Recomendaciones para el Día Mundial de la Contraseña 2026

• Cada primer jueves de mayo, el sector tecnológico conmemora el Día Mundial de la Contraseña. Esta iniciativa, impulsada por expertos en seguridad informática, tiene como objetivo principal educar a personas y organizaciones sobre la importancia de implementar hábitos seguros al momento de generar y gestionar sus claves de acceso para proteger su información.

Fiel a su cita el primer jueves de mayo, la industria tecnológica celebra hoy el Día Mundial de la Contraseña 2026, un evento propuesto por los profesionales de la ciberseguridad para concienciar a usuarios y empresas de la necesidad de fomentar las mejores prácticas en la creación y mantenimiento de las contraseñas.

Todos sabemos que las contraseñas son un método inseguro por defecto (cuando no se gestionan de manera correcta) y terrible en usabilidad al tener que recordarla. Sin embargo, las contraseñas siguen siendo una función clave para la seguridad ya que se usan de manera masiva para autenticarse en los servicios de Internet, ante sistemas operativos, aplicaciones, juegos, redes y todo tipo de máquinas.

Eliminar las contraseñas como método principal de autenticación digital debería ser una una de las grandes prioridades de la industria de la tecnología. Y el proceso está en marcha con métodos más avanzados como las ‘claves de acceso’ (Passkeys) que ofrecen una alternativa más segura, amigable y conveniente a las contraseñas, ya que permiten usar números de identificación personal (PIN) o autenticación biométrica como huellas dactilares o reconocimiento facial para iniciar sesión en sitios web y aplicaciones. Pero hasta que estas nuevas tecnologías estén totalmente extendidas, el objetivo debe ser reforzar los métodos de seguridad que usamos.

Día Mundial de la Contraseña 2026

El uso de las contraseñas para proteger cuentas digitales contra accesos no autorizados en entornos informáticos se remonta a una época incluso anterior a la llegada del ordenador personal. Las usaron por primera vez investigadores del Instituto Tecnológico de Massachusetts (MIT) en la década de 1960 en un IBM 709 al que los usuarios podían acceder mediante su propio código para evitar el acceso no autorizado a los archivos personales de los usuarios. Se cree que fue la primera vez que se usaron para autenticación y también la primera vez que se produjo una violación de contraseñas.

Han pasado 64 años desde aquel suceso y la historia ha venido repitiéndose. Las credenciales comprometidas representan la principal causa de ciberataque por segundo año consecutivo (41% de los casos), según indica la edición de 2025 del informe Active Adversary de la firma Sophos. Además, según este estudio, las sofisticadas técnicas, tácticas y procedimientos de los ciberatacantes les permiten burlar fácilmente los métodos de autenticación tradicionales.

A ello ayuda que año a año las contraseñas débiles «brillen» entre las más usadas, según los informes realizados mediante el análisis de las mayores violaciones de datos que se producen en los ataques a servicios de Internet. La conclusión principal es que a nivel de usuario y de manera general somos un chollo para los ciberdelincuentes ya que ese tipo de claves pueden ser descifradas en segundos mediante un solo comando. Las empresas también tienen que hacer mucho más en seguridad digital y aquí es donde entra este Día Mundial de las Contraseñas 2025 como recordatorio.

Cómo crear las contraseñas más seguras

Las recomendaciones se repiten año a año y forman parte de cualquier manual de seguridad informática. Aunque nos cueste, debemos hacer un esfuerzo en su creación, gestión y mantenimiento cumpliendo al menos unas normas básicas que indican lo que hay que hacer o mejor lo que no hay que hacer para crear contraseñas más seguras. Las volvemos a recordar:

• No usar palabras típicas o números comunes.
• No usar nombres personales, de mascotas o fechas de nacimiento.
• Combinar mayúsculas y minúsculas.
• Combinar números con letras.
• Añadir caracteres especiales.
• Alargar el término con el mayor número de dígitos.
• No utilizar la misma contraseña en todos los sitios.
• Especialmente, usar contraseñas específicas y lo más fuertes posibles para banca y sitios de compra on-line donde exponemos nuestra información financiera.
• Mantener la contraseña a salvo de cualquier tercero.
• No revelar nunca la contraseña a nadie. Tampoco en supuestas peticiones oficiales desde correos electrónicos o mensajes de servicios de mensajería ya que suelen ser ataques de phishing que suplantan su identidad.
• Variar el nombre de usuario y el correo electrónico.
• Reforzar el uso de las contraseñas siempre que estén disponibles funciones como la doble autenticación (2FA) o sistemas biométricos, sensores de huellas o reconocimiento facial.
• Limpiar cuentas en línea que no usemos como tarea regular de mantenimiento.
• Comprueba si tus contraseñas están hackeadas. Have I Been Pwned es un buen lugar donde mirar.

Adicionalmente, y como refuerzo de las contraseñas, usa siempre que puedas 2FA, un método de control de accesos que conocerás como «autenticación de dos factores», «doble identificación» o «verificación en dos pasos», que se ha convertido en uno de los mecanismos de seguridad más importantes de la industria tecnológica a la hora de autentificar usuarios y proteger identidades.

Gestores de contraseñas gratis, abiertos y seguros

Es casi imposible para un humano internauta manejar con seguridad las credenciales para acceder a las centenares de cuentas que seguramente estemos suscritos. Hay un grupo de aplicaciones que son de gran ayuda. Básicamente, este tipo de software reduce los errores humanos en el manejo de las contraseñas, ya que automatiza el proceso de generación y de acceso a los sitios web y servicios.

Por supuesto, las contraseñas creadas por estos gestores son altamente seguras cumpliendo las normas estándar en tamaño y complejidad. También ayudan contra los ataques de phishing al identificar de forma inmediata los caracteres procedentes de otros alfabetos y añaden una enorme ventaja: solo necesitamos recordar una contraseña maestra y el gestor hará el resto.

Seguro que te suenan aplicaciones como la renombrada LastPass y otras comerciales  y/o de pago, pero desde nuestra sección de prácticos te propusimos en su día estas cinco soluciones de código abierto y totalmente gratuitas que gustó mucho a nuestros usuarios. La gran ventaja de los administradores de código abierto es la posibilidad de auditar el software y mantener las credenciales bajo tu control, instalando y auto hospedándolas en nuestra propia máquina. Te recordamos los más interesantes:

KeePass. Es el ‘abuelo’ entre los gestores de contraseñas de código abierto y existe desde los días de Windows XP. KeePass almacena las contraseñas en una base de datos cifrada a la que puedes acceder mediante una contraseña o clave digital. Puede importar y exportar contraseñas en una amplia variedad de formatos.

• Bitwarden. Especialmente destinada a usuarios de LastPass que buscan una alternativa más transparente, funciona como un servicio web al que puedes acceder desde cualquier navegador de escritorio, mientras que para Android e iOS cuenta con sus respectivas apps móviles. Bitwarden puede compartir contraseñas y tiene acceso seguro con autenticación multifactor y registros de auditoría.
• Passbolt. Un administrador de contraseñas autohospedado diseñado específicamente para equipos de trabajo. Se integra con herramientas de colaboración en línea como navegadores, correo electrónico o clientes de chat. Puedes autohospedar el programa en tus propios servidores para mantener un control completo de los datos, aunque equipos sin experiencia o infraestructura pueden usar una versión en nube que los aloja en los servidores de la compañía.
• Psono. Psono es otra opción para los equipos que buscan software de gestión de contraseñas empresariales de código abierto. Esta es una solución autohospedada que ofrece un atractivo cliente basado en web escrito en Python, con código fuente disponible bajo la licencia Apache 2.0.
• Teampass. Un administrador orientado a equipos con un modo base fuera de línea que nos gusta, donde exporta sus elementos a un archivo cifrado que puede usarse en ubicaciones sin conexión a Internet. Teampass no es la aplicación más bonita del mundo, pero el diseño es tremendamente y se puede definir rápidamente roles, privilegios de usuario y acceso a carpetas.

Y si quieres usar este tipo de software para móviles debes saber que también existen desarrollos especializados como estos 6 gestores de contraseñas para Android que te ofrecimos.

Gestores en los navegadores

Si no quieres usar gestores de terceros, otra opción es usar los administradores de contraseñas de los propios navegadores. Chrome, el líder del segmento, ha mejorado su funcionamiento y capacidad considerablemente en las últimas versiones incluyendo funciones que ofrecen los especializados de arriba, como la detección de contraseñas vulneradas, el aviso cuando crees alguna débil, una edición de la misma muy sencilla sin salir del gestor o incluso la creación de accesos directos para ejecutarlo en un solo clic.

El gestor las almacena de manera segura, permite su gestión en chrome://settings/passwords y las usa para completar los campos de usuario y contraseña la próxima vez que visites un sitio web. Muy similar a lo que ha ido haciendo Mozilla para Firefox con su ‘Password Manager’ que es uno de las mejores en navegadores web. El Edge de Microsoft basado en Chromium también cuenta con su propio gestor, que ofrece lo más básico de un gestor dedicado.

Un nuevo recordatorio este Día Mundial de las Contraseñas 2023 para concienciar de la necesidad de invertir unos minutos de nuestro tiempo en atender un elemento crucial para la seguridad en Internet y la del hogar digital. Y no hay excusas. Tenemos la información y los medios. No se lo pongamos tan fácil a los enemigos de lo ajeno.