Redacción Digital Inside España
La nueva investigación de NordPass sitúa el foco en cómo los formularios de registro y cambio de contraseña influyen en el comportamiento de millones de internautas. Tras revisar las 1.000 páginas con más visitas del mundo, la conclusión es que los sitios más populares facilitan la creación de contraseñas débiles por lo que no exigen más que por lo que piden. La compañía observa que la comodidad prevalece y que, al aceptar combinaciones simples, se consolida un hábito que rebaja la protección de cuentas en todos los sectores.
La falta de uniformidad es el eje del problema. En un portal se solicita una clave extensa y compleja; en otro, una secuencia elemental puede bastar. La ausencia de criterios homogéneos entre plataformas acaba por rebajar el listón de seguridad en internet. NordPass subraya que el ecosistema digital ha transmitido durante años pautas que no ayudan al usuario a protegerse y que el diseño de los procesos (con reglas claras, indicadores visuales y autenticación moderna) debe orientar hacia hábitos más seguros.
Los datos del estudio dibujan esa incoherencia. De las páginas analizadas, el 61% solicita establecer una contraseña, pero ninguna aplica de forma completa los estándares del NIST ni los propios de NordPass. La mayoría de las webs no exige caracteres especiales y una parte significativa ni siquiera fija una longitud mínima, lo que abre la puerta a combinaciones previsibles. Solo el 1% obliga simultáneamente a utilizar contraseñas largas y complejas con mayúsculas, símbolos y números, mientras que el 11% no impone requisito alguno. La investigación añade que los sectores con información especialmente sensible (administración pública, salud y alimentación y bebidas) son los que registran peores resultados en la aplicación de medidas básicas.
Más allá de la contraseña, el informe examina la autenticación disponible en estos servicios. La adopción de métodos modernos es limitada: el 39% ofrece inicio de sesión único (SSO), principalmente mediante Google, y apenas el 2% admite claves de acceso (passkeys), una alternativa sin contraseña respaldada por la FIDO Alliance. En el extremo opuesto, solo cinco páginas (bahn.de, cuisineaz.com, fedex.com, interia.pl y ups.com) cumplen los criterios estrictos definidos por NordPass y el NIST. La lista es corta y confirma que la estandarización aún no ha llegado al grueso de la web.
Las implicaciones operativas afectan de lleno a empresas y administraciones. El uso extendido de contraseñas débiles amplifica el riesgo para personas y organizaciones y favorece ataques automatizados como la fuerza bruta o el relleno de credenciales. En un contexto en el que aumentan las filtraciones de datos y se generalizan herramientas de ataque, la calidad de la contraseña pasa de detalle accesorio a primera línea de defensa. Si los referentes de tráfico no elevan su exigencia, los servicios de menor tamaño difícilmente lo harán, prolongando un círculo que retrasa la adopción de estándares más robustos.
NordPass plantea que la respuesta no debe descansar solo en recomendaciones al usuario. Según la empresa, los propietarios de sitios pueden orientar el comportamiento mediante un diseño que guíe, con reglas comprensibles durante el alta y el cambio de contraseña, indicadores que evalúen la fortaleza en tiempo real y la incorporación de autenticación moderna (por ejemplo, claves de acceso) cuando proceda. El objetivo es invertir una tendencia cultural que, a juicio de la compañía, ha normalizado el mínimo esfuerzo para credenciales que protegen activos críticos.
En el plano práctico, los responsables de TI y de compras tecnológicas se encuentran con un panorama heterogéneo que complica la gestión del riesgo. Las políticas corporativas pueden verse desbordadas si las aplicaciones clave no refuerzan sus propios controles. Ante esa realidad, resultan determinantes medidas como exigir parámetros mínimos al integrar servicios de terceros, evaluar la disponibilidad de SSO y passkeys en las soluciones candidatas y priorizar, en los pliegos y contratos, plataformas con requisitos alineados con marcos reconocidos. Mientras la web pública no converja hacia criterios comunes, las organizaciones deberán compensar con gobernanza y selección de proveedores.
La muestra incluye 1.000 sitios elegidos a partir del listado de páginas con más visitas según las estimaciones de tráfico orgánico de Ahrefs en febrero de 2025. Sobre esa base, NordPass verificó qué métodos de autenticación ofrecía cada página y cuáles eran sus requisitos de contraseña. Los datos reflejan el estado de los sitios entre el 26 de febrero y el 6 de marzo de 2025, por lo que las conclusiones corresponden a ese periodo concreto.
