Spotify ha anunciado que eliminará la opción de inicio de sesión mediante nombre de usuario a partir del 1 de septiembre de 2026. Esta medida busca simplificar el acceso para los usuarios, promoviendo alternativas como el uso del correo electrónico. La compañía se une así a la tendencia de buscar métodos de autenticación más cómodos y seguros, alejándose del tradicional binomio usuario-contraseña.
Ah, las contraseñas. Invivibles, pero insustituibles, que diría Sabina. Para Spotify desde luego lo son, porque se las quiere quitar de encima. En un mensaje que está enviando a sus usuarios, les avisa de que los inicios de sesión basados en el nombre de usuario dejarán de funcionar el próximo 1 de septiembre de 2026.
Basta ya de tanto usuario-contraseña. El mensaje de la compañía es llamativo y rompe con una tradición que es la norma en prácticamente en toda la industria: si uno quiere acceder a un servicio en internet, normalmente inicia sesión (log in) con el tradicional par usuario-contraseña.
Alternativas existentes. En la actualidad, Spotify ofrece varias formas de iniciar sesión. Se puede hacer con un nombre de usuario y la correspondiente contraseña, con una dirección de correo electrónico y la contraseña, o mediante cuentas asociadas de Google o Apple.
A partir de ahora, usa email. El aviso de la empresa solo se refiere a la opción de nombre de usuario como la que será eliminada, y no parece que se vayan a retirar otras formas de inicio de sesión. En el mensaje sí que indican que "En lugar de eso, podrás iniciar sesión con tu email" ¿Y sabéis qué?
Es una idea genial.
Viva la autenticación sin contraseñas. En los últimos años ha ido ganando fuerza un sistema de autenticación que deja de usar contraseñas para centrarse en otros métodos:
Enlaces mágicos (magic links): el usuario introduce su dirección de correo electrónico, y el sistema envía una dirección URL única a ese email. En cuanto el usuario hace clic en la dirección, se abre una pestaña en el navegador que muestra cómo el usuario se ha autenticado gracias a ese enlace.
Contraseñas de un solo uso: en lugar de tener una contraseña permanente, el usuario introduce su dirección de email y en poco segundos recibe un código (normalmente numérico, por ejemplo de seis dígitos) que debe introducir en la aplicación o el servicio web. Una vez introducido, se completa la autenticación.
Muchas ventajas... Este tipo de autenticación con correo electrónico elimina la necesidad de memorizar contraseñas o de gestionarlas con alguna aplicación especializada. Eso también permite evitar que nuestros datos formen parte de esos tradicionales e inquietantes robos masivos de contraseñas, y es una alternativa muy sencilla para el usuario. Nada de ataques por fuerza bruta, de contraseñas débiles o reutilizar la misma contraseña para todo. Y por supuesto, nada de tener que cambiarlas cada cierto tiempo.
... y alguna desventaja. Lo malo es que la seguridad del método depende exclusivamente de la dirección de correo electrónico. Si alguien hackea el correo electrónico del usuario, tendrá acceso a todas las cuentas vinculadas a esa dirección de correo. Este método es también vulnerable a ataques de phishing avanzados: una web falsa que imite el diseño de una legítima puede pedir al usuario que introduzca el email, solicite el código real al servidor legítimo y luego se lo pida al usuario para entrar en su lugar (ataques Man-in-the-Middle).
