Las preguntas de seguridad son débiles: alternativas más seguras explicadas

Lectura de 8 min aprox.

"¿Cuál es el apellido de soltera de tu madre?" "¿Cuál fue el nombre de tu primera mascota?" Las preguntas de seguridad utilizadas por muchos servicios en línea están ampliamente adoptadas como medio de verificación de identidad cuando olvidas tu contraseña. Sin embargo, este mecanismo oculta graves problemas de seguridad. En un artículo de 2015 titulado "Secrets, Lies, and Account Recovery," el equipo de investigación de Google informó que un atacante puede adivinar la respuesta a "comida favorita" correctamente en el primer intento con una probabilidad del 19.7%. Además, un estudio de seguimiento de la Universidad Carnegie Mellon mostró que la expansión de las redes sociales ha mejorado aún más la precisión de las adivinanzas, con la tasa de acierto para "lugar de nacimiento" aproximadamente duplicándose en comparación con diez años antes. A partir de 2025, los avances en el análisis automatizado de publicaciones en redes sociales mediante IA han llevado a informes de herramientas de adivinación de preguntas de seguridad de alta precisión circulando entre los atacantes. Este artículo explica los riesgos específicos de las preguntas de seguridad y presenta alternativas más seguras utilizando passtsuku.com.

Por qué las preguntas de seguridad son peligrosas

Respuestas adivinables desde las redes sociales

La mayor debilidad de las preguntas de seguridad es que las respuestas pueden adivinarse a partir de información pública. Hoy en día, muchas personas comparten su vida diaria en las redes sociales, lo que permite a los atacantes recopilar fácilmente las respuestas a las preguntas de seguridad. Esta es una forma de ingeniería social - explotar datos personales compartidos públicamente para eludir la autenticación.

Por ejemplo, para la pregunta "¿De dónde eres?", muchas personas indican su lugar de origen en su perfil. "¿Cuál es tu comida favorita?" también puede adivinarse a partir de publicaciones cotidianas. Incluso "¿Cuál es el apellido de soltera de tu madre?" puede identificarse a partir de cuentas de familiares o publicaciones de anuncios de boda.

El estudio de Google mencionado anteriormente informó que para usuarios de habla inglesa, un atacante puede adivinar la respuesta correcta en el primer intento con una probabilidad del 19.7% para "comida favorita" y del 6.9% para "ciudad de nacimiento." Si se permiten 10 intentos, la tasa de éxito para "comida favorita" sube al 43%. Esta es una seguridad críticamente baja para un equivalente de contraseña. En comparación, la probabilidad de adivinar una contraseña aleatoria de 12 caracteres generada por passtsuku.com en 10 intentos es prácticamente cero (menos de 1 entre 10 elevado a la 20), lo que hace evidente la brecha de seguridad con las preguntas de seguridad.

Filtración de respuestas por violaciones de datos

Las respuestas a las preguntas de seguridad se almacenan en la base de datos del servicio. Cuando ocurre una violación de datos, no solo las contraseñas sino también las respuestas a las preguntas de seguridad pueden filtrarse. Aunque las contraseñas generalmente se almacenan como hashes, algunos servicios almacenan las respuestas a las preguntas de seguridad en texto plano.

Lo que hace esto aún más grave es que las respuestas a las preguntas de seguridad son difíciles de cambiar. Las contraseñas pueden cambiarse inmediatamente después de una filtración, pero el "apellido de soltera de la madre" y el "lugar de nacimiento" son información basada en hechos, por lo que una vez filtrada, el riesgo persiste permanentemente. Si reutilizas las mismas preguntas en múltiples servicios, una filtración de un servicio se propaga a todos los demás. Esta propiedad de ser "credenciales inmutables" es un defecto estructural exclusivo de las preguntas de seguridad que las contraseñas no comparten.

Baja unicidad de las respuestas

Las respuestas a las preguntas de seguridad también tienen el problema estructural de ser altamente duplicadas entre usuarios. Para la pregunta "¿Cuál es tu color favorito?", respuestas como "azul," "rojo" y "verde" representan la gran mayoría. Los atacantes pueden vulnerar cuentas eficientemente priorizando las respuestas estadísticamente más comunes.

Sobre los ataques de adivinación a preguntas de seguridad, libros sobre prevención de robo de cuentas y ataques de adivinación (Amazon) también son referencias útiles.

Alternativas más seguras

Implementación de la autenticación de dos factores

La alternativa más efectiva a las preguntas de seguridad es implementar la autenticación de dos factores (2FA). Al usar aplicaciones de autenticación (como Google Authenticator o Microsoft Authenticator) o llaves de seguridad de hardware, puedes proteger tu cuenta incluso si tu contraseña se filtra. Para los servicios que permiten desactivar las preguntas de seguridad, migra activamente a la autenticación de dos factores.

Sin embargo, la autenticación de dos factores también tiene advertencias. La 2FA basada en SMS conlleva el riesgo de ser eludida mediante ataques de intercambio de SIM, así que si es posible, elige una aplicación de autenticación o una llave de hardware compatible con FIDO2. Las llaves FIDO2 también proporcionan resistencia al phishing, ofreciendo una robustez incomparable con las preguntas de seguridad. Consulta también el artículo sobre la importancia de la autenticación de dos factores. Sobre la adopción de llaves de seguridad de hardware, guías de llaves de seguridad de hardware FIDO2 (Amazon) también son referencias útiles.

Genera respuestas aleatorias con passtsuku.com

Para los servicios que requieren preguntas de seguridad, en lugar de respuestas basadas en hechos, registrar cadenas aleatorias generadas por passtsuku.com es un enfoque efectivo. Al establecer una cadena aleatoria como "xK9#mP2vLq" para "¿Cuál es el apellido de soltera de tu madre?", puedes prevenir tanto la adivinación desde redes sociales como la explotación a través de violaciones de datos.

Los pasos para generar respuestas para preguntas de seguridad usando passtsuku.com son los siguientes.

• Genera una contraseña de 12-16 caracteres en passtsuku.com
• Incluye letras mayúsculas, minúsculas y números (los símbolos pueden no ser aceptados por algunos servicios)
• Registra la cadena generada como respuesta a la pregunta de seguridad
• Guarda el par de pregunta y respuesta en tu gestor de contraseñas

La advertencia de este método es que olvidar la respuesta aleatoria dificulta la recuperación de la cuenta. Siempre registra "nombre del servicio + pregunta de seguridad + respuesta" como un conjunto en tu gestor de contraseñas. Con la función de generación masiva de passtsuku.com, puedes generar respuestas para múltiples preguntas a la vez.

Otro error común es pensar que "establecer una respuesta falsa lo hace seguro." Por ejemplo, establecer tu lugar de nacimiento como "París" en lugar de "Tokio" solo aumenta ligeramente la dificultad de adivinación sin resolver el problema del espacio finito de respuestas. Las cadenas aleatorias hacen que el espacio de candidatos sea virtualmente infinito, proporcionando una solución fundamental.

Comparación de seguridad de los métodos de autenticación

Al considerar alternativas a las preguntas de seguridad, es importante comparar y comprender la seguridad de cada método de autenticación.

• Preguntas de seguridad: Vulnerables a ataques de adivinación. Hasta un 19.7% de tasa de acierto en el primer intento. Depende de información inmutable
• Autenticación por SMS: Vulnerable a ataques de intercambio de SIM. Los incidentes aumentaron drásticamente en EE.UU. en 2023
• TOTP (aplicaciones de autenticación): Códigos de un solo uso que cambian cada 30 segundos. Vulnerable al phishing pero fuerte contra ataques de adivinación
• FIDO2 / Passkeys: Resistente al phishing. Actualmente el método de autenticación más seguro

Recomendamos migrar a FIDO2 o passkeys siempre que sea posible - nuestra guía sobre passkeys y autenticación sin contraseña cubre la transición en detalle. Para los servicios que no los admiten, aleatorizar las respuestas de las preguntas de seguridad con passtsuku.com es una medida de defensa práctica.

Cómo manejar correctamente las preguntas de seguridad

No siempre es posible evitar completamente las preguntas de seguridad. En tales casos, seguir estos principios puede minimizar el riesgo.

• Nunca uses respuestas basadas en hechos
• Nunca reutilices la misma respuesta en múltiples servicios
• Usa cadenas aleatorias generadas por passtsuku.com como respuestas
• Gestiona las respuestas como información confidencial equivalente a contraseñas
• Si es posible, cambia a la autenticación de dos factores y desactiva las preguntas de seguridad

Lo que puedes hacer ahora mismo

1. Si las preguntas de seguridad están configuradas en los servicios que usas, reemplaza las respuestas con cadenas aleatorias generadas por passtsuku.com
2. Para los servicios que permiten desactivar las preguntas de seguridad, cambia a la autenticación de dos factores (aplicación de autenticación o llave FIDO2)
3. Guarda los pares de pregunta y respuesta en tu gestor de contraseñas como un conjunto de "nombre del servicio + pregunta + respuesta"
4. Elimina de tus perfiles de redes sociales la información comúnmente utilizada para respuestas de preguntas de seguridad, como lugar de origen, nombre de la escuela y nombres de mascotas

Preguntas frecuentes

¿Por qué son peligrosas las preguntas de seguridad?

Respuestas como "apellido de soltera de la madre" o "escuela a la que asistió" pueden adivinarse desde redes sociales y registros públicos. Las respuestas honestas también se reutilizan entre servicios, por lo que una filtración puede comprometer múltiples cuentas.

¿Qué debo hacer cuando me piden configurar preguntas de seguridad?

Establece respuestas aleatorias y no relacionadas, y guárdalas en tu gestor de contraseñas. Por ejemplo, ingresa una cadena aleatoria como "Kx9mP2vL" para "apellido de soltera de la madre". No necesitas responder honestamente.

¿Cuáles son alternativas más seguras a las preguntas de seguridad?

Se recomiendan aplicaciones de autenticación TOTP (como Google Authenticator), llaves de seguridad FIDO2 y passkeys. La autenticación por SMS es más segura que las preguntas de seguridad pero vulnerable a ataques de intercambio de SIM, así que elige aplicaciones de autenticación o mejor cuando sea posible.