• 5 min de lectura
Por qué las contraseñas fuertes aún dejan tus cuentas expuestas
Las contraseñas fuertes cubren solo un tercio de tu seguridad. La higiene del correo electrónico y la 2FA son igual de críticas para mantener a los atacantes afuera.

Imagen: Android Authority
Una contraseña fuerte es solo una capa
La mayoría de nosotros hemos visto nuestro correo electrónico o contraseña aparecer en Have I Been Pwned al menos una vez. Con cada servicio exigiendo un correo o un número de teléfono, las filtraciones de credenciales son casi inevitables.
El artículo sostiene que los usuarios dependen demasiado de las contraseñas. Son solo un tercio de una configuración de seguridad sólida. Para reducir de forma significativa el riesgo de las cuentas, hay que reforzar tres pilares a la vez: la identidad por correo electrónico, las contraseñas y la autenticación de dos factores (2FA).
Trata tu correo principal como un secreto
Tu dirección de correo principal funciona efectivamente como tu documento de identidad digital. Sin embargo, mucha gente la expone en formularios de registro, boletines y sitios aleatorios.

Recomendado
El laboratorio de Mira Murati presenta Inkling, un modelo abierto de 975 000 millones de p
El artículo sugiere tratar esa dirección principal como algo cercano a un secreto. La forma práctica de hacerlo es usar alias de correo electrónico:
- Los alias son direcciones aleatorias que reenvían el correo a tu bandeja de entrada real.
- Proporcionas alias a servicios y personas, mientras tu dirección principal permanece oculta.
- Si un servicio sufre una filtración y se filtra un alias, puedes desactivar ese alias y crear uno nuevo en unos clics.
Porque tu correo principal es engorroso de reemplazar en 'cada cuenta en la que lo has usado', se convierte en un activo crítico que proteger. El artículo señala servicios como SimpleLogin y DuckDuckGo como opciones para generar y gestionar alias, para que puedas seguir usando servicios sin exponer tu identidad principal.
Las contraseñas siguen importando — pero la unicidad prevalece
Si el correo es la cerradura, el artículo presenta las contraseñas como la llave. Los requisitos de complejidad en los sitios modernos nos han empujado hacia cadenas largas de símbolos y mayúsculas/minúsculas mezcladas, pero eso por sí solo no basta si reutilizas la misma contraseña o variantes triviales en todas partes.
El autor recomienda encarecidamente los gestores de contraseñas:
- Recuerdas una sola contraseña maestra fuerte.
- El gestor genera credenciales únicas y de alta entropía para cada servicio.
- Una filtración en un sitio no se traduce en acceso a otros.
Los gestores de contraseñas también reducen el phishing. Una página de inicio de sesión falsa que solo te parezca correcta puede no coincidir con el dominio exacto que espera el gestor, por lo que no rellenará automáticamente. Algunos gestores modernos incluso incluyen funciones de alias de correo, permitiéndote crear tanto un alias nuevo como una contraseña nueva al registrarte.
Para las personas abrumadas por 'cientos' de inicios de sesión existentes, la recomendación es una migración incremental: actualiza las contraseñas a medida que inicias sesión durante días o semanas, en lugar de hacerlo en una maratón.
2FA: el sistema de alarma adicional
Una vez que el correo y las contraseñas están en mejor forma, la capa final es la autenticación de dos factores. El artículo compara la 2FA con una alarma que suena cuando alguien fuerza la cerradura.
La 2FA añade una segunda prueba —una contraseña de un solo uso, un código TOTP o una llave de seguridad física— además de tu inicio de sesión. Ese segundo factor puede bloquear el acceso incluso si tanto tu correo como tu contraseña se han filtrado. También te alerta cuando recibes solicitudes de OTP inesperadas, dándote tiempo para rotar las credenciales.
El artículo clasifica las opciones así:
- Las llaves de seguridad físicas como YubiKey están 'entre los factores de segundo factor más seguros'.
- Las aplicaciones de autenticación que generan contraseñas de un solo uso basadas en el tiempo (TOTP) son un término medio ampliamente disponible. El autor cita Ente Auth como una elección personal, pero señala que puedes usar cualquier aplicación que se ajuste a tus necesidades.
- Sea cual sea tu elección, protege la app de 2FA con un PIN separado distinto del PIN de tu dispositivo para reducir el riesgo de miradas por encima del hombro y de robo.
Los OTPs por SMS reciben críticas en círculos de seguridad, pero el artículo sostiene que aún son mejores que no tener 2FA en absoluto. Lo clave es usar alguna forma de 2FA en lugar de no usar ninguna.
Tres herramientas, un objetivo: evitar la toma de control de cuentas
El artículo cierra recordando que, como dijo Dwight Schrute, '¡El robo de identidad no es una broma, Jim! Millones de familias sufren cada año.' Mucha gente o bien conoce a una víctima o ha sido afectada ella misma.
El argumento central: un sistema de seguridad de tres niveles — correo principal protegido, contraseñas únicas mediante un gestor y 2FA correctamente configurada — hace que sea 'casi imposible' para la mayoría de los intrusos reunir suficientes piezas para comprometer tus cuentas.
Confiar en solo una de estas capas puede crear una falsa sensación de seguridad. Cuando las tres están implementadas y mantenidas, cada una se convierte en respaldo de las otras, y tus cuentas se vuelven significativamente más difíciles de vulnerar.
AI Editor
Ava covers the rapidly evolving world of artificial intelligence, from foundational models and research labs to the real-world economics of intelligence. With a background in computational linguistics, she cuts through the hype to find out what actually works. She firmly believes that benchmarks are just marketing until reproduced in the wild.


