← Volver al inicio

Cuentas, contraseñas y passkeys

IntroductorioGuíaRevisado: 29 de junio de 2026Contrastado con: NIST SP 800-63B, CISA Secure Our World, FIDO Alliance passkeys

La mayoría de ataques contra usuarios no empieza con una técnica avanzada. Empieza con contraseñas reutilizadas, phishing, robo de sesiones o engaños para compartir códigos.

Modelo moderno de protección

Una cuenta importante debe tener:

  1. contraseña única;
  2. passkey o MFA;
  3. correo/teléfono de recuperación actualizado;
  4. sesiones revisadas;
  5. códigos de recuperación guardados.

Passkeys

Una passkey permite iniciar sesión usando criptografía y el desbloqueo de tu dispositivo, como huella, rostro, PIN o contraseña local. A diferencia de una contraseña, la passkey no se escribe en una página falsa.

Ventajas:

  • reduce phishing;
  • evita reutilización de contraseñas;
  • no tienes que memorizar secretos largos;
  • funciona bien con dispositivos modernos.

Úsala primero en:

  • Google;
  • Apple ID;
  • Microsoft;
  • gestor de contraseñas;
  • GitHub;
  • cuentas bancarias si lo permiten.

MFA: no todos los métodos son iguales

Orden recomendado:

MétodoRecomendación
Llave física de seguridadMejor opción para cuentas críticas
PasskeyMuy buena opción para usuarios modernos
App autenticadoraBuena opción general
Notificación push con númeroMejor que aprobar a ciegas
SMSÚsalo solo si no hay alternativa

Nunca compartas códigos MFA. Ningún banco, soporte técnico o plataforma legítima necesita que le dictes tu código.

Gestor de contraseñas

Un gestor de contraseñas sirve para:

  • crear contraseñas largas;
  • guardar una contraseña distinta por cuenta;
  • detectar contraseñas repetidas;
  • autocompletar solo en dominios correctos;
  • guardar notas seguras y códigos de recuperación.

Protege el gestor con:

  • contraseña maestra fuerte;
  • passkey o MFA;
  • recuperación configurada;
  • dispositivos confiables.

Qué hacer si una contraseña aparece filtrada

  1. Cambia la contraseña afectada.
  2. Si la reutilizaste, cambia todas las cuentas donde era igual o parecida.
  3. Cierra sesiones activas.
  4. Activa MFA o passkey.
  5. Revisa correo y teléfono de recuperación.
  6. Revisa si hay reglas de reenvío o apps conectadas.

Errores comunes

  • Cambiar contraseñas cada mes, pero usar patrones predecibles.
  • Guardar contraseñas en notas sin protección.
  • Compartir cuentas personales.
  • Usar la misma contraseña con variaciones mínimas.
  • Confiar en SMS como único factor para todo.
  • Aprobar notificaciones MFA por cansancio.

Recomendación práctica

Si solo puedes hacer tres cosas hoy:

  1. protege tu correo con passkey o app autenticadora;
  2. instala un gestor de contraseñas;
  3. cambia contraseñas repetidas empezando por correo, banco y redes sociales.

Fuentes oficiales y referencias

Consulta estas fuentes primarias para verificar y ampliar la información de esta guía.

← Anterior

Protégete en internet

Siguiente →

Estafas con IA, voz clonada y mensajes urgentes

En esta página