- Los informes de NordPass, Comparitech y ESET coinciden: 123456 continúa como la contraseña más utilizada a nivel global en 2025.
- El problema afecta a todas las generaciones y también al entorno corporativo, con un 70% de filtraciones ligado a claves débiles.
- En Europa y España destacan variantes como “admin” y combinaciones numéricas simples, pese a las recomendaciones de seguridad.
- Expertos insisten en contraseñas largas, complejas y únicas para cada servicio, apoyadas en gestores y generadores automáticos.
En pleno auge de la ciberseguridad en Europa y el resto del mundo, los usuarios siguen tropezando con la misma piedra: elegir contraseñas tan débiles que, en la práctica, equivalen a dejar la puerta de casa casi sin cerrar. Distintos informes publicados en 2025 vuelven a poner el foco en un clásico que se resiste a desaparecer: la secuencia numérica “123456” continúa liderando los rankings de contraseñas más usadas a nivel global.
Firmas especializadas como NordPass, Comparitech y ESET coinciden en un diagnóstico nada halagüeño: da igual la edad, el país o el tipo de cuenta, millones de personas siguen apostando por credenciales extremadamente predecibles. Esta costumbre, muy extendida también en Europa y España, abre la puerta a robos de datos, accesos no autorizados y filtraciones que afectan tanto a usuarios particulares como a empresas e instituciones.
123456, la contraseña que se niega a desaparecer
Los últimos listados recopilados por NordPass y Comparitech muestran que “123456” vuelve a situarse en 2025 como la combinación más repetida en internet. No es un caso aislado: el estudio de Comparitech subraya que, entre las mil contraseñas más habituales, una de cada cuatro está formada solo por números. Es decir, ni rastro de creatividad ni de las recomendaciones básicas de seguridad que llevan años repitiendo los expertos.
Según estos análisis, las claves más utilizadas a escala mundial siguen un patrón muy similar: secuencias cortas y fáciles de recordar, como “12345678”, “123456789”, “12345” o “1234567890”, y términos genéricos del estilo de “password” o “contraseña”. En la práctica, la mayoría de estas combinaciones pueden ser descifradas en menos de un segundo mediante ataques automatizados, lo que deja a millones de cuentas expuestas sin apenas esfuerzo por parte de los atacantes.
ESET compara esta situación con cerrar una casa con una traba de papel o con tener una caja fuerte de última generación y pegar al lado un post-it con la clave escrita. La metáfora puede sonar exagerada, pero los datos de filtraciones de los últimos años demuestran que no lo es en absoluto.
Lo más llamativo es que, pese a que cada vez hay más noticias sobre robos de datos, los hábitos de los usuarios apenas han cambiado en más de siete años de estudios. NordPass remarca que las mismas contraseñas débiles aparecen una y otra vez en sus informes anuales, con ligeras variaciones pero un patrón idéntico: números en serie, palabras muy obvias y nombres propios.
Un problema que afecta por igual a todas las generaciones
Lejos de lo que pudiera pensarse, no existe una “generación más responsable” en materia de contraseñas. Informes difundidos por ESET muestran que la tendencia a usar credenciales débiles se repite en prácticamente todos los rangos de edad: desde la Generación Z hasta los baby boomers y generaciones mayores.
Camilo Gutiérrez Amaya, responsable del Laboratorio de Investigación de ESET Latinoamérica, lo resume así: “la costumbre de emplear contraseñas obvias no tiene límite generacional”. Según los listados internos manejados por la compañía, independientemente del grupo de edad, “123456” aparece de forma recurrente entre las opciones favoritas para iniciar sesión en servicios y plataformas en línea.
Los datos por cohortes dejan un patrón bastante claro: las personas más jóvenes tienden a alternar secuencias numéricas como 123456 o 123456789 con palabras de moda o términos virales, mientras que los usuarios de más edad se inclinan por nombres propios, apodos y variantes sencillas como “Contraseña”. En todos los casos, el resultado es similar: claves fáciles de adivinar para cualquier atacante mínimamente preparado.
Este panorama desmonta la idea de que los nativos digitales son, por definición, más prudentes en la gestión de sus credenciales. Incluso entre usuarios que han crecido conectados a internet es muy habitual encontrar patrones extremadamente vulnerables, a menudo compartidos en numerosas cuentas distintas.
Para los especialistas, esta falta de cambio en los hábitos sugiere que las campañas de concienciación no terminan de calar o que se percibe la seguridad de las contraseñas como un asunto secundario, algo que solo afecta a “otros” hasta que llega la filtración de turno.
Europa y España: del clásico 123456 al omnipresente admin
Si se pone el foco en el entorno europeo, los informes de 2025 apuntan a un comportamiento similar al del resto del mundo, con un matiz llamativo: en España y en gran parte de Europa, la combinación “admin” se ha consolidado como una de las contraseñas más repetidas. En el caso español, esa palabra llega incluso a colocarse por delante de “123456” en número de usos detectados en la web.
El término “admin” se emplea de forma masiva tanto en cuentas personales como en paneles de administración, routers domésticos, servicios de pequeñas empresas y accesos a herramientas internas. En muchos casos, ni siquiera se cambia la clave que viene por defecto, lo que deja abierta la puerta a ataques muy básicos. “Admin”, “admin123” o variantes con mayúsculas y números se repiten en los listados regionales como si fueran opciones razonables, cuando en realidad son extremadamente fáciles de explotar.
Aunque el patrón de uso recuerda al de Latinoamérica, hay algunos matices por país. Ciertos estados europeos aparecen en los rankings con contraseñas peculiares pero igualmente predecibles: términos locales tipo “Heslo1234” (básicamente “Contraseña1234”), combinaciones con nombres propios convertidos en clave principal o incluso referencias a marcas populares y aficiones deportivas.
En el conjunto de Europa, la secuencia “123456” sigue ocupando posiciones muy altas en casi todos los listados nacionales, ya sea como primera opción o como alternativa inmediata. Por debajo se repiten “12345678”, “123456789”, “password” y derivados como “P@ssw0rd”, que intentan parecer más seguros, pero que siguen siendo triviales para las herramientas de ataque actuales.
Los expertos insisten en que esta falta de cultura de seguridad no se limita a usuarios con pocos conocimientos tecnológicos. También se detectan credenciales débiles en entornos profesionales, administraciones públicas y sistemas críticos, donde una intrusión puede tener consecuencias especialmente graves.
Latinoamérica y el resto del mundo: una vulnerabilidad compartida
Aunque el foco de muchos estudios se sitúa en Europa y Norteamérica, Latinoamérica concentra algunos de los ejemplos más preocupantes en materia de contraseñas. ESET subraya que en la región confluyen dos factores peligrosos: poca conciencia de riesgo y auge de las ciberamenazas, lo que convierte a la zona en un objetivo especialmente apetecible para los delincuentes.
Los listados de países como México, Brasil, Chile o Colombia muestran que las combinaciones más extendidas apenas varían respecto al patrón global: “admin”, “123456”, “12345678”, “password” y otras secuencias numéricas breves concentran buena parte de las cuentas analizadas. En algunos casos aparecen contraseñas basadas en apellidos frecuentes, nombres de ciudades o referencias patrióticas, pero el nivel de seguridad sigue siendo muy bajo.
Los investigadores advierten de que cualquier credencial que pueda asociarse con información personal pública (por ejemplo, el nombre de un país más un número, un equipo de fútbol conocido o el año de nacimiento) puede ser probada de forma automática por herramientas de ataque en muy poco tiempo. El resultado es que millones de usuarios acaban compartiendo la misma “llave digital”, lo que simplifica notablemente el trabajo de los ciberdelincuentes.
En este contexto, compañías como NordPass recuerdan que la mayoría de las contraseñas incluidas en sus rankings nacionales pueden romperse en segundos mediante ataques de fuerza bruta o diccionario. Y, aun así, continúan encabezando las listas año tras año, lo que sugiere que el mensaje de “cambia tu contraseña ya” sigue sin traducirse en acción real.
Cuando la mala contraseña está en la empresa
El problema de las contraseñas débiles no se limita al plano personal. El ámbito corporativo arrastra una dependencia crítica de combinaciones numéricas y términos básicos que resulta, como poco, inquietante. De acuerdo con datos citados por NordPass y Verizon, el 70 % de las filtraciones de datos en empresas está relacionado con el uso de claves frágiles por parte de empleados o administradores.
En muchos entornos profesionales, las credenciales de acceso a correos corporativos, intranets, paneles de control o bases de datos se reducen a secuencias como 123456, 123456789 o contraseñas genéricas tipo “password”. A ello se suman usuarios que reutilizan exactamente la misma clave para servicios personales y laborales, de manera que una brecha en una red social o en un portal externo termina abriendo una puerta indirecta a la empresa.
Los informes señalan que las tres contraseñas más usadas en corporaciones durante 2025 fueron cadenas de números muy similares a las que se ven en el uso doméstico. Eso significa que, aunque las compañías inviertan en firewalls, soluciones antivirus o sistemas de detección de intrusiones, una mala elección de credenciales puede anular buena parte de esas defensas.
Las consecuencias no se quedan en un susto puntual: una intrusión basada en contraseñas débiles puede derivar en robo de información sensible, paralización de la actividad, extorsiones, sanciones regulatorias y un fuerte daño reputacional. Todo ello a partir de una clave que un atacante puede adivinar prácticamente al instante.
Para los responsables de seguridad, este escenario demuestra que no basta con desplegar tecnología; hace falta cambiar la cultura interna. Políticas de contraseñas estrictas, formación periódica y el uso de gestores corporativos son ya piezas imprescindibles de cualquier estrategia básica de protección.
Un caso emblemático: el fallo de seguridad en el Louvre
Uno de los ejemplos más llamativos mencionados por los expertos es el incidente registrado en el museo del Louvre, en París. Pese a tratarse de una de las instituciones culturales más importantes del planeta, con un patrimonio de valor incalculable, su sistema de seguridad interno quedó comprometido por un error tan simple como preocupante: la contraseña utilizada para acceder a la red era, literalmente, “Louvre”.
Este acceso tan obvio facilitó una intrusión que permitió el robo de joyas valoradas en más de 100 millones de dólares y el compromiso de la infraestructura de seguridad. El caso ha sido citado en distintos informes como un recordatorio de que ninguna organización, por potente que sea su tecnología, está a salvo si la puerta de entrada digital se protege con una clave que cualquiera puede intuir.
Episodios como este ponen de manifiesto que las contraseñas siguen siendo uno de los eslabones más débiles de la seguridad moderna. Da igual que se trate de un pequeño negocio, un usuario particular o un museo de fama mundial: si la clave de acceso es trivial, todo el resto del sistema queda en entredicho.
Para los especialistas, el caso del Louvre funciona como un ejemplo claro que ayuda a entender el riesgo: aunque un entorno cuente con cámaras, alarmas, controles de acceso físicos y personal de seguridad, una contraseña mal elegida puede tirar por tierra todas esas barreras en cuestión de segundos.
Por qué seguimos usando contraseñas tan malas
Más allá de los datos, la gran pregunta es por qué, con toda la información disponible, seguimos recurriendo a claves del estilo 123456 o admin. Los estudios apuntan a varios factores combinados: comodidad, falta de tiempo, sensación de que “a mí no me va a pasar” y, en muchos casos, desconocimiento real de cómo se rompen las contraseñas.
Muchos usuarios asumen que, por no ser figuras públicas o grandes empresas, no resultan interesantes para los ciberdelincuentes. Sin embargo, los ataques automatizados no distinguen entre grandes objetivos y cuentas anónimas: simplemente prueban millones de combinaciones conocidas contra distintos servicios hasta que alguna encaja.
A ello se suma que recordar múltiples contraseñas robustas puede resultar engorroso si no se utilizan las herramientas adecuadas, como aprender a gestionar las contraseñas guardadas en tu navegador. Como consecuencia, se recurre a fórmulas fáciles de memorizar y se reutilizan las mismas claves en docenas de servicios distintos, lo que amplifica el impacto de cualquier filtración.
Los expertos en ciberseguridad señalan que también influye la falta de formación básica: muchas personas no son conscientes de la velocidad con la que un programa puede probar cientos de miles de combinaciones, ni de hasta qué punto los atacantes utilizan diccionarios de contraseñas reales obtenidas en filtraciones anteriores.
Cambiar esta mentalidad requiere ir más allá de la típica recomendación genérica. Programas de educación digital, avisos claros en las propias plataformas y controles técnicos que impidan el uso de claves demasiado simples se consideran ya medidas necesarias para reducir la dependencia de contraseñas de “andar por casa”.
Claves prácticas para una contraseña realmente segura
Ante este escenario, las recomendaciones de ESET, NordPass y otros actores del sector coinciden en varios puntos esenciales. El primero es la longitud mínima: una contraseña corta es, prácticamente por definición, una contraseña débil. Se aconseja usar al menos 12 caracteres, y muchos expertos elevan el listón a 16 o incluso 20 para cuentas especialmente sensibles.
El segundo elemento es la complejidad. Una buena clave debería mezclar mayúsculas, minúsculas, números y símbolos especiales, evitando palabras que tengan sentido en cualquier idioma. Esta combinación multiplica el número de posibilidades que un atacante debe probar y hace que los ataques de fuerza bruta sean mucho menos rentables.
Otro pilar fundamental es la aleatoriedad. Utilizar patrones obvios —tales como “nombre+1234”, fechas de nacimiento, nombres de equipos o ciudades— facilita enormemente el trabajo de los ciberdelincuentes, que ya cuentan con estos datos en sus diccionarios habituales. Cuanto menos se parezca una contraseña a algo reconocible, mejor.
La cuarta recomendación básica es la diversidad entre servicios. Repetir la misma clave para el correo, la banca en línea, las redes sociales y el trabajo hace que una sola filtración pueda comprometer toda la vida digital de una persona. Lo ideal es que cada cuenta tenga su propia combinación única, especialmente cuando se trata de plataformas críticas.
Para quienes encuentran difícil cumplir todas estas pautas a mano, los especialistas sugieren recurrir a un generador de contraseñas y a un gestor seguro que se encargue de guardarlas. Este tipo de herramientas permiten crear claves largas, aleatorias y diferentes sin necesidad de memorizarlas todas, reduciendo al mínimo la tentación de volver a 123456 o a variaciones similares.
Además, se recomienda complementar estas medidas con la autenticación multifactor (MFA), de forma que, aunque una contraseña llegue a filtrarse, el atacante necesite un segundo elemento (como un código temporal o una confirmación en el móvil) para completar el acceso.
El panorama dibujado por los informes de 2025 es claro: “123456” y sus variantes siguen dominando las listas de contraseñas más utilizadas, tanto en Europa como en el resto del mundo, a pesar de las advertencias continuas de expertos y organismos especializados. La combinación de comodidad, falta de concienciación y ausencia de políticas estrictas mantiene abierta una brecha que aprovechan los ciberdelincuentes a diario. Romper con este hábito pasa por asumir que la contraseña ya no es un simple trámite, sino una pieza clave de la seguridad digital, y por adoptar prácticas más maduras: claves largas, complejas, únicas y bien gestionadas.
