Muchas empresas siguen creyendo que el problema de las contraseñas se resuelve pidiendo “una mayúscula, un número y un símbolo”. En 2026, ese enfoque ya no protege: apenas da una sensación de control mientras la IA vuelve más rentable el robo de credenciales.
Las contraseñas continúan siendo una de las puertas más usadas para entrar a sistemas, correos, plataformas financieras y datos empresariales. El problema no es solo que muchas personas usen claves débiles, sino que las organizaciones siguen tratando este asunto como una costumbre del usuario y no como una decisión de arquitectura empresarial. Hoy la IA permite campañas de phishing más convincentes, mejores intentos de adivinación y una explotación más rápida de credenciales filtradas. Al terminar este artículo, comprenderá por qué la longitud, la unicidad, la gestión centralizada, el monitoreo y la autenticación multifactor ya no son opcionales, sino parte de una estructura funcional de seguridad.
Si desea profundizar en una visión empresarial y funcional de la tecnología, puede explorar más aquí: https://t.mtrbio.com/todo-en-unonet
Hay temas empresariales que parecen pequeños hasta que producen una crisis grande. Las contraseñas pertenecen a esa categoría. Durante años muchas organizaciones las trataron como una formalidad de soporte técnico: crear usuarios, asignar claves, pedir cambios periódicos y confiar en que el colaborador “sea cuidadoso”. Sin embargo, la realidad actual obliga a mirar el asunto de otra manera.
Hoy una contraseña no es simplemente una palabra secreta. Es un punto de entrada a correos, nómina, banca, CRM, archivos en la nube, paneles administrativos, plataformas de comercio electrónico, historiales de clientes y, en muchos casos, a toda la operación. Por eso resulta tan delicado que todavía existan hábitos como reutilizar claves, compartir accesos, guardar credenciales en notas improvisadas o dejar cuentas antiguas activas durante años. El propio artículo de Computer Weekly recuerda que una gran proporción de aplicaciones sigue dependiendo solo de contraseñas, mientras las personas administran decenas de cuentas y muy pocas usan claves únicas para cada servicio.
Desde la perspectiva de arquitectura empresarial, aquí aparece un error de fondo: se pretende resolver un problema estructural con una instrucción superficial. Decirle al personal “usen contraseñas más fuertes” no transforma nada si la empresa no define políticas, herramientas, responsabilidades, monitoreo y criterios de continuidad. En otras palabras, no basta con pedir disciplina; hay que diseñar funcionalidad.
Eso conecta directamente con la filosofía de TODO EN UNO.NET, empresa colombiana fundada en 1995, que ha sostenido una idea sencilla pero profunda: la tecnología debe responder a la funcionalidad del negocio, no al entusiasmo por la tecnología en sí misma.
En seguridad digital, esa frase cobra un valor enorme. Muchas compañías compran soluciones costosas y al mismo tiempo conservan prácticas básicas muy débiles. Tienen antivirus, licencias, nube, automatizaciones e incluso herramientas de IA, pero siguen usando accesos compartidos, claves cortas o cuentas sin segundo factor. Eso no es transformación; eso es acumulación tecnológica sin criterio operativo.
El debate sobre contraseñas ha cambiado porque el contexto cambió. La inteligencia artificial ya está ayudando a los atacantes a construir campañas de phishing mejor redactadas, a personalizar mensajes con más contexto y a priorizar intentos de adivinación basados en patrones humanos. Al mismo tiempo, del lado defensivo, también permite detectar comportamientos anómalos y responder más rápido. La IA, por tanto, no elimina el problema: lo acelera para ambos lados. Y cuando una empresa sigue dependiendo de contraseñas pobres, queda mal posicionada en ese nuevo entorno.
Aquí conviene desmontar un mito que todavía sobrevive en muchas oficinas: creer que una contraseña es segura porque “se ve rara”. Durante años se obligó a los usuarios a mezclar símbolos, números, mayúsculas y reemplazos extraños como si eso, por sí solo, resolviera el asunto. La guía actual de NIST va en otra dirección: prioriza la longitud, permite contraseñas mucho más largas y desaconseja imponer reglas arbitrarias de composición como eje principal. Incluso su orientación reciente recomienda al menos 15 caracteres cuando la contraseña se usa como factor único, y favorece el uso de frases más largas y memorables.
Esto tiene sentido empresarial. Una clave extensa y recordable suele ser más útil que una clave corta y artificialmente compleja. Para un directivo, un vendedor, un contador o un coordinador logístico, la seguridad no puede depender de trucos de memoria agotadores. Debe integrarse a la realidad del trabajo. Cuando una política es impracticable, el usuario la rodea. Y cuando la rodea, la organización queda expuesta.
Por eso una contraseña segura no debe entenderse como un detalle aislado, sino como parte de un sistema funcional que incluya, por lo menos, cinco decisiones.
La primera es aceptar que la longitud importa más de lo que muchas personas creen. El artículo base lo explica con claridad: cuando las credenciales robadas se intentan descifrar fuera de línea, la longitud aumenta drásticamente el tiempo y el esfuerzo requeridos para romper una contraseña. Ese principio sigue siendo central frente al aumento de capacidad computacional y la evolución de técnicas asistidas por IA.
La segunda es entender que la unicidad no es negociable. Una sola contraseña reutilizada en varios servicios convierte una fuga externa en una crisis interna. Si la misma clave sirve para correo, facturación y una plataforma de terceros, el atacante no necesita vulnerar tres sistemas: le basta con aprovechar una credencial expuesta. CISA sigue recomendando contraseñas largas, aleatorias y únicas, idealmente administradas mediante un gestor de contraseñas.
La tercera es centralizar la gestión. Aquí muchas empresas cometen un error silencioso: dejan que cada usuario administre su propio caos. Unos guardan claves en el navegador, otros en un papel, otros en el celular, otros se las envían por mensajería. Desde un punto de vista funcional, eso impide gobernanza, trazabilidad y respuesta rápida ante incidentes. Un gestor corporativo bien definido no es una comodidad; es una pieza de control.
La cuarta decisión es eliminar cuentas obsoletas. Este punto suele subestimarse. Una empresa puede fortalecer sus credenciales activas y, aun así, mantener abiertas cuentas antiguas, usuarios de exempleados, accesos a herramientas que ya no usa o registros olvidados en servicios externos. El artículo citado lo plantea con un ejemplo sencillo: las cuentas viejas también conservan valor para los atacantes. En términos empresariales, toda cuenta innecesaria es una puerta que nadie vigila.
La quinta es monitorear. La seguridad no termina cuando se crea una contraseña robusta. CISA insiste en combinar contraseñas fuertes con MFA, y el artículo de Computer Weekly subraya la importancia de vigilar inicios de sesión, filtraciones y señales de compromiso. La lógica es clara: proteger sin observar es dejar la bóveda cerrada, pero sin guardia.
Hasta aquí podría parecer que estamos hablando solo de ciberseguridad. Pero en realidad estamos hablando de gobierno empresarial. Una contraseña mal gestionada no solo expone datos; también afecta continuidad operativa, confianza del cliente, cumplimiento normativo y reputación. En una empresa moderna, credenciales, accesos y trazabilidad ya forman parte de la estructura administrativa, tecnológica y legal.
Eso resulta especialmente importante en Colombia y en cualquier organización que trate datos personales, financieros o sensibles. Cuando una cuenta comprometida expone información de clientes, empleados o proveedores, el problema no se queda en el área de sistemas. Toca cumplimiento, atención al cliente, dirección y, en muchos casos, obligaciones regulatorias. Por eso el manejo de contraseñas debe conversar con políticas de datos, matrices de riesgo y protocolos de respuesta.
Si su empresa necesita revisar estos temas desde una visión integral y funcional, puede ampliar información aquí: https://t.mtrbio.com/todo-en-unonet
Uno de los errores más comunes en las empresas medianas es delegar toda la responsabilidad al usuario final. Se le dice al equipo que no caiga en correos falsos, que use mejores claves y que tenga cuidado. Pero no se rediseña el entorno. No se limita el acceso por rol. No se aplica MFA de forma consistente. No se revisan cuentas inactivas. No se entrena con casos reales. No se mide el cumplimiento. Así es imposible madurar.
La alternativa correcta no es el miedo, sino la arquitectura. Primero, definir qué sistemas son críticos. Segundo, clasificar los accesos según su impacto. Tercero, exigir credenciales más sólidas en los puntos de mayor riesgo. Cuarto, acompañar esto con MFA, especialmente en correo, finanzas, administración y herramientas en la nube. Quinto, documentar responsables, altas, bajas y rotación de accesos. NIST y CISA coinciden en que la contraseña sola ya no debería ser la última línea de defensa.
También conviene decir algo que a veces incomoda: la modernización no consiste en correr a reemplazar todo por “passwordless” solo porque suena avanzado. Hay entornos donde esa transición será gradual. Lo maduro no es adoptar la moda más reciente, sino construir un esquema proporcional al riesgo, operativo para el usuario y sostenible para la empresa. Mientras muchas cuentas sigan dependiendo de contraseñas, lo sensato es fortalecerlas bien y acompañarlas con MFA, monitoreo y gestión adecuada.
En este punto aparece una reflexión empresarial de fondo. Cada vez que una organización simplifica en exceso un problema estructural, termina pagando más después. Pasa con inventarios, con procesos, con contratación, con datos y también con contraseñas. Se ahorra en diseño, pero se pierde en incidentes. Se evita una decisión incómoda hoy, pero mañana aparecen costos de reputación, improductividad, soporte, contingencia y recuperación.
Por eso este tema debe salir del lenguaje meramente técnico y entrar al lenguaje directivo. La pregunta ya no debería ser “¿qué contraseña ponemos?”, sino “¿qué arquitectura de acceso necesita la operación?”. Cuando se formula así, cambia todo. Ya no se piensa en una clave aislada, sino en roles, riesgos, continuidad, monitoreo, cumplimiento y experiencia del usuario.
En el ecosistema de TODO EN UNO.NET esta conversación tiene sentido porque la empresa no ha planteado nunca la tecnología como un fin decorativo, sino como una herramienta para ordenar y hacer viable la empresa. Esa visión sigue siendo vigente. Y quizá hoy sea más urgente que nunca, porque la IA está ampliando capacidades, pero también está amplificando errores humanos y debilidades estructurales.
A un empresario le diría algo muy concreto: si hoy sus credenciales dependen de memoria improvisada, hábitos informales y cuentas sin gobierno, usted no tiene una política de acceso; tiene una esperanza. Y la esperanza no es un control.
A un gerente administrativo le diría: revise si realmente sabe quién accede a qué, con qué reglas y con qué respaldo. Porque cuando ocurre un incidente, la desorganización sale a la superficie.
Y a un líder de tecnología le diría: deje de medir la seguridad solo por la cantidad de herramientas adquiridas. Mídala por el nivel de funcionalidad real que esas herramientas generan dentro de la empresa.
Si quiere llevar esta reflexión a una evaluación práctica en su organización, puede consultar aquí: https://t.mtrbio.com/todo-en-unonet
Al final, crear contraseñas más seguras sí es un arte, pero no en el sentido romántico de inventar combinaciones ingeniosas. Es un arte empresarial porque exige criterio, diseño, disciplina y comprensión del negocio. La contraseña correcta no es la más extravagante: es la que cumple una función dentro de una arquitectura coherente de protección.
Las empresas que entiendan esto antes que las demás no solo reducirán riesgos. También tomarán mejores decisiones sobre identidad, acceso, datos, procesos y continuidad. Y ese es el verdadero punto. La ciberseguridad madura no empieza con tecnología más llamativa, sino con una empresa que entiende cómo debe funcionar antes de decidir con qué herramienta hacerlo.
En conclusión, las contraseñas siguen siendo importantes no porque representen el futuro ideal de la autenticación, sino porque siguen siendo una realidad cotidiana en casi todas las organizaciones. Y mientras lo sean, deben tratarse con seriedad estratégica. Longitud, unicidad, gestión centralizada, MFA, monitoreo y depuración de cuentas no son recomendaciones sueltas. Son piezas de una arquitectura funcional de confianza.
Conozca más sobre este enfoque empresarial y funcional aquí: https://t.mtrbio.com/todo-en-unonet
La seguridad deja de ser un gasto confuso cuando se convierte en una decisión funcional de empresa.
“Nunca la tecnología por la tecnología en sí misma, sino la tecnología por la funcionalidad.”