Desearías no usar contraseñas. Pero no es así.

La mayoría de nosotros en realidad no queremos contraseñas. Queremos que desaparezcan, reemplazadas por algo más limpio, invisible y más seguro por diseño. Passkeys, biometría, dispositivos que simplemente saben que eres tú. Esa es la dirección, y es buena.

Pero aquí está la parte que no decimos en voz alta: aún no hemos llegado.

Las contraseñas siguen estando en todas partes, especialmente en los lugares que más importan. Sistemas heredados. Cuentas de servicio. Scripts que nadie quiere tocar. Entornos híbridos que mantienen todo unido. Cuanto menos visible es, más crítico suele ser.

Kevin Mitnick dijo una vez, “El factor humano es realmente el eslabón más débil de la seguridad.”

Es un punto simple. Reformula el problema. No se trata de combinaciones ingeniosas de caracteres o reglas de complejidad. Se trata de acceso y de lo fácilmente que puede ser mal utilizado.

Y ahora, la IA está acelerando ese riesgo. Lo que antes tomaba tiempo—adivinar, descifrar, probar credenciales—ahora puede automatizarse y escalarse. Adivinanzas más rápidas, patrones más inteligentes, mejor segmentación.

Si una credencial funciona, funciona, y eso es suficiente.

Estamos en un punto intermedio. Los passkeys están creciendo, las contraseñas persisten y la identidad se ha convertido en el plano de control para todo. Esa tensión es donde reside el riesgo.

Y luego está el lado humano. Olvidamos. Reutilizamos. Compartimos cuando es más fácil que hacerlo bien. Con 20 personas, se puede pasar. Con 100, empieza a fallar. A gran escala, se rompe silenciosamente: no hay un gran evento, solo pequeñas brechas que se acumulan.

Si quieres ver de forma práctica cómo se ve realmente esa distribución a medida que los equipos crecen, Sascha Marten lo desglosa.

Las contraseñas más largas ayudan. Las frases de contraseña ayudan. Pero siguen siendo credenciales. Aún pueden ser expuestas, reutilizadas y compartidas. La longitud no cambia lo que realmente importa: el acceso.

Y si las contraseñas van a existir, necesitan límites. Jeremy Moskowitz lo explica bien: aún tienes contraseñas—por lo que necesitas hacer cumplir cómo se crean y usan.

Entonces, ¿qué haces, no en un estado futuro, sino ahora mismo, mientras las contraseñas aún existen?

No buscas la perfección. Controlas lo que es real. Quién tiene acceso, dónde reside, cómo se usa y cuándo cambia.

Vince Lombardi lo dijo mejor de lo que yo puedo: “La perfección no es alcanzable, pero si perseguimos la perfección podemos alcanzar la excelencia.” Passwordless está llegando. Pero el control es hoy.

Así que sí—utiliza World Password Day para crear conciencia. Pero no te quedes solo en mejores contraseñas. Concéntrate en lo que desbloquean.