En el marco del Día Mundial de la Contraseña 2025, resulta crucial reflexionar sobre dos desafíos persistentes en el ámbito de la ciberseguridad: la permanencia de las contraseñas como principal método de autenticación y el agotamiento de los usuarios frente a las crecientes exigencias de seguridad.

Primero, las contraseñas siguen siendo la norma. A pesar del empuje de nuevas tecnologías, más del 58% de los usuarios aún utiliza combinaciones de nombre de usuario y contraseña para sus cuentas personales, y el 54% en entornos corporativos, según el informe global de Yubico 2024. A esto se suma que el 60% de las personas admite reutilizar contraseñas en distintos servicios, y un preocupante 13% declara usar la misma en todas sus cuentas, como señala una encuesta de JumpCloud. Este patrón de comportamiento se mantiene a pesar de los reiterados avisos de seguridad y los incidentes de filtraciones masivas que afectan a millones de usuarios cada año.

Segundo, la mayoría de los usuarios comunes se ven superados por las exigencias y recomendaciones de seguridad. Pedirles que creen claves únicas, largas, alfanuméricas, que las cambien regularmente y activen factores múltiples de autenticación termina siendo, en muchos casos, contraproducente. La sobrecarga cognitiva los empuja a adoptar prácticas poco seguras como escribir contraseñas en papel o usar combinaciones fácilmente adivinables. Un estudio de Security.org muestra que el 70% de los estadounidenses se siente abrumado por la cantidad de contraseñas que debe gestionar, y apenas un 36% ha adoptado gestores de contraseñas, a pesar de su efectividad.

En medio de esta discusión, aparece como solución definitiva el salto al modelo passwordless, con tecnologías específicas como passkeys. Sin embargo, a pesar del creciente entusiasmo por esta tecnología como alternativa segura y sin contraseñas, la realidad actual muestra que su adopción aún está en etapas iniciales. Según un informe de la FIDO Alliance, aunque el 74% de los consumidores están familiarizados con las passkeys, solo el 38% las habilita siempre que es posible. Además, aunque el 93.43% de los dispositivos son técnicamente compatibles con passkeys, su implementación efectiva en plataformas y servicios sigue siendo limitada. ​

Por otro lado, en el ámbito empresarial, un estudio de HID Global revela que el 87% de las organizaciones han implementado o están en proceso de implementar passkeys. Sin embargo, este despliegue se centra principalmente en usuarios con acceso a datos sensibles, y solo el 21% de las empresas planea una implementación total. Las principales barreras incluyen la complejidad, los costos y la falta de claridad sobre cómo proceder. ​

Esto significa que, la implementación de mecanismos de passwordless como passkeys, depende de que los responsables de las aplicaciones lo adopten e implementen. Pero….

Desde el punto de vista de los usuarios, mientras tengan que acceder a sitios o aplicaciones que usen las contraseñas tradicionales están obligados a utilizar el antiguo método.

En resumen, aunque las passkeys representan un avance significativo hacia una autenticación más segura y conveniente, su adopción masiva aún enfrenta desafíos técnicos y de usabilidad. Por lo tanto, en los próximos cinco años, es probable que las contraseñas sigan siendo una parte integral de la autenticación digital.

Por eso, se considera que durante el período de transición hacia el “passwordless total”, la solución de compromiso más efectiva hoy consiste la utilización de gestores de contraseñas pero pensados para usuarios finales. Es decir, con un alto nivel de seguridad pero lo más transparente posibles. Estos sistemas alivian la carga del usuario, permiten generar claves robustas y únicas, y pueden integrarse fácilmente con navegadores y dispositivos móviles. Lo importante es que cuenten con altos estándares de seguridad, como cifrado de extremo a extremo, autenticación biométrica y arquitectura de conocimiento cero y almacenamiento seguro que evite un único punto de falla. En un contexto donde las amenazas se automatizan y la fatiga del usuario es cada vez mayor, hacer de la seguridad algo invisible pero robusto es el mejor camino posible.

El futuro indudablemente va a ser passwordless, pero en el presente, gestionar bien las contraseñas sigue siendo esencial.