Cada año, el World Password Day nos recuerda la importancia de proteger nuestras credenciales. Sin embargo, en 2026 la conversación ya no debería centrarse en crear contraseñas más complejas, sino en cuestionar si las contraseñas siguen siendo un mecanismo de seguridad viable.
La respuesta corta es no.
El modelo tradicional basado en contraseñas está agotado. Y para organizaciones financieras que operan en entornos digitales cada vez más complejos, seguir dependiendo de este esquema no solo es insuficiente, es un riesgo estructural.
El problema no es la contraseña, es el modelo
Durante décadas, la seguridad se construyó bajo una lógica perimetral, usuarios confiables dentro, amenazas fuera. Las contraseñas eran la llave de acceso.
Hoy ese paradigma está roto.
Según el reporte Data Breach Investigations Report 2024 de Verizon, más del 80 por ciento de las brechas de seguridad involucran credenciales comprometidas o robadas.
Fuente: https://www.verizon.com/business/resources/reports/dbir/
Por otro lado, el Cost of a Data Breach Report 2024 de IBM señala que el phishing y el robo de credenciales siguen siendo uno de los vectores de ataque más costosos para las organizaciones, con impactos que superan los 4.5 millones de dólares en promedio.
Fuente: https://www.ibm.com/reports/data-breach
El problema no es que las contraseñas sean débiles, es que el modelo asume que una vez autenticado el usuario, puede confiarse en él.
En un entorno donde el trabajo remoto, las APIs abiertas, los ecosistemas fintech y los ataques automatizados son la norma, esa suposición ya no se sostiene.
La identidad se convirtió en el nuevo perímetro
Hoy, la identidad es el punto de control más crítico en la arquitectura de seguridad.
No se trata solo de verificar quién accede, sino de validar continuamente si ese acceso sigue siendo legítimo.
Aquí es donde entra el concepto de autenticación moderna, que combina múltiples capas
identidad del usuario
contexto del acceso, como ubicación, dispositivo o comportamiento
verificación continua en tiempo real
De acuerdo con Microsoft, más del 99.9 por ciento de los ataques automatizados pueden mitigarse con autenticación multifactor robusta y modelos basados en identidad.
Fuente: https://www.microsoft.com/security/blog/
Pero incluso el MFA tradicional ya empieza a mostrar limitaciones frente a técnicas como el phishing en tiempo real o el MFA fatigue.
Zero Trust, más que una tendencia, una necesidad operativa
El enfoque Zero Trust parte de una premisa simple pero contundente, nunca confiar, siempre verificar.
Esto implica que ningún usuario, dispositivo o sistema es confiable por defecto, incluso si está dentro de la red.
Según el Zero Trust Adoption Report de Okta, más del 60 por ciento de las organizaciones ya están en proceso de implementar estrategias Zero Trust, impulsadas principalmente por la necesidad de proteger entornos híbridos y multicloud.
Fuente: https://www.okta.com/resources/
Para instituciones financieras, esto tiene implicaciones directas
redefinir el control de acceso basado en riesgo
integrar autenticación sin contraseñas, como biometría o passkeys
habilitar monitoreo continuo del comportamiento del usuario
alinear seguridad con experiencia digital, sin fricción innecesaria
Passwordless, el siguiente paso lógico
La eliminación de contraseñas no es futurista, es una evolución natural.
Tecnologías como passkeys, autenticación biométrica y estándares como FIDO2 están redefiniendo la forma en que se gestiona la identidad digital.
El FIDO Alliance Report de FIDO Alliance indica que la adopción de autenticación sin contraseñas reduce significativamente los riesgos de phishing y mejora la experiencia del usuario.
Fuente: https://fidoalliance.org/resources/
Para un CTO en banca o fintech, esto no es solo una mejora en seguridad, es una oportunidad de negocio
menos fricción en onboarding
mayor confianza del usuario
reducción de fraude
cumplimiento regulatorio más sólido
El reto real, integrar seguridad sin frenar la operación
El mayor desafío no es tecnológico, es estratégico.
¿Cómo implementar Zero Trust sin afectar la experiencia del cliente o la eficiencia operativa?
La respuesta está en diseñar arquitecturas de identidad que sean
adaptativas, capaces de responder al contexto
invisibles para el usuario cuando el riesgo es bajo
rigurosas cuando el riesgo aumenta
Esto requiere una visión integral que conecte seguridad, experiencia y negocio.
Más allá del awareness, es momento de ejecutar
World Password Day debería marcar un cambio de conversación.
No se trata de promover mejores contraseñas, se trata de dejar de depender de ellas.
Para las organizaciones financieras en América Latina, donde la digitalización avanza rápido pero los riesgos también, adoptar modelos Zero Trust ya no es opcional.
Es una condición para escalar con seguridad.
CTA, cómo empezar con Conecta
En Conecta trabajamos con instituciones financieras para diseñar e implementar estrategias de identidad y seguridad alineadas a entornos digitales complejos.
Desde diagnósticos de madurez en Zero Trust hasta implementación de autenticación avanzada y modelos passwordless, ayudamos a transformar la seguridad en un habilitador del negocio, no en un freno.
Si estás evaluando cómo evolucionar tu arquitectura de seguridad o quieres entender el impacto real de eliminar contraseñas en tu operación, conversemos.