Las contraseñas más inseguras siguen repitiéndose

MundoWin » General » Las contraseñas más inseguras siguen repitiéndose

En pleno 2025, cuando la inteligencia artificial acelera los ciberataques, millones de usuarios siguen confiando en claves tan obvias como «123456», «admin» o «password». Un análisis de Comparitech, basado en credenciales expuestas este año, confirma que los viejos hábitos continúan a pesar de las advertencias.

El estudio revisó más de 2.000 millones de contraseñas filtradas en foros y canales de datos. Las conclusiones son claras: una gran parte de las claves populares son extremadamente predecibles y cortas, lo que facilita su ruptura por fuerza bruta en muy poco tiempo.

Las claves que más se repiten en 2025

Encabezando la lista está «123456», detectada en más de 7,6 millones de cuentas comprometidas. Tras ella aparecen variaciones igual de simples como «12345678» y «123456789», junto a clásicos como «admin» y «password».

• «123456»: 7.618.192 apariciones.
• «12345678»: 3.676.487 apariciones.
• «123456789»: 2.866.100 apariciones.
• «admin»: 1.987.808 apariciones.
• «password»: 1.082.010 apariciones.
• «111111»: 326.154 apariciones.
• «admin123»: 306.343 apariciones.

Como curiosidad, «minecraft» cierra el top 100 con 69.464 casos, un ejemplo de cómo los gustos personales acaban filtrándose en las claves y debilitándolas.

Patrones que delatan una contraseña

Comparitech detecta que una de cada cuatro contraseñas más comunes está compuesta solo por números. Además, el 38,6% contiene la secuencia «123» y el 3,1% incluye «abc», patrones que cualquier atacante probará de inmediato.

Se repiten también palabras universales como «admin», «qwerty», «welcome» o «password». Incluso combinaciones que parecen complejas a primera vista, tipo «India@123», siguen un molde tan habitual que resultan igual de vulnerables.

La longitud sigue siendo otro talón de Aquiles: más del 65% no llega a 12 caracteres y apenas un pequeño porcentaje supera los 16. El informe también refleja que las claves de 8 caracteres son frecuentes (en torno al 18%), mientras que las de 15 apenas rondan el 7%, cifras que favorecen el crackeo en segundos si no hay complejidad real.

Lo que pasa en España (y Europa)

En el entorno español persisten claves sencillas que se rompen en un suspiro: «admin», «123456», «mallorca64», «barcelona», «000000», «Shell123» o «carl0s». Que sean fáciles de recordar no compensa el riesgo; si alguna aparece en tus cuentas, conviene cambiarla sin demora y configurar tu router para una red Wi-Fi segura.

En Europa, el panorama es similar: la adopción de autenticación en dos pasos crece, pero las passkeys (FIDO2) todavía avanzan a ritmos desiguales. Aun así, activarlas cuando están disponibles reduce de forma notable los accesos no autorizados.

Cómo blindar tus cuentas

Los especialistas recomiendan crear contraseñas de al menos 12 caracteres combinando mayúsculas, minúsculas, números y símbolos, y evitar patrones evidentes (fechas, nombres, secuencias de teclado o reemplazos trillados tipo «@» por «a»). Además, cada servicio debe tener una clave única y usar una app de gestión de contraseñas en Android.

Imprescindible activar la verificación en dos pasos (MFA) y, cuando sea posible, dar el salto a las passkeys basadas en FIDO2, que vinculan el inicio de sesión a biometría o a un PIN local sin exponer una contraseña reutilizable.

Las guías más recientes, como las del NIST, desaconsejan obligar a cambiar la contraseña de forma periódica sin motivo. Mejor priorizar la calidad y unicidad y forzar el reemplazo solo ante indicios de fuga o compromiso.

Los datos de Comparitech muestran que el ranking de contraseñas inseguras apenas cambia: los mismos patrones fáciles siguen dominando y facilitando ataques. La salida pasa por claves largas y exclusivas, MFA o passkeys y abandonar de una vez las combinaciones de siempre.

Artículo relacionado:

Cómo identificar archivos maliciosos en C:\Windows y proteger tu PC