Existe una verdad incómoda en ciberseguridad que llevamos años repitiendo en cada charla, cada informe y cada auditoría: la contraseña es el eslabón más débil de cualquier sistema. Se reutiliza, se apunta en un post-it, se filtra en cualquier brecha de cualquier servicio que nada tiene que ver con el tuyo, y a partir de ahí entra en circulación por foros donde se compra y se vende por céntimos.
Por eso, en Zerolynx hemos hecho lo más coherente que podíamos hacer con nuestro propio portal de distribuidores: hemos eliminado las contraseñas. No las hemos hecho más robustas, no hemos forzado renovaciones cada 90 días, no hemos pedido mayúsculas, números y un emoji. Las hemos quitado. Y dormimos mucho mejor.
El problema real con las contraseñas
El panorama no es alentador. La gran mayoría de los incidentes que investigamos en clientes empiezan en el mismo sitio: una credencial filtrada, reutilizada o caída en un phishing. Y aunque tú, como distribuidor, hagas todo bien, sigues expuesto a tres riesgos que no controlas:
- Credenciales filtradas en terceros. Si tu correo y contraseña aparecen en un volcado de otro servicio cualquiera, los atacantes los prueban automáticamente en miles de portales. Es lo que se conoce como credential stuffing.
- Phishing dirigido. Una página clonada, un correo bien redactado y un momento de prisa. La contraseña vuela.
- Malware tipo infostealer. Familias como RedLine, Vidar o Lumma se especializan precisamente en eso: vaciar el almacén de contraseñas del navegador y venderlas en mercados clandestinos.
Frente a esto, la mejor defensa no es una contraseña más larga. Es no tener contraseña.
Qué hemos puesto en su lugar: autenticación sin contraseña
El término técnico es passwordless authentication, y dentro de esa familia hay varias variantes. Nosotros usamos la más sencilla y la más extendida actualmente en comercio B2B: códigos de un solo uso enviados a tu correo (lo que técnicamente se llama OTP, One-Time Password).El flujo, para que lo tengas claro, es este:
- Entras en nuestro portal de distribuidores e introduces tu email.
- Recibes un código numérico de 6 dígitos en tu correo.
- Lo introduces en la web.
- Estás dentro. Sin contraseña que recordar, sin contraseña que perder, sin contraseña que filtrar.
El código caduca a los pocos minutos y solo sirve para esa sesión. Si alguien lo interceptara después, ya no le valdría para nada.
¿Y esto es realmente más seguro?
Sí, y por motivos concretos:
- No hay un secreto permanente que robar. No existe una contraseña almacenada en tu cabeza, en tu navegador ni en nuestra base de datos. Lo que no existe, no se filtra.
- Cada sesión exige acceso real a tu correo. El control de seguridad se traslada al canal que ya proteges con más mimo: tu cuenta de email corporativo, presumiblemente con su propio segundo factor.
- Se elimina la reutilización. Ya no importa si reciclas la misma contraseña en cinco sitios distintos: aquí no la usas en ninguno.
- El phishing es mucho menos rentable. Un código de 6 dígitos que caduca en minutos es un trofeo de muy corta vida útil para un atacante.
Lo que esto te pide a cambio
Una decisión de seguridad nunca es gratis, y aquí el cambio es importante: tu cuenta de correo se convierte en el centro de gravedad del acceso. Por eso te recomendamos, si aún no lo tienes:
- Activar doble factor de autenticación (2FA) en tu correo profesional. Idealmente con una app de autenticación o una llave física, no por SMS.
- Mantener actualizados tus sistemas y revisar periódicamente las sesiones activas en tu buzón.
- Comunicarnos cuanto antes cualquier baja o cambio de personas con acceso al portal, para revocar el alta correspondiente.
Hacia dónde va esto
El movimiento passwordless no es una rareza nuestra. Apple, Google, Microsoft, Amazon y prácticamente todos los grandes están empujando a la industria hacia la eliminación de la contraseña, ya sea mediante OTP, enlaces mágicos o, cada vez más, passkeys basadas en criptografía y biometría del dispositivo. La dirección es clara, y nosotros queremos estar alineados con ella, no por moda, sino porque lo dicen los datos: los modelos sin contraseña reducen drásticamente el éxito de los ataques más habituales.
Si eres distribuidor de Zerolynx y aún no has entrado al portal con el nuevo flujo, pruébalo. Tarda menos que recordar la contraseña que pusiste hace dos años. Y si te surge cualquier duda, escríbenos: estamos para esto.
En Zerolynx llevamos años protegiendo a empresas frente a los riesgos digitales. Empezar por nuestra propia casa nos pareció lo mínimo.