Las contraseñas complejas perdieron eficacia como defensa principal frente al robo de credenciales, la inteligencia artificial generativa, los ladrones de información y los mercados clandestinos que venden accesos personales y corporativos.
En 2026, el problema central va más allá de solo crear una clave difícil de adivinar: el riesgo está en que esa clave sea robada desde un navegador, reutilizada en varias cuentas, capturada por malware o pegada por un empleado en una herramienta de IA sin supervisión.
El Día Mundial de la Contraseña llega en un escenario distinto al de años anteriores. La recomendación clásica de usar números, símbolos y mayúsculas resulta insuficiente ante una economía criminal que opera con lógica industrial. Los atacantes ya no necesitan romper cada clave: muchas veces compran accesos, usan bases filtradas, engañan a usuarios con phishing o aprovechan credenciales extraídas por software malicioso.
La ciberdelincuencia como servicio, impulsada por IA generativa, amplió el alcance del problema. Los accesos robados circulan en la dark web, en canales privados de Telegram y en bots automatizados que permiten transacciones rápidas. Esa infraestructura aceleró la venta de datos y redujo la barrera de entrada para atacantes con poca experiencia técnica.
Cuánto vale una cuenta robada en el mercado clandestino
El comercio ilegal de credenciales funciona por oferta, demanda y nivel de acceso. Las cuentas personales tienen un valor menor que los accesos financieros o corporativos, que pueden abrir la puerta a fraudes, robo de fondos o ataques de ransomware.
Según la información provista, una cuenta de Facebook hackeada ronda los USD 45. Una cuenta de Gmail se ofrece en un rango promedio de entre USD 60 y USD 65. Las tarjetas de crédito con CVV se venden entre USD 10 y USD 40, mientras que las cuentas bancarias en línea verificadas y los accesos a criptomonedas con saldos elevados pueden alcanzar entre USD 200 y más de USD 1170.
El segmento corporativo concentra los precios más altos. Los Agentes de Acceso Inicial venden entradas directas a redes empresariales, como VPN o RDP. El precio base promedio ronda los USD 2700, y los accesos administrativos con privilegios elevados pueden superar los USD 113.000.
A esa economía se suman los programas maliciosos de robo de información. Suscripciones a herramientas como LummaC2 o RedLine cuestan entre USD 100 y USD 1024 mensuales. Ese modelo permite obtener grandes volúmenes de contraseñas, cookies, sesiones abiertas y datos guardados en navegadores.
La reutilización de claves mantiene vivo el problema
El uso repetido de contraseñas multiplica el impacto de cada filtración. Según los datos incluidos en la fuente, el 94% de las contraseñas se reutiliza en dos o más cuentas. Además, el Informe de Investigaciones de Violaciones de Datos de Verizon de 2025 indica que solo el 3% de las contraseñas cumple con los requisitos de complejidad del NIST.
Esa combinación alimenta los ataques de relleno de credenciales. Cuando una plataforma sufre una filtración, los atacantes prueban de forma automática esas mismas claves en otros servicios. Una contraseña expuesta en una cuenta menor puede habilitar accesos a correo electrónico, redes sociales, servicios financieros o sistemas corporativos.
La IA generativa abrió otro frente dentro de las empresas
La IA generativa sumó un riesgo interno accidental: empleados que copian y pegan datos sensibles en chatbots o herramientas no gestionadas.
Según el Informe de Seguridad de Navegadores LayerX 2025, copiar y pegar en navegadores superó a las transferencias de archivos como principal vector de exfiltración de datos corporativos. El 45% de los empleados utiliza herramientas de IA, y el 77% de esos usuarios pega datos directamente en solicitudes de IA. Además, el 82% de esas acciones ocurre mediante cuentas personales no gestionadas.
Check Point Research detectó en marzo de 2026 que 1 de cada 28 solicitudes de GenAI enviadas desde entornos empresariales tenía alto riesgo de fuga de datos confidenciales. Ese fenómeno alcanzó al 91% de las organizaciones que usan herramientas de GenAI con regularidad. Otro 17% de las solicitudes contenía información potencialmente confidencial.
El riesgo también alcanza a las credenciales de servicios de IA. Group-IB informó que al menos 225.000 conjuntos de credenciales de OpenAI y ChatGPT fueron puestos a la venta en la web oscura tras robos ejecutados por ciberdelincuentes.
Phishing con IA, deepfakes y suplantación de identidad
El phishing también ganó sofisticación con inteligencia artificial. En Telegram se venden kits de phishing como servicio por menos de USD 100 al mes. Entre los engaños más frecuentes aparecen falsas solicitudes de restablecimiento de contraseña de áreas de TI o Recursos Humanos, portales VPN falsos y páginas diseñadas para capturar credenciales.
La IA permite crear mensajes más limpios, personalizados y dirigidos. Según un estudio de Brightside AI de 2024 citado en la fuente, los correos de phishing generados con IA alcanzan tasas de clics de hasta el 54%, frente a cerca del 12% del phishing tradicional.
El problema también llegó a la voz y el video. Las suscripciones básicas para clonación de voz con IA cuestan apenas unos dólares al mes. Según el Informe de Fraude de Identidad 2024 de Onfido, los deepfakes registraron un aumento del 3000%.
La suplantación de ejecutivos se transformó en una amenaza directa para empresas. El caso de Arup expuso el nivel de riesgo: una videollamada con imágenes deepfake de directivos, incluido el director financiero, derivó en una pérdida de USD 25,6 millones. La clonación de voz puede crearse con apenas 3 segundos de audio, y Fortune informó en diciembre de 2025 que esa tecnología cruzó un umbral en el que los oyentes humanos ya no distinguen de forma confiable una voz clonada de una auténtica.
El ransomware aprovecha credenciales robadas
El tiempo entre una filtración de contraseña y un ataque mayor se acorta. Según Beazley Security, en el tercer trimestre de 2025 el 48% de los ataques de ransomware utilizó credenciales VPN robadas como vector inicial.
El informe de IBM sobre el costo de una filtración de datos de 2025 agregó otro dato crítico: las brechas basadas en credenciales tardan, en promedio, 246 días en identificarse y contenerse. Ese retraso da margen a atacantes para moverse dentro de una red, escalar privilegios y preparar extorsiones.
Cómo deben protegerse las organizaciones en 2026
La primera medida recomendada es avanzar hacia autenticación sin contraseña y FIDO2. Las passkeys reducen la exposición a credenciales reutilizables y limitan el impacto de sitios falsos diseñados para capturar claves.
La segunda medida es implementar confianza cero centrada en identidad. Cada intento de acceso debe evaluarse según dispositivo, ubicación, comportamiento, privilegios y señales de riesgo. La combinación de EDR con ITDR permite correlacionar anomalías en endpoints e identidad.
La tercera medida es controlar el navegador como punto crítico de fuga de información. Las herramientas tradicionales de prevención de pérdida de datos pierden eficacia cuando un empleado copia información sensible y la pega en un chatbot. Las empresas necesitan navegadores empresariales o extensiones de seguridad capaces de bloquear el ingreso de datos confidenciales en herramientas GenAI no autorizadas.
La cuarta medida es monitorear de forma continua la dark web y Telegram. Esperar una notificación formal de brecha puede llegar tarde. La detección temprana de credenciales robadas permite actuar antes de que esos accesos lleguen a intermediarios o grupos de ransomware.
La contraseña sigue presente en la vida digital. Su valor, en 2026, depende cada vez menos de la cantidad de símbolos que incluya y cada vez más del entorno en el que se usa, del control sobre el navegador, de la identidad del usuario y de la capacidad de detectar accesos robados antes de que entren en circulación criminal.