- Las peores contraseñas del mundo siguen siendo secuencias simples como 123456, admin o password, también muy usadas en España.
- NordPass y NordStellar analizan datos de 44 países, incluida la dark web, y confirman patrones casi idénticos entre generaciones y regiones.
- La comodidad sigue pesando más que la seguridad: se repiten claves cortas, previsibles y reutilizadas en múltiples servicios.
- Los expertos recomiendan contraseñas largas y únicas, gestores de contraseñas y doble factor de autenticación ante el avance de la IA y la computación cuántica.
Mientras las plataformas online repiten una y otra vez que hay que crear claves robustas, las peores contraseñas del mundo siguen siendo las más utilizadas por millones de usuarios. Las secuencias numéricas básicas, las palabras genéricas y las combinaciones de teclado más evidentes continúan encabezando los listados internacionales.
Informes recientes de varias firmas de ciberseguridad señalan que, a pesar de las campañas de concienciación y del avance de las amenazas digitales, una parte enorme de la población sigue apostando por contraseñas débiles, cortas y predecibles. El contraste entre las recomendaciones y la práctica diaria es especialmente visible cada vez que se celebra el Día Mundial de la Contraseña.
Los rankings de las peores contraseñas siguen repitiendo los mismos patrones
Cada año, las empresas de ciberseguridad NordPass y NordStellar elaboran un informe global con las contraseñas más usadas. Estas compañías, especializadas en la gestión y protección de claves y datos sensibles, analizan información de 44 países, incluyendo registros que circulan por la llamada internet oscura (dark web). Según subrayan, no compran ni adquieren datos personales para esta investigación, sino que trabajan con bases de datos filtradas y repositorios ya expuestos.
Los resultados dibujan un escenario que se repite una y otra vez: claves como «123456», «admin» y «12345678» volvieron a ocupar el podio de las contraseñas más utilizadas a nivel mundial. Entre las diez primeras posiciones también aparecen variantes igual de frágiles, como «password», «Pass@123» o «admin123», todas ellas descifrables en cuestión de segundos mediante herramientas automáticas de ataque.
Junto a estas combinaciones, los informes recogen el uso masivo de secuencias del propio teclado, como «qwerty» o «qwerty123». Son patrones extremadamente sencillos de adivinar para cualquier atacante, ya que suelen ser las primeras pruebas que realizan los programas de fuerza bruta y los diccionarios de contraseñas más básicos.
El estudio también pone el foco en los hábitos de los usuarios: la mayoría prioriza la comodidad frente a la seguridad. En la práctica, esto se traduce en claves cortas, fáciles de recordar, reutilizadas en muchas cuentas distintas y, a menudo, basadas en datos personales obvios o en combinaciones mínimamente modificadas de una misma raíz.
España y otros países: las mismas claves débiles se repiten en todo el mundo
Uno de los aspectos más llamativos de estos análisis es que los patrones de uso de contraseñas son muy similares entre países y generaciones. No solo las claves más populares coinciden, sino que también se repite la manera de construirlas.
En el caso de España, las tres contraseñas más utilizadas son habitualmente «admin», «123456» y «12345678». Los informes señalan que este mismo trío se repite en países tan dispares como México, China, Chile o Emiratos Árabes Unidos, lo que indica que el problema no es algo local, sino una tendencia prácticamente global.
En otros mercados, la lista apenas varía. En Estados Unidos destacan «admin», «password» y «123456» como combinaciones estrella, idénticas a las más empleadas en territorios como Sudáfrica, Reino Unido o Japón. La conclusión de fondo es que las peores contraseñas del mundo se extienden sin demasiadas diferencias entre regiones, lenguas o culturas digitales.
Los datos recopilados por NordPass y NordStellar muestran además que las distintas franjas de edad se comportan de forma muy parecida. Tanto usuarios jóvenes como mayores suelen optar por contraseñas simples y, en muchos casos, repetidas en varios servicios, precisamente lo contrario de lo que recomiendan los profesionales de la seguridad.
En Europa, incluidos España y el resto de la UE, esta realidad tiene un impacto directo en la protección de cuentas bancarias, perfiles en redes sociales, servicios públicos electrónicos y plataformas de comercio online. Un fallo en cualquiera de estos frentes puede traducirse en robos de identidad, fraudes económicos o acceso no autorizado a información sensible.
Un contexto marcado por el Día Mundial de la Contraseña
Los informes más recientes suelen hacerse públicos coincidiendo con la celebración del Día Mundial de la Contraseña, cada 7 de mayo. La fecha nació como iniciativa de diversas empresas del sector tecnológico y de la ciberseguridad para recordar a los usuarios la importancia de reforzar sus credenciales de acceso.
Año tras año, el mensaje es el mismo: una contraseña es la primera puerta de entrada a nuestros datos, y su debilidad convierte esa puerta en prácticamente decorativa. Sin embargo, las cifras que ofrecen NordPass y NordStellar revelan que, en la práctica, las recomendaciones calan menos de lo que cabría esperar.
La paradoja está en que, pese a la creciente exposición a ciberataques y filtraciones masivas, una gran parte de la ciudadanía mantiene hábitos poco prudentes. Entre ellos, reutilizar una única clave para correo, redes, banca y compras online, o tirar de la típica combinación numérica que se recuerda sin esfuerzo.
Los expertos consultados en estos estudios insisten en que el problema no es solo técnico, sino también cultural: la percepción del riesgo todavía es baja para muchos usuarios, que solo reaccionan cuando sufren un incidente directo, como la toma de control de una cuenta o un cargo sospechoso en la tarjeta vinculada a un servicio digital.
Qué consideran los expertos una contraseña mala o peligrosa
En los informes de NordPass, NordStellar y otros actores del sector se detalla con bastante claridad qué se entiende por una contraseña débil o de mala calidad. No se trata únicamente de que sea corta, sino de su previsibilidad y de la forma en que se reutiliza.
Se considera una mala contraseña cuando es muy fácil de adivinar mediante ensayo y error, ya sea porque está en cualquier diccionario de claves filtradas o porque sigue patrones evidentes. En esta categoría entran las secuencias numéricas básicas («123456», «12345678», «111111»), las cadenas de teclado obvias («qwerty», «asdfgh») y las palabras genéricas y cortas como «password».
También quedan dentro de las peores prácticas las claves basadas en datos personales fácilmente rastreables: nombres propios, apodos, fechas de cumpleaños, nombres de mascotas u opciones similares. Para un ciberdelincuente que haya recopilado información en redes sociales o filtraciones previas, este tipo de combinaciones son un primer objetivo.
Los estudios recuerdan, además, que reutilizar la misma contraseña en distintos servicios multiplica el riesgo. Si una de esas plataformas sufre una brecha de datos y ese usuario emplea la misma clave en su correo electrónico o en la banca online, el ataque puede propagarse rápidamente a todo su ecosistema digital.
La comodidad, por tanto, acaba saliendo cara: una contraseña simple puede descifrarse en segundos con herramientas automatizadas, y muchas de las claves que encabezan los rankings internacionales entrarían en esa categoría de riesgo máximo.
Buenas prácticas para crear contraseñas robustas
Frente a este panorama, los especialistas en ciberseguridad repiten una serie de recomendaciones básicas para elevar la seguridad de las cuentas. El objetivo es que las contraseñas dejen de ser el eslabón más débil y se conviertan en una barrera efectiva ante ataques automatizados y dirigidos.
En primer lugar, se aconseja no usar nunca la misma contraseña para todos los servicios. Correo, redes sociales, banca electrónica, compras online y servicios de ocio deberían tener claves distintas, de manera que una filtración en una página no abra la puerta al resto.
También es clave que las claves sean largas y con una combinación variada de caracteres: mayúsculas, minúsculas, números y símbolos especiales. No se trata solo de añadir un dígito al final, sino de crear estructuras menos previsibles para los algoritmos de ataque.
Los expertos desaconsejan incluir elementos evidentes como el nombre propio, el de la pareja o hijos, el equipo de fútbol o la fecha de nacimiento. Todos estos datos suelen ser fáciles de encontrar en redes sociales u otras fuentes públicas, y suelen ser las primeras pruebas de los atacantes cuando personalizan sus intentos.
Otra recomendación repetida es evitar las secuencias del teclado y las combinaciones muy extendidas, por mucho que faciliten la memoria. Claves tipo «qwerty123», «abcd1234» o variantes mínimas de «password» aparecen en prácticamente todas las listas negras de contraseñas inseguras y son un blanco sencillo para cualquier herramienta automatizada.
Gestores de contraseñas y doble factor de autenticación
Para muchas personas, el principal freno a adoptar contraseñas seguras es la dificultad de recordarlas. Por eso, desde firmas como NordPass, NordStellar y otros actores del sector se plantea una solución práctica: recurrir a gestores de contraseñas.
Estos programas permiten almacenar todas las claves cifradas bajo una contraseña maestra. El usuario solo tiene que memorizar esa clave principal, mientras que el gestor genera y guarda combinaciones largas y complejas para cada servicio. Usados correctamente, reducen de forma notable la tentación de repetir la misma contraseña en todos los sitios.
Junto a ello, los profesionales insisten en activar siempre que sea posible el doble factor de autenticación (2FA). Este sistema añade una segunda capa de seguridad más allá de la contraseña, como un código enviado por SMS, una app de autenticación, un token físico o incluso el reconocimiento facial o la huella dactilar.
La idea es que, aunque alguien consiga la contraseña, no pueda entrar sin ese segundo factor. Muchas plataformas de correo, redes sociales, servicios bancarios y herramientas corporativas en Europa ya ofrecen esta opción, pero su uso aún no es universal entre la base de usuarios.
Los informes también recomiendan cambiar las contraseñas de forma periódica, en especial las asociadas a servicios críticos como banca online, correo principal o cuentas que almacenan documentación sensible. Esta práctica ayuda a limitar el daño en caso de que una clave haya sido comprometida sin que el usuario lo sepa.
IA y computación cuántica: un nuevo escenario para la seguridad de las contraseñas
Más allá de los malos hábitos, los expertos subrayan que el contexto tecnológico está cambiando a gran velocidad. Tecnologías como la inteligencia artificial (IA) y la computación cuántica están modificando la forma en que se defienden y se atacan los sistemas.
Hervé Lambert, responsable de Operaciones Globales de Consumo de Panda Security, ha explicado que la inteligencia artificial no destruye la ciberseguridad, pero sí la acelera, tanto del lado de la defensa como del de los ciberdelincuentes. En lugar de máquinas que solo ejecutan instrucciones simples, ahora hay sistemas que aprenden, predicen y optimizan sus movimientos.
Según este especialista, la IA no “rompe” contraseñas en milisegundos de forma mágica, pero sí permite analizar patrones de comportamiento, adaptar los intentos de acceso y priorizar las combinaciones con más probabilidades de éxito. Esto hace aún más arriesgado conservar contraseñas que se parezcan a las más comunes o que sigan esquemas fáciles de deducir.
En el horizonte aparece también la computación cuántica, que podría poner en riesgo los sistemas de cifrado actuales, incluidos los mecanismos avanzados que utilizan la banca o grandes instituciones. No se espera un colapso inmediato, pero sí un cambio de reglas que obligará a rediseñar buena parte de la infraestructura de seguridad.
Ante este escenario, ya se habla de criptografía postcuántica: nuevos esquemas de cifrado y protección de la información diseñados para resistir a ordenadores cuánticos capaces de resolver problemas matemáticos complejos a una velocidad inalcanzable hoy. Aunque todavía se encuentran en proceso de estandarización y despliegue, la transición se considera inevitable a medio plazo.
El factor humano, el eslabón que hay que reforzar
Aunque la tecnología avanza y los sistemas de protección se vuelven más sofisticados, el componente humano sigue siendo el punto débil más frecuente. No solo por el uso de contraseñas débiles, sino también por prácticas como compartir claves por mensajería, apuntarlas en lugares accesibles o caer en correos de phishing.
Los estudios revisados insisten en que muchos incidentes podrían evitarse con cambios relativamente sencillos en la forma de crear y gestionar contraseñas: dejar atrás las combinaciones que repiten todo el mundo, adoptar gestores de claves, revisar la configuración de seguridad de las cuentas y aprovechar el doble factor siempre que esté disponible.
Para los usuarios en España y en el resto de Europa, asumir estas pautas es especialmente relevante en un momento en el que cada vez más trámites administrativos, financieros y personales se realizan por internet. Desde la declaración de la renta hasta la solicitud de ayudas, pasando por la gestión de la salud o la educación, buena parte de la vida cotidiana depende ya de credenciales digitales.
En conjunto, los informes de NordPass y NordStellar, las advertencias de empresas como Panda Security y las iniciativas como el Día Mundial de la Contraseña dibujan el mismo mensaje de fondo: si las peores contraseñas siguen encabezando los rankings, la puerta de entrada a la vida digital de millones de personas continuará abierta de par en par. Dejar atrás «123456» y compañía, apostar por claves largas y únicas y apoyarse en herramientas modernas de seguridad se ha convertido en una necesidad básica más que en un simple consejo.
