Por Pedro Oyarzún, CEO de EGS-Latam
Durante décadas, la contraseña fue el guardián silencioso de nuestra vida digital. Un secreto que en teoría solo conocía su dueño y que bastaba para demostrar quién era uno ante un sistema informático. Hoy, en el Día Mundial de la Contraseña, ese modelo enfrenta su límite más evidente: depender de un solo factor de autenticación es, en 2026, una apuesta arriesgada.
Soy CEO de una compañía con más de 35 años de experiencia en la industria tecnológica y de ciberseguridad. Y si hay algo que hoy es evidente, es que el modelo tradicional de autenticación ya llegó a su límite.
Nosotros damos por hecho que la tecnología debe funcionar bien para que el negocio funcione bien. Y la seguridad no es un producto que se instala y se olvida: es un proceso continuo que requiere comprensión, adopción y cultura.
En el tema, las contraseñas como artefacto de seguridad, pertenecen a la categoría de “lo que sé”, información que reside en la memoria del usuario. Esa naturaleza es, al mismo tiempo, su mayor fortaleza y su talón de Aquiles. Puede olvidarse, elegirse sin criterio de seguridad, reutilizarse en múltiples plataformas o ser capturada mediante phishing o ingeniería social.
Más del 80% de las filtraciones de datos corporativos involucran credenciales débiles, robadas o comprometidas. La contraseña, sola, ya no puede cargar con todo ese peso.
Hay tres factores en una arquitectura de confianza
La autenticación multifactor —MFA— parte de un principio simple: si comprometer un factor no es suficiente para obtener acceso, el atacante debe superar varias barreras simultáneas. Esas barreras se organizan en tres categorías.
- Lo que sé. El factor más clásico: contraseñas, PINs, frases de seguridad. Su ventaja es la familiaridad; su debilidad, que ese conocimiento puede compartirse o ser robado sin que el usuario lo note.
- Lo que tengo. Un objeto físico o digital en posesión exclusiva del usuario: una llave de seguridad USB, un token o una aplicación autenticadora en el smartphone. Para vulnerar este factor, un atacante necesita acceso físico al dispositivo, lo que eleva considerablemente el costo del ataque.
- Lo que soy. El factor biométrico: huella dactilar, reconocimiento facial, iris. Está ligado a características únicas e irrepetibles del individuo, lo que lo convierte en el más difícil de falsificar.
La combinación de al menos dos de estos factores define al MFA. No se trata de complejidad innecesaria: se trata de no poner todos los huevos en una sola canasta.
El verdadero objetivo es proteger la identidad de la persona
Es fácil pensar que el MFA protege sistemas. Pero eso es poner el foco en el lugar equivocado. Lo que el MFA protege, antes que cualquier plataforma o base de datos, es la identidad de una persona.
Los sistemas otorgan derechos, accesos y autorizaciones a personas, no a contraseñas. Cuando alguien accede a un sistema, ese sistema confía en que quien está al otro lado es quien dice ser. La suplantación de identidad rompe exactamente esa confianza: alguien actúa en nombre de otra persona, toma decisiones, accede a información y opera con una identidad que no le pertenece.
Las consecuencias van mucho más allá de lo técnico. La suplantación de una persona en redes sociales, por ejemplo, puede dañar su reputación, afectar a su familia y comprometer la imagen de la organización que representa. No hace falta vulnerar un servidor para causar un daño grave: basta con suplantar a la persona correcta en el momento equivocado.
El MFA existe para garantizar que quien accede es realmente quien dice ser. Para preservar el ser idéntico de cada individuo en el entorno digital. Desde esa certeza —desde la persona verificada— se protegen los sistemas, los datos y la reputación de las organizaciones.
Pero corporativamente, hay un obstáculo: el soporte
Las herramientas para implementar MFA existen y son accesibles. Sin embargo, muchas organizaciones en la región aún operan sin él. La razón más frecuente no es el costo ni la tecnología: es la carga operacional que recae sobre los equipos de TI.
Gestionar el segundo factor para toda una organización implica atender a cada usuario que pierde su teléfono, cambia de dispositivo o no puede acceder a su aplicación autenticadora. Ese soporte continuo, multiplicado por decenas o cientos de personas, representa una responsabilidad que muchos equipos de TI no están en condiciones de absorber solos.
Es precisamente ahí donde se hace la diferencia. Nuestro equipo ofrece el MFA como un servicio gestionado: acompañamos no solo la implementación técnica, sino también los procesos, políticas y procedimientos de soporte que permiten que el sistema funcione de forma sostenida. Los equipos de TI de nuestros clientes no quedan solos frente a esa responsabilidad; cuentan con un respaldo especializado que les permite operar con confianza y continuidad.
En este Día Mundial de la Contraseña hacemos una invitación a hacerse una pregunta simple: ¿estamos seguros de que quien accede a nuestros sistemas es realmente quien dice ser? No para proteger solo los sistemas, sino para proteger algo más fundamental: la identidad de las personas que están detrás de ellos.
El desafío hoy ya no es si las herramientas existen. Existen y son accesibles. El desafío real está en implementarlas bien, acompañar a los usuarios y sostener la operación sin sobrecargar a los equipos TI.