La historia cultural de las contraseñas - 3.000 años de autenticación desde contraseñas antiguas hasta biometría

Lectura de 12 min aprox.

Las contraseñas no son un invento moderno. La práctica de usar palabras secretas para verificar la identidad se remonta a más de 3,000 años, desde las contraseñas militares romanas hasta las puertas de castillos medievales, y desde la primera contraseña informática del mundo en el MIT en 1961 hasta las passkeys y la autenticación biométrica actuales. Comprender esta historia revela un patrón recurrente: cada método de autenticación termina siendo comprometido, impulsando la invención del siguiente. Este artículo traza la evolución cultural y tecnológica de la autenticación a lo largo de tres milenios y examina si finalmente nos acercamos a un futuro sin contraseñas.

Autenticación antigua - Contraseñas militares y consignas

La tessera romana y la guardia nocturna

El registro más antiguo de autenticación aparece en los escritos de Polibio, historiador griego del siglo II a.C. En el Libro 6 de sus "Historias," Polibio describió en detalle la operación de contraseñas (tessera) en las patrullas nocturnas romanas. Como también se analiza en nuestro artículo sobre el origen y la historia de las contraseñas, cada tarde, el tribuno inscribía una contraseña en una tablilla de madera (tessera) y la distribuía a través de centuriones. Durante las patrullas, los centinelas exigían la contraseña, y quien no respondiera correctamente era tratado como enemigo.

Este sistema tenía características importantes que resuenan con la gestión moderna de contraseñas. Primero, la contraseña se cambiaba cada noche - un prototipo de la rotación moderna. Segundo, se distribuía mediante un token físico (tablilla), combinando "algo que sabes" con "algo que tienes" - una forma primitiva de autenticación multifactor. Tercero, la cadena de distribución estaba estrictamente controlada, anticipando el problema moderno de distribución de claves.

Puertas de castillos medievales y sociedades secretas

De "Ábrete Sésamo" a la masonería

"Ábrete Sésamo" de "Las mil y una noches" es quizás la contraseña más famosa del mundo. Esta historia de Ali Babá usando una consigna para abrir la cueva de los ladrones se origina en manuscritos árabes del siglo VIII. Lo fascinante es que la historia ilustra la vulnerabilidad fundamental de las contraseñas. El hermano de Ali Babá, Casim, olvidó la consigna, quedó atrapado y perdió la vida. Una historia de hace más de 1,000 años ya demostraba el peligro de la autenticación basada solo en "algo que sabes."

En la Europa medieval, las contraseñas de las puertas de castillos eran centrales para la seguridad militar y política. Pasar por las puertas de noche requería dar la contraseña correcta al guardián. Pero las contraseñas solas a veces eran insuficientes, y los gremios y sociedades secretas desarrollaron autenticación más compleja. Los masones usaban autenticación en capas combinando palabras secretas con apretones de manos específicos, posturas corporales y patrones formulaicos de pregunta-respuesta. Esta era una versión medieval de autenticación multifactor.

Los albores de la computación - La primera contraseña informática del mundo

1961: MIT CTSS y Fernando Corbató

La primera contraseña informática del mundo se introdujo en 1961 en el Compatible Time-Sharing System (CTSS) del MIT. El desarrollador Fernando Corbató ideó las contraseñas como medio para proteger los archivos de cada usuario en un entorno donde múltiples usuarios compartían una computadora. Las computadoras de entonces eran máquinas enormes que costaban millones de dólares, compartidas entre investigadores por turnos. Las contraseñas asignaban bloques de 4 horas y prevenían el acceso a archivos ajenos.

Sin embargo, el primer sistema de contraseñas experimentó su primer incidente de seguridad apenas un año después. En 1962, un error de software en CTSS hizo que el contenido del archivo de contraseñas se mostrara como mensaje de bienvenida a todos los usuarios. Esta es la primera filtración de contraseñas registrada. Además, el investigador Allan Scherr envió una solicitud para imprimir el archivo de contraseñas, obtuvo las de otros usuarios y las usó para aumentar su tiempo de cómputo. La historia de las contraseñas fue, casi desde su nacimiento, también una historia de ser vulneradas.

Los métodos de almacenamiento también evolucionaron. Los sistemas tempranos almacenaban contraseñas en texto plano, pero en 1976, Robert Morris y Ken Thompson desarrollaron la función crypt() para UNIX, introduciendo el almacenamiento basado en hash. crypt() era una función unidireccional basada en cifrado DES que generaba una cadena de longitud fija, pero la contraseña original no podía recuperarse. Este concepto de "transformación irreversible" se convirtió en la base del almacenamiento moderno. El archivo /etc/passwd de UNIX fue el primer mecanismo estándar para almacenar contraseñas hasheadas.

La era de las filtraciones masivas de contraseñas

De RockYou a Collection #1

El incidente de RockYou en 2009 fue un punto de inflexión para la seguridad de contraseñas. La empresa de aplicaciones sociales RockYou fue hackeada y 32 millones de contraseñas se filtraron en texto plano - ni siquiera hasheadas. El análisis reveló que la contraseña más usada era "123456," exponiendo cuán vulnerables eran las elecciones de los usuarios. Las 10 contraseñas principales representaban el 4.7% del total.

En 2012, LinkedIn fue atacado y 117 millones de contraseñas se filtraron. LinkedIn había hasheado con SHA-1 pero sin salt (datos aleatorios adicionales), permitiendo que ataques de tabla arcoíris descifraran masivamente contraseñas. Este incidente demostró que el hasheo simple era insuficiente y que salt y procesamiento iterativo (bcrypt, Argon2) eran esenciales.

Collection #1, descubierta en 2019, fue la mayor base de datos de contraseñas filtradas de la historia. Este conjunto, encontrado por el investigador Troy Hunt, contenía 773 millones de direcciones de correo y 21 millones de contraseñas únicas. No fue un incidente único sino datos agregados de múltiples filtraciones. Este descubrimiento confrontó al mundo con la realidad de que las contraseñas filtradas circulan permanentemente en la dark web. Estos incidentes también se cubren en detalle en nuestro artículo sobre filtraciones de contraseñas famosas en la historia. Tras estos incidentes, se reconoció ampliamente que la reutilización es fatal y los gestores de contraseñas son esenciales.

El futuro de las passkeys y la autenticación biométrica

¿Se hará realidad un mundo sin contraseñas?

Las passkeys basadas en el estándar FIDO2/WebAuthn de la FIDO Alliance se están extendiendo rápidamente como alternativa a las contraseñas. Como se detalla en nuestro artículo sobre passkeys y autenticación sin contraseña, usan criptografía de clave pública: la clave privada se almacena en el dispositivo del usuario y solo la pública en el servidor. Esto significa que incluso si el servidor es comprometido, la clave privada no se filtra. En 2023, Apple, Google y Microsoft se comprometieron con el soporte completo, y a finales de 2024, más del 95% de los navegadores principales soportaban WebAuthn. Según el informe de FIDO Alliance de 2024, las empresas que adoptaron passkeys vieron una reducción del 99.9% en incidentes de phishing.

Sin embargo, quedan desafíos antes de que un mundo sin contraseñas sea realidad. La autenticación biométrica es conveniente, pero huellas e iris tienen un problema fundamental: una vez filtrados, no pueden cambiarse. Cuando la Oficina de Gestión de Personal de EE.UU. (OPM) fue hackeada en 2015, se robaron datos de huellas de 5.6 millones de personas. Las contraseñas pueden cambiarse, pero las huellas no. Además, las passkeys están vinculadas a dispositivos, haciendo la recuperación un desafío. En última instancia, la autenticación más robusta combina tres factores mediante autenticación multifactor: "algo que sabes," "algo que tienes" y "algo que eres." Lo que 3,000 años de historia nos enseñan es el peligro de depender de un solo método.

Actúa ahora

1. Configure passkeys ahora en servicios compatibles (Google, Apple, Microsoft, GitHub, etc.)
2. Para servicios sin soporte de passkeys, use contraseñas fuertes generadas por Passtsuku.com con un gestor de contraseñas
3. Active la autenticación multifactor en todas las cuentas importantes, construyendo una defensa de dos capas
4. Verifique si su correo electrónico ha sido incluido en filtraciones pasadas en Have I Been Pwned (haveibeenpwned.com)

Para quienes se interesen en la historia más profunda de la criptografía y la autenticación, libros sobre la historia de contraseñas y seguridad (Amazon) ofrecen perspectivas fascinantes sobre cómo la humanidad ha lidiado con el desafío de probar la identidad durante milenios.

Preguntas frecuentes

¿Cuándo y dónde se creó la primera contraseña informática del mundo?

Fue introducida en 1961 en el Compatible Time-Sharing System (CTSS) del MIT por Fernando Corbató. Fue ideada para proteger archivos de usuarios en un entorno compartido. Al año siguiente, 1962, ocurrió la primera filtración por un error de software.

¿Las passkeys harán las contraseñas completamente innecesarias?

El reemplazo completo es difícil actualmente. Muchos servicios aún no soportan passkeys, y se necesitan contraseñas o códigos de recuperación ante pérdida de dispositivos. Por ahora, lo práctico es usar passkeys donde se soporten y gestionar contraseñas fuertes con un gestor para servicios no compatibles.

¿Es segura la autenticación biométrica? ¿Qué pasa si se filtran las huellas?

Aunque la autenticación biométrica es muy conveniente, conlleva el riesgo fundamental de no poder cambiarse una vez filtrada. El hackeo de OPM de EE.UU. en 2015 resultó en el robo de 5.6 millones de registros de huellas. La biometría no debe usarse sola sino como un factor en autenticación multifactor combinada con contraseñas o autenticación de dispositivos.