartidos, tutorías, actas, expedientes o proyectos de investigación.

Qué se ve desde fuera: señales útiles y límites

Hay señales que ayudan a detectar a tiempo un problema con credenciales, pero también límites: muchos avisos se parecen a los legítimos y, a veces, una cuenta comprometida “parece normal” durante días.

Señales que merecen parar y verificar (mejor combinarlas, no tomar una sola como definitiva):

  • Avisos de inicio de sesión que no reconoces (dispositivo, ciudad, navegador).
  • Solicitudes repetidas de verificación o “aprobaciones” que tú no has iniciado (fatiga de MFA).
  • Cambios inesperados en opciones de seguridad: correo o teléfono de recuperación, métodos de acceso, reglas del correo, reenvíos.
  • Bloqueos o resets que no has pedido, o mensajes de “tu contraseña se ha filtrado” en varios servicios a la vez.

Límites: el atacante no necesita “hacer ruido” si obtiene acceso con credenciales válidas. Y algunos avisos pueden ser simples errores (sesiones antiguas, VPN, cambios de móvil). Por eso el criterio práctico es: si no lo esperabas, no lo apruebes; detente, comprueba y pide ayuda.

Qué ocurre por dentro (sin jerga)

Entender dos o tres piezas internas ayuda a tomar mejores decisiones, sin volverse técnico.

1) Contraseñas y “secretos compartidos”. Una contraseña es un secreto que tú y el servicio “conocéis”. Si se filtra (en una brecha o por engaño), cualquiera puede probarla. Los servicios serios no guardan contraseñas “en claro”, guardan una versión protegida (hash con sal), pero aun así una filtración puede acabar habilitando intentos automatizados en otros sitios si has reutilizado.

2) Sesiones y “estar dentro”. Después de iniciar sesión, muchos servicios crean una sesión (un “pase temporal” en el navegador o la app). Si alguien roba o secuestra esa sesión, puede actuar como tú sin necesidad de volver a introducir contraseña. Por eso, tras un incidente, no basta con cambiar la clave: conviene cerrar sesiones y revisar accesos.

3) Passkeys y por qué cambian el juego. Una passkey no es una contraseña nueva: es un método basado en criptografía donde el secreto importante (clave privada) se queda en tu dispositivo o en tu sistema de sincronización cifrada. Tú desbloqueas el uso de esa clave con biometría o PIN local. El servicio recibe una prueba, no el secreto. Resultado: hay mucho menos que robar y mucho menos que “teclear” en una web falsa.

Qué está en juego en la Universidad

En un entorno universitario, el daño típico no suele ser “romper sistemas”, sino aprovechar accesos legítimos. Por eso las credenciales importan tanto para PDI, PAS y alumnado.

  • Correo institucional: es el centro de recuperación de cuentas (si controlan tu correo, controlan resets de otros servicios).
  • Documentos y almacenamiento: apuntes, actas, listas, informes, bases de datos de investigación, borradores de convocatorias.
  • Herramientas docentes: evaluaciones, tutorías, comunicaciones a grupos, material docente con licencias.
  • Movilidad y trámites: formularios, justificantes, certificados, procesos de matrícula o gestión.
  • Investigación financiada: acceso a repositorios, plataformas de gestión, herramientas colaborativas y datos sensibles por contrato.

La regla simple: si esa cuenta te sirve para recuperar otras o da acceso a información de terceros, merece el nivel “bóveda + segundo factor / passkey”.

Cómo ayuda el STIC

El STIC puede acompañar en tres momentos: antes, durante y después.

  • Antes: recomendaciones prácticas (gestores, passkeys, hábitos realistas), sesiones de sensibilización, criterios para compartir accesos en equipos sin caer en “contraseñas en correos” o notas.
  • Durante: ayuda a verificar si un aviso o mensaje es legítimo, contención si hay indicios de compromiso y orientación para recuperar control sin perder información.
  • Después: revisión de configuraciones de seguridad, refuerzo de recuperación, buenas prácticas para reducir que el mismo problema se repita.

Expectativa realista: no existe “cero riesgo”, pero sí menos impacto y más rapidez si el aviso llega pronto y si las cuentas están preparadas con métodos modernos de acceso y recuperación.

Lo que ha cambiado en 2025–2026

En los dos últimos años se ha acelerado el cambio desde “contraseña + código” hacia “passkey por defecto” y gestores mejor integrados.

  • Passkeys más presentes: no son una promesa futura; aparecen ya como tecnología de autenticación en guías europeas y como opción prioritaria en servicios de gran uso.
  • Experiencias “passwordless” mejor diseñadas: proveedores grandes han simplificado el alta y el inicio de sesión para que usar passkey sea lo normal, no “una opción escondida”.
  • Más foco en resistencia al phishing: se está empujando a que los productos incluyan por defecto formas de autenticación resistentes a engaños y no dependan de secretos compartidos.
  • Más conciencia sobre fatiga de MFA: muchas notificaciones de acceso pueden convertirse en un vector de error humano; por eso se recomiendan combinaciones como SSO con métodos resistentes y sesiones bien gestionadas.

Traducción práctica: si un servicio te ofrece passkey, merece la pena probarla. Y si no la ofrece, la bóveda sigue siendo tu mejor aliada para evitar reutilización.

Datos recientes en contexto

Para entender por qué insistimos tanto en “no reutilizar” y en “pasar a métodos más resistentes”, ayuda ver tendencias de referencia:

  • En el análisis de Verizon, el informe 2025 estudia más de 12.000 brechas reales (benchmarks globales; metodología propia).
  • En el patrón de “ataques a aplicaciones web”, alrededor del 88% de las brechas de ese patrón implican uso de credenciales robadas.
  • Microsoft reporta que observa casi un millón de passkeys registradas cada día en su ecosistema de cuentas de consumidor.
  • En el mismo conjunto de datos, el inicio con passkey alcanza cerca del 98% de éxito de acceso en sus mediciones, con mejor experiencia que la contraseña (benchmark del propio proveedor).
  • NIST establece como requisito que las contraseñas elegidas por la persona sean de al menos 8 caracteres y recomienda permitir longitudes de al menos 64 para facilitar frases largas (y el uso de gestores).

Nota de metodología: los datos de proveedores e informes agregados sirven como orientación (“benchmarks”), pero pueden variar por sector, periodo y forma de medir. Lo importante aquí es la dirección: credenciales robadas y reutilización siguen siendo un problema muy aprovechable por atacantes, y las passkeys reducen varios puntos débiles a la vez.

Checklist en 30 segundos

  • Usa un gestor de contraseñas como KeyPass: te quita de encima la memoria y corta la reutilización.
  • Una contraseña distinta por servicio: si cae una, no caen todas.
  • Activa passkeys donde estén disponibles: reduces el riesgo de phishing y de robo del secreto.
  • Activa un segundo factor (si no hay passkey): añade una barrera cuando alguien prueba credenciales robadas.
  • Protege la cuenta “raíz” (correo principal): es la llave de la recuperación del resto.
  • Revisa métodos de recuperación: correo/teléfono alternativo y dispositivos de confianza, para no quedarte fuera.
  • No apruebes avisos inesperados: si no has iniciado sesión tú, detenerse evita errores costosos.
  • Evita guardar contraseñas en notas o ficheros: aunque estén “en tu ordenador”, acaban copiándose o sincronizándose sin control.
  • Cierra sesión en equipos compartidos: baja el riesgo de sesiones abiertas y accesos accidentales.
  • Actualiza sistema y navegador: mejora la protección del dispositivo donde “viven” sesiones y llaves.

Qué hacer si ya ha pasado (sin tecnicismos)

Si crees que una contraseña se ha filtrado, que has aprobado algo por error o que alguien ha entrado en tu cuenta, lo más eficaz es actuar en este orden, sin prisas pero sin posponerlo.

  • 1) Cambia la contraseña del servicio afectado (y de cualquier otro donde la hayas reutilizado): corta el acceso directo.
  • 2) Cierra sesiones activas desde la configuración de seguridad: expulsa accesos ya iniciados.
  • 3) Revisa métodos de recuperación: asegúrate de que correo/teléfono alternativo siguen siendo tuyos.
  • 4) Activa passkey o segundo factor si estaba desactivado: reduce la repetición del incidente.
  • 5) Revisa reglas y reenvíos del correo si el incidente afecta al email: a veces el objetivo es “quedarse mirando”.
  • 6) Si hay acceso desde dispositivos ajenos, considera que el problema puede estar en el dispositivo (malware o sesión robada): evita seguir iniciando sesión hasta pedir orientación.
  • 7) Avisa pronto: reportar a tiempo suele reducir impacto y acelera la recuperación.

Canal de ayuda o reporte que se debe priorizar: Jira

Si te preocupa “haber metido la pata”, respira: esto pasa en contextos de multitarea. Lo que marca la diferencia es parar, verificar y avisar pronto.

Privacidad y trato respetuoso

La gestión de credenciales toca vida personal y profesional: es normal querer discreción. En la Universidad, el enfoque debe ser proporcional: ayudar a recuperar el control, minimizar exposición y aprender para que no se repita.

  • Confidencialidad: comparte solo lo necesario para verificar y recuperar.
  • No culpabilizar: los errores ocurren con prisas, fatiga y exceso de avisos; la respuesta debe facilitar el reporte temprano.
  • Mejora continua: cada incidente o susto es una oportunidad para dejar preparado el “plan B” (passkey, bóveda, recuperación).

Ser listo

En 2026, la meta realista no es “recordar mejor” contraseñas, sino recordar menos y depender más de sistemas que reducen errores: bóvedas para claves únicas, passkeys donde se pueda y recuperaciones bien configuradas.

Si te quedas con cinco ideas: (1) no reutilices, (2) usa un gestor como bóveda, (3) activa passkeys o segundo factor, (4) protege el correo porque recupera todo, y (5) ante avisos inesperados: parar, verificar y pedir ayuda/reportar.

Si no lo esperabas, no lo apruebes; si dudas, no lo resuelvas a solas.

Read next