Las contraseñas más utilizadas e inseguras que nunca deberías usar

Portada » Windows » Las contraseñas más utilizadas e inseguras que nunca deberías usar

Las contraseñas se han convertido en un quebradero de cabeza constante: cada nueva app, red social o servicio online nos pide crear una clave distinta, pero la realidad es que la mayoría seguimos atascados en las mismas combinaciones de siempre. A pesar de años de avisos, filtraciones masivas y noticias sobre ciberataques, millones de personas continúan usando credenciales tan básicas como “123456” o “password”.

Ese comportamiento no es una simple manía: es una puerta abierta al cibercrimen. Estudios e informes de ciberseguridad de empresas como NordPass, ESET, Comparitech o incluso el Centro de Ciberseguridad Nacional de Reino Unido demuestran que las contraseñas más populares en el mundo se pueden descifrar en menos de un segundo con herramientas automatizadas. Y lo peor es que este problema no entiende de edad, país ni perfil profesional: afecta por igual a usuarios particulares y a grandes corporaciones.

Las contraseñas más utilizadas e inseguras a nivel mundial

Cuando se analizan bases de datos con millones de credenciales filtradas, el resultado se repite año tras año: las combinaciones numéricas secuenciales y las palabras más obvias dominan los rankings. Según NordPass, basándose en más de 2.000 millones de contraseñas expuestas, las claves “123456”, “12345678”, “123456789”, “admin” y “password” siguen arriba del todo, con millones de apariciones en todo el planeta.

En este tipo de informes se aprecia que una sola contraseña puede aparecer millones de veces. “123456”, por ejemplo, llega a usarse por más de siete millones y medio de usuarios a nivel global en algunos análisis recientes, mientras que variantes como “12345”, “1234” o “1234567890” también se cuelan entre las preferidas. Es decir, la mayoría de la gente sigue confiando en patrones que cualquiera probaría en primer lugar.

Otro ejemplo llamativo es el de la clave “Aa123456”: aparenta ser algo más compleja porque combina mayúscula, minúsculas y números, pero en realidad es una variación mínima y extremadamente predecible para las herramientas de ataque. Lo mismo ocurre con “admin”, usada tanto en entornos domésticos como en paneles de administración de servicios y dispositivos.

Si ampliamos la lista, encontramos también que cadenas repetitivas como “111111” o secuencias de teclado tipo “qwerty” aparecen de forma constante. En muchos rankings, “qwerty”, “qwerty123”, “secret” o “123123” se mantienen entre las 20 o 30 contraseñas más habituales del mundo, repitiéndose decenas o cientos de miles de veces.

La cultura popular también deja huella: términos vinculados a videojuegos, cine o franquicias famosas como “pokemon”, “starwars”, “superman” o “minecraft” se usan con enorme frecuencia. En algunos estudios, “Minecraft” aparece alrededor de 70.000 veces en minúsculas, con otras tantas en mayúsculas iniciales, mientras que “pokemon” o héroes de cómic clásicos se repiten miles de veces, siempre sin caracteres especiales ni mayúsculas estratégicas.

Listados oficiales y grandes filtraciones de datos

Buena parte de lo que sabemos sobre qué contraseñas son más utilizadas proviene de dos fuentes: filtraciones masivas de grandes empresas y listados compilados por organismos públicos de ciberseguridad. Cada vez que se hace público un ataque con millones de credenciales comprometidas, se analizan las claves para identificar patrones.

Un caso emblemático fue el ataque sufrido por Adobe Systems en 2013, donde se comprometieron datos de casi 150 millones de clientes. Los ciberdelincuentes, tras explotar una brecha en el sistema de cifrado de contraseñas, lograron extraer y analizar millones de claves, creando un ranking de las más habituales que luego se difundió por internet.

En aquella ocasión, la combinación más usada fue “123456”, con casi dos millones de apariciones, seguida de “123456789”, “password” y “adobe123”. Resultaba especialmente llamativo que “adobe123” o “photoshop” se usaran como credenciales en un servicio de la propia empresa Adobe, lo que deja claro hasta qué punto los usuarios tienden a elegir palabras asociadas al producto o la marca que están utilizando.

El top 10 de esa filtración incluía también “12345678”, “qwerty”, “1234567”, “111111” y “123123”. No son solo claves débiles; son además extremadamente populares a escala global, lo que convierte a cualquiera que las use en un objetivo facilísimo para ataques por fuerza bruta o por diccionario.

En paralelo, organismos públicos como el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) también han publicado sus propios listados negros. El NCSC difundió una relación de 100.000 contraseñas habituales que ya han sido vulneradas en ciberataques globales, entre las que destacan, otra vez, “123456”, “123456789”, “qwerty”, “password” y “111111”.

Según el NCSC, la clave “123456” llegó a aparecer más de 23 millones de veces en las bases de datos analizadas. Para dejar claro el riesgo, el organismo recomendó expresamente cambiar de inmediato cualquier contraseña que figure en esa lista, ya que forma parte de los primeros intentos que realizan los atacantes.

Ranking de contraseñas inseguras en España y Latinoamérica

Si miramos por países, España y varios países de Latinoamérica repiten los mismos vicios que se observan a escala mundial. En España, las combinaciones numéricas “123456”, “123456789” y “12345678” se mantienen entre las más utilizadas año tras año, tanto en servicios personales como profesionales.

Los estudios citados indican que, en el caso español, se cuelan también palabras muy locales entre las claves más frecuentes. “España” y “ESPAÑA” figuran en los listados de NordPass como contraseñas comunes, y aunque teóricamente son algo más robustas que una simple secuencia numérica, siguen siendo relativamente fáciles de descifrar: se estima que se podrían romper en un par de minutos con herramientas de cracking.

Además de referencias al país, aparecen nombres propios y ciudades muy utilizados: “barcelona”, “alejandro” o “cristina” son ejemplos recurrentes en la lista española. En el caso de “cristina”, los cálculos de NordPass apuntan a que un atacante podría tardar unas tres horas en romperla, lo cual sigue siendo poco cuando se automatiza el proceso.

Un listado muy difundido para España destaca un top de 20 claves especialmente peligrosas, entre las que figuran: “123456”, “123456789”, “12345678”, “España”, “qwerty”, “12312345”, “qwerty1”, “234567890”, “password”, “1234567”, “barcelona”, “000000”, “111111”, “ESPAÑA”, “qwerty”, “alejandro”, “123123”, “españa”, “cristina” y “Qwerty123”. Muchas de ellas pueden romperse en menos de un segundo.

En Latinoamérica, las similitudes son enormes. En México predominan también “123456”, “123456789” y variantes parecidas, acompañadas de contraseñas como “pokemon”, “contrase”, “alejandro”, “america”, “hola” o “carlos”. En Chile y Colombia, es habitual encontrar el propio nombre del país como contraseña: “Chile” o “Colombia” aparecen de forma destacada en varias filtraciones.

En otros territorios se detectan patrones curiosos, como claves supuestamente más complejas pero igualmente previsibles. En China, por ejemplo, se ha observado el uso de “111222tianya”, y en Taiwán, “tkideltki”, que aunque resisten algo más (hasta un día de ataque automatizado, según algunos estudios), siguen sin ser adecuadas como medida de protección robusta.

Contraseñas que se rompen en menos de un segundo

Uno de los datos más preocupantes que arrojan los análisis de NordPass y otras fuentes es la velocidad con la que se pueden descifrar las contraseñas más habituales. Las 25 claves globales más usadas en 2024, según un informe recopilado por Visual Capitalist a partir de datos de NordPass, pueden romperse en menos de un segundo mediante herramientas de fuerza bruta.

En ese ranking actualizado, “12345” figura como la clave más utilizada, con más de tres millones de usos detectados, seguida muy de cerca por otras secuencias numéricas algo más largas, la omnipresente “password” y patrones de teclado como la primera fila completa (“qwertyuiop”) o sus variantes. Aunque algunas combinan letras y cifras, la estructura sigue siendo tan simple que no añaden prácticamente ninguna resistencia real frente a los ataques.

Según los cálculos publicados, hay que bajar hasta posiciones como la 28 para encontrar claves que tarden unos segundos en romperse, como “target123”, estimada en unos nueve segundos. Más abajo aparece “tinkle”, que se aproximaría a los dos minutos de resistencia, y la primera relativamente más fuerte sería “zag12wsx”, a la que se le asigna alrededor de una hora de tiempo de crackeo. Aun así, esta contraseña también ha aparecido más de 90.000 veces en filtraciones.

El problema no es solo cuánto tarda una herramienta en descifrar una clave concreta, sino que millones de usuarios eligen exactamente las mismas combinaciones. Cuando los ciberdelincuentes construyen diccionarios de ataque, empiezan precisamente por estas contraseñas masivas, lo que incrementa enormemente el riesgo de que una cuenta con una clave común sea comprometida en los primeros intentos.

En muchos estudios se menciona además que una de cada cuatro contraseñas filtradas está compuesta únicamente por números. El 38,6 % de las 1.000 claves más populares contiene la secuencia “123” y alrededor de un 2 % utiliza números en orden descendente, tipo “321”. El 3,1 % incluye la cadena “abc”, mientras que palabras como “password”, “admin” o “qwerty” aparecen en un porcentaje significativo de las claves analizadas.

La pereza humana y el problema de la reutilización

Detrás de este panorama hay un factor que los expertos repiten una y otra vez: la comodidad manda sobre la seguridad. Los usuarios preferimos memorizar algo sencillo, reutilizarlo en todas partes y olvidarnos. Es un comportamiento muy humano, pero tremendamente peligroso en el entorno digital actual.

Empresas de ciberseguridad como ESET subrayan que la reutilización de contraseñas multiplica el impacto de cualquier filtración. Si una misma clave se emplea para el correo electrónico, la banca online, redes sociales y acceso a servicios corporativos, basta con que uno solo de esos sitios sufra una brecha para que el atacante pueda intentar el “relleno de credenciales” (credential stuffing) en todos los demás.

En este tipo de escenarios, una combinación débil como “123456” o “admin” no solo abre una puerta, sino muchas a la vez. Los ciberdelincuentes aprovechan bases de datos con millones de contraseñas filtradas y herramientas automatizadas para probar, a gran escala, si esas mismas combinaciones funcionan en otros servicios. El resultado: robos de identidad, accesos ilegítimos a cuentas bancarias, sustracción de información laboral sensible o incluso despliegue de ransomware en entornos empresariales.

Los datos muestran también que el problema no se limita a las cuentas personales. ESET y otros actores del sector han detectado el uso de contraseñas simples en redes corporativas, plataformas profesionales y servicios críticos, donde una única credencial comprometida puede permitir movimientos laterales dentro de la red, escaladas de privilegios o ataques más sofisticados.

Para colmo, las herramientas actuales de descifrado y los programas de fuerza bruta se apoyan en diccionarios basados precisamente en estas claves filtradas. Esto significa que, aunque un usuario crea que elegir el nombre de su empresa, de su mascota o una frase evidente lo hace diferente, en realidad está entrando de lleno en los patrones que los atacantes ya esperan.

Longitud, complejidad y tiempo de descifrado

Una de las conclusiones recurrentes en todos los informes es que la mayoría de las contraseñas filtradas son demasiado cortas. Se estima que alrededor del 65,8 % de las claves expuestas en algunas grandes bases de datos tienen menos de 12 caracteres, y cerca de un 7 % ni siquiera llega a los 8.

Por el contrario, solo una pequeña fracción, en torno al 3,2 %, supera los 16 caracteres, lo que sí ofrece una resistencia mucho mayor frente a ataques automatizados. Cuanto más larga y compleja sea una contraseña, más tiempo y recursos necesita un atacante para romperla, hasta el punto de que puede dejar de ser rentable o asumible para la mayoría de los ciberdelincuentes.

Los expertos recomiendan que la longitud mínima razonable sea de 12 caracteres, combinando letras mayúsculas, minúsculas, números y símbolos. Este tipo de claves aumenta exponencialmente el espacio de búsqueda posible, haciendo que los ataques de fuerza bruta se vuelvan mucho menos eficaces, sobre todo si se protegen adicionalmente con autenticación en dos pasos.

Sin embargo, los datos indican que muy pocos usuarios adoptan estas buenas prácticas. La abundancia de secuencias como “123”, “abc” o “qwerty” entre las contraseñas filtradas pone de manifiesto que seguimos atados a patrones simples, repetitivos y, sobre todo, ampliamente conocidos por los atacantes.

Incluso en casos en los que hay un intento de complicar la contraseña, como “1g2w3e4r” o “gwerty123”, las mejoras de seguridad son relativas. Algunas de estas combinaciones pueden llegar a resistir unas pocas horas frente a herramientas de cracking, pero continúan siendo predecibles, por lo que no deberían usarse nunca como única barrera de protección.

Consejos clave para dejar de usar contraseñas inseguras

Ante este panorama, las recomendaciones de los especialistas en ciberseguridad son bastante claras: hay que abandonar de una vez las contraseñas simples o predecibles. Nada de usar fechas de nacimiento, nombres de familiares, del equipo de fútbol, del país o la ciudad, ni secuencias de números fáciles.

Organismos como el NCSC, empresas como ESET y servicios como NordPass coinciden en una serie de pautas básicas: usar una contraseña diferente para cada servicio importante, apoyarse en gestores de contraseñas para no tener que recordarlas todas, y activar la autenticación en dos pasos (2FA) siempre que sea posible, especialmente en correo, banca y redes sociales.

Los gestores de contraseñas permiten generar claves largas, aleatorias y muy complejas, que el usuario no necesita memorizar. De esta forma, se puede cumplir sin esfuerzo la recomendación de los 12, 16 o más caracteres, mezclando tipos de símbolos, sin caer en patrones repetitivos o diccionarios conocidos por los atacantes.

Además, se aconseja mantener sistemas, aplicaciones y navegadores siempre actualizados, ya que muchas brechas de seguridad se aprovechan de vulnerabilidades conocidas que ya tienen parches disponibles. Una buena contraseña puede quedar expuesta si el sistema donde se utiliza está desactualizado y es fácilmente explotable.

Otro punto crítico es la desconfianza activa frente a correos o mensajes que pidan cambiar la contraseña con urgencia. Muchos ataques de phishing se basan justo en esa urgencia aparente para engañar al usuario y llevarlo a páginas falsas donde introduce sus credenciales. Antes de hacer clic en nada, conviene revisar la dirección del remitente, la URL y, en caso de duda, acudir directamente a la web oficial del servicio.

En definitiva, dejar de usar las contraseñas más utilizadas e inseguras pasa por un cambio de hábitos: abandonar secuencias numéricas obvias, palabras genéricas y nombres propios, dejar de reutilizar claves en múltiples servicios, apoyarse en herramientas modernas como gestores y 2FA, y asumir que una contraseña “fácil de recordar” suele ser, casi siempre, también fácil de adivinar para quien está al otro lado intentando entrar sin permiso.

Artículo relacionado:

Contraseñas seguras en internet: guía completa para protegerte