Hasta hace poco, entender cómo proteger tus datos en línea era más fácil. Una palabra mal escrita, un artículo fuera de lugar, una traducción automática que se equivocaba con los pronombres, esas eran las señales de alerta. Durante años, un correo electrónico de phishing se reconocía por su vocabulario descuidado, su sintaxis deficiente y su saludo con mayúsculas fuera de contexto. Era la firma involuntaria del estafador y servía como una señal de alerta. Esos tiempos han quedado atrás.
En 2025, solamente en Italia, la Policía Postal italiana gestionó 51,560 casos de ciberdelincuencia, incluyendo más de 27,000 fraudes financieros, con pérdidas que superaron los 269 millones de euros. En ese país, el informe de Clusit de marzo de 2026 registró 507 incidentes graves, un aumento del 42% respecto al año anterior, con un incremento del 75% en los casos de phishing e ingeniería social. La Agencia Nacional de Ciberseguridad italiana (ACN), en su Resumen Operativo del segundo semestre de 2025, registró 1,253 ciberataques en seis meses, y el número de URL maliciosas detectadas casi se duplicó en un año.
Traducido: los datos personales nunca habían sido tan atractivos, y los atacantes nunca habían sido tan buenos a la hora de robarlos. En resumen, protegerse ya no puede considerarse un pasatiempo para expertos en informática. Es una rutina necesaria.
El petróleo digital está en el cúmulo de datos
El nombre, la dirección, los hábitos de compra, la ubicación GPS y los «me gusta» en redes sociales, combinados, valen mucho más que la suma de sus partes. Para las empresas, representan una segmentación publicitaria precisa; para los delincuentes, son la materia prima para una estafa a la medida. Con la inteligencia artificial generativa, un pequeño conjunto de datos basta para crear correos electrónicos que parecen escritos por el jefe, un video del médico de cabecera o una llamada del banco que pronuncia el IBAN correcto antes incluso de que el usuario abra la boca.
Según el análisis global de Vectra, se prevé que el fraude impulsado por IA crezca un 1,210 % en 2025. Los correos electrónicos de phishing generados por modelos de lenguaje tienen una tasa de clics cuatro veces mayor que los escritos por humanos. El tema de “cuidado con los errores gramaticales” debería quedar obsoleto.
Las contraseñas ya no deberían ser un problema
Solo hay una regla: una contraseña diferente para cada servicio, larga y generada aleatoriamente. Almacenar cincuenta de ellas es imposible, por lo que se necesita un gestor de contraseñas. Un servicio capaz de recordar cada contraseña, generarlas y, sobre todo, tenerlas disponibles cuando se necesiten, independientemente de si se trata de una PC, un smartphone o una tablet.
No solo tienen muchas cualidades servicios como LastPass, 1Password, Bitwarden y NordPass; también hay funciones integradas en sistemas operativos y navegadores.
El método de adoptar contraseñas basadas en «mayúsculas + número + símbolo» va a ser jubilado. Una frase de contraseña de cuatro palabras aleatorias (caballo-cobre-ventana-julio) es estadísticamente más segura que «P@ssw0rd!2026» y se memoriza mejor. La agencia de ciberseguridad de la Unión Europea también lo dice desde hace años. Lo ideal, sin embargo, es disponer de largos códigos alfanuméricos creados por gestores de contraseñas.
Passkeys: la revolución silenciosa
En 2026, la gran novedad ya no es «hacer contraseñas más seguras». Es eliminarlas. Las Passkeys son credenciales criptográficas vinculadas al dispositivo (desbloqueo biométrico o Pin) que retiran nombres de usuario y contraseñas. Google, Apple, Microsoft, Amazon, eBay, PayPal y decenas de otros servicios ya las admiten.
No se pueden robar mediante phishing, porque no hay nada que teclear ni nada que interceptar. Son como la tarjeta llave de un hotel: solo funcionan delante de la puerta correcta, y leerlas a distancia no le sirve a nadie. Cuando un servicio la ofrece, aceptarla significa dar el salto generacional que dejará obsoletas la mitad de las estafas antes descritas. Y es silencioso. Como todas las verdaderas revoluciones.
El segundo escudo: la autenticación multifactor (MFA)
Para quienes siguen siendo aficionados a las contraseñas o no tienen elección, la autenticación multifactor sigue siendo el dique decisivo. Bloquea alrededor del 99% de los ataques automatizados de credenciales: es la mejor relación costo/beneficio de toda la ciberseguridad doméstica. Dos reglas, por orden de importancia. La primera: hay que utilizar aplicaciones de autenticación (Google Authenticator y Microsoft Authenticator son las más conocidas), no mensajes de texto. Los mensajes de texto son vulnerables al swapping, una técnica por la que los delincuentes transfieren su número de teléfono a una SIM y reciben códigos en lugar del titular. El segundo: para cuentas críticas (correo principal, banco, nube personal) el siguiente paso son las llaves de hardware (YubiKey, Google Titan), objetos físicos que hay que insertar o acercar al dispositivo, sin los cuales nadie consigue entrar. Cuestan entre 30 y 70 dólares. Valen cada céntimo.
VPN: útil, pero no milagrosa
Una VPN sirve sobre todo para cifrar el tráfico, especialmente en las redes públicas (el hotspot del café, el Wi-Fi del aeropuerto), en las privadas quizás para superar la geolocalización y ocultar la dirección IP. No hace que uno sea totalmente anónimo, no protege contra el phishing, no protege contra los virus. Es un pasamontañas, no una capa de invisibilidad. Las opciones son numerosas: desde NordVpn a ExpressVpn, pasando por Surfshark, Proton VPN y muchas otras. La única certeza es que hay que evitar las gratuitas en las tiendas de aplicaciones. A menudo, los propios usuarios son el producto.
Navegadores, rastreadores y el arte de desaparecer un poco
Navegar, por ejemplo, en Chrome sin extensiones significa ceder prácticamente todo a Google y a una red de socios. Hay tres movimientos que recuperan grandes trozos de privacidad sin cambiar de hábitos. En primer lugar, cambiar de navegador, y luego como alternativa quizás a Firefox con las protecciones avanzadas activadas, o Brave: bloquean la mayoría de los rastreadores por defecto. O instala uBlock Origin: es gratuito, de código abierto, y hace su trabajo mejor que cualquier solución de pago. Por último, lo ideal sería rechazar los consentimientos de cookies no esenciales. Esto es aburrido. Es un derecho previsto por la GDPR en Europa. Una vez al mes, hay que echar un vistazo a los permisos de las aplicaciones en el teléfono. Y recuerda que la geolocalización permanente, el acceso al micrófono y la lista completa de contactos deben concederse con cuidado. Casi ninguna aplicación necesita saber dónde está su usuario en ese momento. Excepto, quizá, los mapas.
Actualizaciones de software, siempre
El 90% de las vulnerabilidades explotadas por los delincuentes ya tienen un parche disponible. Los atacantes solo cuentan con el hecho de que no se ha instalado. Actualizaciones automáticas activas en el sistema operativo, el navegador, las aplicaciones bancarias y el router (sí, incluso las actualizaciones del router). Un antivirus serio es suficiente: Windows Defender, integrado en Windows 11, es ahora comparable a las soluciones comerciales. Para una segunda opinión, Malwarebytes en su versión gratuita hace decentes escaneos bajo demanda.
Smartphone y hogar inteligente: el frente que todos olvidan
El smartphone es el dispositivo más sensible que existe. Contiene correos electrónicos, cuentas bancarias, fotos, identidad digital, aplicaciones de historiales médicos. Lo mínimo: bloqueo con biometría y un pin de al menos seis dígitos («123456» no cuenta, como tampoco «000000»); instalación solo desde tiendas oficiales; revocación de permisos para apps que realmente no los usan.
Las apps «modificadas» descargadas de enlaces externos son uno de los principales vectores de malware en 2026; sería mejor evitarlas a menos que se tenga un buen nivel de competencia. En el hogar, cada dispositivo inteligente es de hecho una computadora conectada a internet. La cámara, el termostato, el asistente de voz, incluso ciertos regrigeradores. Conviene cambiar las contraseñas por defecto y mantener los dispositivos en una red Wi-Fi independiente, si el router lo permite. Todo lo que no se use debe desactivarse. La norma Matter normaliza por fin el caos, pero por ahora la regla para proteger los datos en línea sigue siendo antigua: cuantas menos cosas conectadas, mejor.
Para quien quiera un plan de acción concreto, lo menos que puede hacer es:
- Instalar un gestor de contraseñas y cambiar al menos las claves de correo, banco y redes sociales.
- Activar la autenticación multifactor con una app de autenticación en esas cuentas.
- Cuando un servicio las ofrezca, acepta las passkeys.
- Instala uBlock Origin en tu navegador más utilizado.
- Asegúrate de que las actualizaciones automáticas estén activadas en tu teléfono, computadora y router.
- Revoca los permisos innecesarios de las aplicaciones de tu teléfono.
Artículo originalmente publicado en WIRED Italia. Adaptado por Mauricio Serfatty Godoy.
