La contraseña más segura es la que no existe: así funciona el portal de distribuidores de Zerolynx

La contraseña más segura es la que no existe: así funciona el portal de distribuidores de Zerolynx

Juan Antonio Calles

Existe una verdad incómoda en ciberseguridad que llevamos años repitiendo en cada charla, cada informe y cada auditoría: la contraseña es el eslabón más débil de cualquier sistema. Se reutiliza, se apunta en un post-it, se filtra en cualquier brecha de cualquier servicio que nada tiene que ver con el tuyo, y a partir de ahí entra en circulación por foros donde se compra y se vende por céntimos.

Por eso, en Zerolynx hemos hecho lo más coherente que podíamos hacer con nuestro propio portal de distribuidores: hemos eliminado las contraseñas. No las hemos hecho más robustas, no hemos forzado renovaciones cada 90 días, no hemos pedido mayúsculas, números y un emoji. Las hemos quitado. Y dormimos mucho mejor.

El problema real con las contraseñas

El panorama no es alentador. La gran mayoría de los incidentes que investigamos en clientes empiezan en el mismo sitio: una credencial filtrada, reutilizada o caída en un phishing. Y aunque tú, como distribuidor, hagas todo bien, sigues expuesto a tres riesgos que no controlas:

  • Credenciales filtradas en terceros. Si tu correo y contraseña aparecen en un volcado de otro servicio cualquiera, los atacantes los prueban automáticamente en miles de portales. Es lo que se conoce como credential stuffing.
  • Phishing dirigido. Una página clonada, un correo bien redactado y un momento de prisa. La contraseña vuela.
  • Malware tipo infostealer. Familias como RedLine, Vidar o Lumma se especializan precisamente en eso: vaciar el almacén de contraseñas del navegador y venderlas en mercados clandestinos.

Frente a esto, la mejor defensa no es una contraseña más larga. Es no tener contraseña.

Qué hemos puesto en su lugar: autenticación sin contraseña

El término técnico es passwordless authentication, y dentro de esa familia hay varias variantes. Nosotros usamos la más sencilla y la más extendida actualmente en comercio B2B: códigos de un solo uso enviados a tu correo (lo que técnicamente se llama OTP, One-Time Password).El flujo, para que lo tengas claro, es este:

  1. Entras en nuestro portal de distribuidores e introduces tu email.
  2. Recibes un código numérico de 6 dígitos en tu correo.
  3. Lo introduces en la web.
  4. Estás dentro. Sin contraseña que recordar, sin contraseña que perder, sin contraseña que filtrar.

El código caduca a los pocos minutos y solo sirve para esa sesión. Si alguien lo interceptara después, ya no le valdría para nada.

¿Y esto es realmente más seguro?

Sí, y por motivos concretos:

  • No hay un secreto permanente que robar. No existe una contraseña almacenada en tu cabeza, en tu navegador ni en nuestra base de datos. Lo que no existe, no se filtra.
  • Cada sesión exige acceso real a tu correo. El control de seguridad se traslada al canal que ya proteges con más mimo: tu cuenta de email corporativo, presumiblemente con su propio segundo factor.
  • Se elimina la reutilización. Ya no importa si reciclas la misma contraseña en cinco sitios distintos: aquí no la usas en ninguno.
  • El phishing es mucho menos rentable. Un código de 6 dígitos que caduca en minutos es un trofeo de muy corta vida útil para un atacante.

Lo que esto te pide a cambio

Una decisión de seguridad nunca es gratis, y aquí el cambio es importante: tu cuenta de correo se convierte en el centro de gravedad del acceso. Por eso te recomendamos, si aún no lo tienes:

  • Activar doble factor de autenticación (2FA) en tu correo profesional. Idealmente con una app de autenticación o una llave física, no por SMS.
  • Mantener actualizados tus sistemas y revisar periódicamente las sesiones activas en tu buzón.
  • Comunicarnos cuanto antes cualquier baja o cambio de personas con acceso al portal, para revocar el alta correspondiente.

Hacia dónde va esto

El movimiento passwordless no es una rareza nuestra. Apple, Google, Microsoft, Amazon y prácticamente todos los grandes están empujando a la industria hacia la eliminación de la contraseña, ya sea mediante OTP, enlaces mágicos o, cada vez más, passkeys basadas en criptografía y biometría del dispositivo. La dirección es clara, y nosotros queremos estar alineados con ella, no por moda, sino porque lo dicen los datos: los modelos sin contraseña reducen drásticamente el éxito de los ataques más habituales.

Si eres distribuidor de Zerolynx y aún no has entrado al portal con el nuevo flujo, pruébalo. Tarda menos que recordar la contraseña que pusiste hace dos años. Y si te surge cualquier duda, escríbenos: estamos para esto.

En Zerolynx llevamos años protegiendo a empresas frente a los riesgos digitales. Empezar por nuestra propia casa nos pareció lo mínimo.

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.

Últimos artículos

Ver todo
1 3
Ver todo