Día Mundial de la Contraseña: La historia de las contraseñas

¡Toca cambiar! Este año, en lugar de conmemorar el Día Mundial de la Contraseña como siempre, desde LastPass proponemos celebrar el Día Mundial Sin Contraseña en un guiño a un futuro que está ya muy cerca. Pero mientras nos preparamos para dejar atrás las contraseñas, vale la pena reflexionar sobre su interesante historia. Hemos preparado una breve crónica de cómo surgieron las contraseñas, cuándo empezamos a utilizarlas para proteger nuestras vidas digitales y por qué son tan útiles como escudo frente a las ciberamenazas.

Década de 1960

Mientras los astronautas de la NASA se preparaban para su primer viaje a la Luna en el marco del programa Apollo, Fernando Corbató creaba las primeras cuentas de usuario protegidas por contraseñas en el Massachusetts Institute of Technology (MIT). Cuando los usuarios se conectaban a su Compatible Time-Sharing System (CTSS) con sus nombres de usuario y contraseñas personales, podían gestionar sus propios grupos de archivos en consolas vinculadas al ordenador principal de la universidad. Aunque este primero mecanismo de autenticación por usuario tenía sus fallos, su influencia fue decisiva en la forma de entender las contraseñas durante décadas, tanto entre los informáticos como entre la gente de a pie.

Década de 1970

El gran paso adelante en la seguridad de las contraseñas llegaría en 1972, cuando el criptógrafo Robert Morris ingenió un proceso de cifrado conocido como hashing, que consiste en traducir las contraseñas en números. Unos años después, Morris sumó esfuerzos con Ken Thompson, otro experto en la materia, para crear una técnica complementaria bautizada como salting. En este caso, se añaden cadenas aleatorias a las contraseñas almacenadas para que sean todavía más difíciles de hackear. Tanto el hashing como el salting siguen plenamente vigentes. Y, de hecho, LastPass utiliza estas dos técnicas para proteger la contraseña maestra de todos sus usuarios.

Décadas de 1990-2000

Con la expansión de Internet, llegó la necesidad de crear protocolos de autenticación más seguros. AT&T se atribuye la invención de la autenticación de doble factor (2FA) en 1995 y recibió la patente por esta tecnología en 1998. Y lo que empezó como una solución para un sector muy concreto es hoy la norma. Seguro que utiliza este sistema para iniciar sesión en algunas de sus cuentas online. Al usar la autenticación de doble factor, el sistema de autenticación le pide que se autentique a través de otro sistema (o factor) de autenticación, como un código temporal único que demuestre su identidad. Este factor de autenticación extra puede recibirse a través de un SMS, correo o aplicación de autenticación. Una vez recibido el código, tiene que introducirlo en el sistema y, si todo cuadra, puede acceder a su cuenta. La autenticación de doble factor y su sucesora, la autenticación multifactor (MFA), se generalizaron durante los primeros años del siglo XXI, momento en el que muchas empresas permitieron a sus empleados empezar a usar sus smartphones personales para el trabajo.

Década de 2010

En los primeros años de la nueva década, empezó la época dorada de las aplicaciones móviles y, con ella, la necesidad de reforzar la seguridad de las contraseñas. Siguiendo la estela de la autenticación de doble factor (2FA), llegó la autenticación multifactor (MFA). En este caso, los usuarios tenían que autenticarse de varias formas para poder acceder a una cuenta online, además de usar sus nombres de usuario y contraseñas. Entre los profesionales del sector de la seguridad, estos factores se conocen como:

• Algo que sabe (por ejemplo, su contraseña)
• Algo que tiene (por ejemplo, su teléfono, un token de autenticación multifactor o una tarjeta inteligente)
• Algo que es (por ejemplo, información biométrica como su huella dactilar, su rostro o su voz)

Cuando los robos de datos empezaron a ocupar titulares en la prensa, se generalizaron prácticas como la autenticación de doble factor y la autenticación multifactor. A diferencia de lo que ocurre con las credenciales de acceso, que son fáciles de hackear y vender en la Dark Web sin que el usuario se dé cuenta, no pasa lo mismo con los tokens de 2FA y MFA. La autenticación multifactor sigue siendo un elemento de protección muy importante, sobre todo cuando se reutiliza la misma contraseña en varias cuentas online (algo que el 62% de la gente sigue haciendo, según el informe Psicología de las contraseñas 2022). Si un atacante intenta conectarse en su lugar pero tiene activada la autenticación multifactor en su cuenta, recibirá una alerta por actividad sospechosa, podrá avisar al departamento de TI y actuar rápido para proteger su información y la de su empresa.

Década de 2020

En estos últimos años, los ataques se han multiplicado como nunca antes: los ciberdelincuentes son cada vez más atrevidos y la gente de la calle empieza a entender los riesgos de menospreciar la seguridad de las contraseñas. Con el auge del teletrabajo al principio de la pandemia, nuestras vidas digitales tomaron una nueva magnitud y los hackers lo aprovecharon para sembrar el caos a una escala mucho mayor. En décadas anteriores, una contraseña de ocho caracteres formada por una combinación de mayúsculas y minúsculas, números y símbolos se consideraba suficiente para proteger una cuenta online. En esta década, ya no. Para protegerse, los empleados empezaron a usar contraseñas más largas y complejas (en muchos casos, obligados por sus departamentos de TI). Se considera que estas contraseñas, de entre 12 y 18 caracteres, son más difíciles de hackear. Sin embargo, incluso aquellos usuarios más preocupados por la seguridad de sus contraseñas se encontraban con un problema. Con tantas cuentas online y tantas contraseñas, recordar claves todavía más complejas era una misión casi imposible. Esta fue la razón que impulsó a muchas empresas y usuarios a usar gestores de contraseñas para guardar sus contraseñas.

Prepárese para un futuro sin contraseñas

Las contraseñas forman parte de nuestro día a día desde los primeros compases de la era digital y se han ido adaptando para cumplir requisitos cada vez más avanzados en materia de ciberseguridad. Aunque sea difícil imaginar el día en que ya no las necesitemos, lo cierto es que está más cerca de lo que creemos. Según las previsiones de Gartner, en 2025 más del 50% de los empleados no usarán contraseñas. Hoy celebramos el Día Mundial Sin Contraseña y estamos convencidos de que es el momento perfecto para prepararnos para un futuro sin contraseñas. Pruebe gratis el acceso sin contraseñas con la aplicación LastPass Authenticator. Si desea conocer todos los pasos para reforzar la seguridad con el acceso sin contraseña, le invitamos a participar en un seminario web el próximo 4 de mayo. Inscríbase ya para reservar su plaza.