- Las claves numéricas simples como admin o 123456 siguen liderando los listados en España y Europa en 2025.
- Informes de ESET, NordPass y Comparitech alertan de su uso tanto en cuentas personales como en entornos corporativos.
- Las contraseñas débiles y reutilizadas facilitan ataques de fuerza bruta, robos de identidad y ransomware.
- Gestores de contraseñas, claves únicas y autenticación en dos pasos son las medidas básicas que aún muchos usuarios no aplican.
La realidad de la seguridad digital en 2025 es poco halagüeña: seguimos usando contraseñas facilonas que cualquier atacante puede adivinar en cuestión de segundos. Los últimos informes de ESET, basados en datos de NordPass y Comparitech, confirman que millones de usuarios continúan confiando sus cuentas a combinaciones que prácticamente equivalen a dejar la puerta abierta.
En España y en buena parte de Europa, claves como “admin”, “123456” o “12345678” vuelven a encabezar los rankings de contraseñas más repetidas, tanto en servicios personales como en el ámbito profesional. A estas alturas, y con todos los avisos que se han lanzado en los últimos años, sorprende que sigamos tropezando exactamente en la misma piedra.
Las contraseñas más utilizadas en España y Europa en 2025
Los datos recopilados por NordPass y Comparitech, difundidos por ESET, muestran un patrón que se repite año tras año: predominan las secuencias numéricas simples y las palabras obvias. En España, el listado de 2025 vuelve a estar encabezado por “admin”, una clave que originalmente se usa para acceder a la configuración de routers y otros dispositivos, pero que muchos siguen utilizando como si fuera una solución cómoda para todo.
El podio lo completan combinaciones tan básicas como “123456”, “12345678”, “123456789” y “12345”. Este top 5, lejos de ser una anécdota, se repite en múltiples servicios online y aparece una y otra vez en bases de datos filtradas que circulan por la red, especialmente en foros de la Dark Web donde los ciberdelincuentes intercambian este tipo de información.
Más allá de estas claves, el informe identifica otras opciones igual de poco recomendables: “password”, “111111”, “1234567890” o combinaciones que mezclan nombres propios con números, como “Nacho2006” o “Talocha1”. Todas comparten un mismo problema: son extremadamente fáciles de predecir y se descubren en segundos mediante ataques de fuerza bruta automatizados.
Los especialistas recuerdan que no se trata solo de que una contraseña sea sencilla, sino de que, por pura estadística, es una de las primeras que prueban las herramientas que usan los atacantes. Cuando una clave tan trillada falla, no es casualidad: es porque entra de lleno en los patrones que explotan estos sistemas.
Según los estudios citados por ESET, cerca de una cuarta parte de las mil contraseñas más usadas en 2025 están formadas únicamente por números, y secuencias como “123456” se repiten en todos los grupos de edad analizados: desde la generación Z hasta los baby boomers. Es decir, el problema no está ligado a la edad ni al nivel de familiaridad con la tecnología.
Un riesgo que va mucho más allá del usuario doméstico
Uno de los aspectos más preocupantes de estos informes es que las mismas malas prácticas se detectan en entornos corporativos. No hablamos solo de claves débiles para redes sociales o correo personal: también aparecen en plataformas profesionales, sistemas internos de empresas e incluso servicios considerados críticos.
Desde ESET advierten de que una única credencial comprometida puede bastar para que un atacante entre en una red empresarial, se mueva lateralmente por diferentes sistemas y termine lanzando ataques más graves, como campañas de ransomware o fraudes financieros a gran escala. La contraseña de un empleado, si es obvia y se reutiliza, puede ser la llave de acceso a información muy sensible.
Informes de otras firmas, como Verizon, apuntan en la misma dirección: un porcentaje muy alto de brechas de seguridad en empresas tiene su origen en contraseñas débiles o mal gestionadas. El resultado no es solo una filtración de datos, sino también pérdidas económicas, interrupciones de la actividad y daños reputacionales difíciles de reparar.
A modo de ejemplo ilustrativo, ESET ha recordado incidentes en los que sistemas con infraestructuras de seguridad avanzadas se han visto comprometidos por algo tan básico como una clave obvia. De poco sirve invertir en tecnología puntera si luego se protege el acceso con una contraseña que cualquiera podría adivinar.
Cómo aprovechan los ciberdelincuentes estas contraseñas tan débiles
El ecosistema actual juega claramente a favor de los atacantes. Los ciberdelincuentes disponen de bases de datos gigantescas con millones de credenciales filtradas a lo largo de los años, recopiladas de todo tipo de servicios que han sufrido brechas de seguridad.
Estas colecciones se compran y venden en la Dark Web y se usan como materia prima para lanzar ataques automatizados. Herramientas específicas prueban de forma masiva las combinaciones más frecuentes, lo que convierte en un juego de niños descubrir contraseñas como las que lideran los rankings anuales. Ni siquiera hace falta tener grandes conocimientos técnicos: basta con adquirir uno de los llamados kits ya preparados.
Este fenómeno encaja con tendencias más amplias del cibercrimen, como el auge del “as a Service”. Del mismo modo que existe el malware como servicio, también prolifera el phishing como servicio (PhaaS), donde un atacante puede comprar o alquilar una infraestructura lista para lanzar campañas engañosas, sin necesidad de desarrollarla por su cuenta.
En paralelo, los expertos destacan la combinación letal que suponen contraseñas sencillas y reutilización en múltiples servicios. Si un usuario repite “admin” o “123456” en varias plataformas, una sola filtración basta para que un atacante pruebe esa misma clave en redes sociales, correo, banca online o herramientas de trabajo colaborativo.
Como resume Josep Albors, director de Investigación y Concienciación de ESET España, “las contraseñas débiles no fallan por casualidad, fallan porque son predecibles”. Y cuando, además, se reciclan en distintos servicios, el impacto de una única brecha se multiplica de forma exponencial.
La otra cara del problema: phishing y robo de contraseñas
El abuso de contraseñas débiles no se puede entender aislado de otra tendencia clara: el crecimiento del phishing y de los métodos para robar credenciales. Aunque los informes de ESET se centran en las claves más utilizadas, los expertos subrayan que muchas de ellas acaban expuestas precisamente por este tipo de engaños.
Durante 2025, se ha observado un aumento de campañas de phishing que llegan por múltiples canales: ya no se limitan al correo electrónico, sino que se propagan también por SMS, redes sociales, aplicaciones de mensajería o incluso mediante resultados manipulados en buscadores. El objetivo final suele ser el mismo: llevar a la víctima a una página falsa para que introduzca su usuario y contraseña.
A este fenómeno se suma el mencionado Phishing as a Service (PhaaS), que pone en manos de delincuentes poco especializados kits preparados con plantillas, páginas fraudulentas y sistemas de envío masivo. Para quienes los compran, basta con personalizar algunos detalles y empezar a recopilar credenciales de usuarios confiados.
Otro punto delicado es que muchas de estas campañas logran incluso esquivar la autenticación en dos pasos. Mediante técnicas como el bombardeo de notificaciones (para forzar a la víctima a aceptar una petición de acceso) o la interceptación de códigos enviados por SMS, los atacantes pueden colarse pese a que el usuario haya activado medidas adicionales.
Los expertos en seguridad insisten en que, aunque herramientas como los antivirus ayudan frente a determinados tipos de malware, no pueden sustituir al sentido común a la hora de identificar un intento de engaño. Desconfiar de mensajes que piden cambiar la contraseña con urgencia y comprobar siempre las direcciones web antes de introducir datos sigue siendo clave.
Qué deberíamos estar haciendo (y todavía no hacemos)
Ante este panorama, ESET y otras compañías de ciberseguridad llevan años repitiendo una serie de recomendaciones que, en gran medida, siguen sin aplicarse de forma generalizada. No hace falta ser un experto para elevar notablemente el nivel de protección: basta con cambiar algunos hábitos.
En primer lugar, los especialistas insisten en desterrar las contraseñas simples o predecibles. Eso implica olvidarse de secuencias numéricas tipo “1234567890”, de palabras genéricas como “password” o “qwerty” y de datos personales fáciles de averiguar, como el nombre de la mascota, la fecha de nacimiento o el equipo de fútbol favorito.
También recomiendan utilizar una contraseña única para cada servicio. Reutilizar la misma clave en el correo, las redes sociales y la banca online es una invitación a que, tras una sola filtración, un atacante pueda probar en cadena esa credencial en decenas de plataformas distintas.
Para hacer esto viable en el día a día, se vuelve casi imprescindible apoyarse en un gestor de contraseñas. Tanto los gestores integrados en navegadores como los servicios específicos permiten generar claves largas y complejas, almacenarlas cifradas y autocompletarlas cuando sea necesario, de forma que el usuario no tenga que memorizarlas todas.
Otra medida básica es activar la autenticación en dos pasos (2FA) siempre que esté disponible, especialmente en servicios críticos como el correo electrónico, la banca o las redes sociales principales. En lugar de confiar únicamente en el SMS, los expertos aconsejan utilizar aplicaciones de código temporal como Google Authenticator, Authy u opciones equivalentes.
Por último, conviene no descuidar la actualización de dispositivos y aplicaciones. Muchas brechas de seguridad se apoyan en vulnerabilidades para las que ya existe parche, pero que no se han aplicado porque el usuario no ha actualizado el sistema operativo o el programa afectado.
Buenas prácticas para crear y gestionar contraseñas robustas
A la hora de elegir una buena contraseña, los especialistas recomiendan seguir unas pautas sencillas que, combinadas, dificultan mucho el trabajo de los atacantes. No se trata de crear claves imposibles de recordar, sino de aumentar su complejidad de forma razonable.
Un primer consejo es utilizar contraseñas de al menos 12 caracteres, combinando letras mayúsculas y minúsculas, números y símbolos. Cuanto mayor sea la longitud y la variedad de caracteres, más tiempo y recursos necesitará un ataque de fuerza bruta para dar con la combinación correcta.
También es recomendable evitar patrones evidentes, aunque la contraseña parezca larga: repetir una misma letra, seguir un esquema de teclado (como “qwertyuiop”) o alternar números y letras de forma demasiado previsible. Los ataques modernos están entrenados para explotar precisamente esos patrones.
Una estrategia que funciona bien para muchos usuarios es recurrir a frases de paso (passphrases): combinar varias palabras sin relación aparente, añadir números o símbolos entre ellas y modificar alguna letra de forma sistemática. Este tipo de estructuras son más fáciles de recordar y, si se diseñan bien, resultan muy difíciles de adivinar.
En cualquier caso, los informes de ESET y las cifras de NordPass y Comparitech dejan claro que el principal problema no es la falta de herramientas, sino la resistencia a cambiar costumbres arraigadas. Mientras sigamos recurriendo a la comodidad de “123456” o “admin”, será complicado reducir el volumen de cuentas comprometidas año tras año.
El balance que dibujan estos estudios es claro: pese a los avances en concienciación y a la amplia oferta de soluciones de seguridad, las contraseñas más usadas siguen siendo un eslabón muy débil tanto en España como en el resto del mundo. Cambiar este panorama pasa por asumir que dedicar unos minutos a crear claves robustas, apoyarse en gestores de contraseñas y activar la doble autenticación no es un capricho técnico, sino una rutina imprescindible para proteger nuestros datos personales y profesionales.
