Guillem Alsina Gonzàlez
Elegir contraseñas débiles y predecibles continúa siendo uno de los principales problemas de la ciberseguridad en España. Según los últimos estudios publicados por NordPass y Comparitech, en 2025 vuelven a aparecer en los primeros puestos del ranking, claves ampliamente conocidas por su sencillez, como “admin”, “123456” o “12345678”. La repetición de estas combinaciones año tras año mantiene expuestos a millones de usuarios a fraudes, robos de identidad y accesos no autorizados.
En paralelo a esos resultados, la compañía de ciberseguridad ESET advierte que el uso de contraseñas simples sigue funcionando como una de las puertas de entrada más habituales para el cibercrime. Señalan que, pese a la evolución de los ataques hacia técnicas más sofisticadas y automatizadas, persiste un patrón básico: la comodidad y la reutilización de credenciales entre distintos servicios se imponen con frecuencia a la seguridad.
Los datos específicos de España refuerzan esa tendencia, ya que entre las cinco contraseñas más utilizadas en 2025 se repiten combinaciones extremadamente básicas.Todas ellas, según ESET, son vulnerables a ataques de fuerza bruta, un método que prueba de forma sistemática múltiples combinaciones hasta dar con la correcta. Desde la firma subrayan que, al tratarse de claves previsibles, son también las primeras que los atacantes intentan con herramientas básicas y procesos automatizados.
Josep Albors, director de Investigación y Concienciación de ESET España explica: “Las contraseñas débiles no fallan por casualidad, fallan porque son predecibles. Cuando alguien utiliza combinaciones como ‘123456’ o ‘admin’, está dejando la puerta abierta a cualquier atacante con herramientas básicas. Además, el problema se agrava cuando esa misma contraseña se reutiliza en múltiples servicios, porque una sola filtración puede dar acceso a varias cuentas al mismo tiempo”.
Desde ESET insisten en que estas prácticas no se limitan a redes sociales o al correo electrónico personal, también se detectan en entornos corporativos, plataformas profesionales y servicios considerados críticos, lo que amplifica el alcance potencial de un incidente. Una credencial comprometida puede ser el primer paso para llegar a información sensible, facilitar desplazamientos dentro de la red de una organización o servir de base para ataques de mayor gravedad, como ransomware o fraudes financieros. La compañía advierte de que una sola credencial expuesta puede actuar como punto de partida para incidentes con impacto operativo y económico.
Ante este panorama, la recomendación de ESET es la de mejorar la protección de las cuentas con prácticas que no exijan conocimientos avanzados, sino cambios sostenidos en hábitos cotidianos. Entre las pautas que recomienda figura evitar contraseñas previsibles (como secuencias numéricas, nombres comunes o datos personales fáciles de deducir) y, sobre todo, utilizar una contraseña distinta para cada servicio, con el objetivo de limitar el efecto dominó que provoca una filtración.
La compañía también propone apoyarse en un gestor de contraseñas, herramientas diseñadas para generar y almacenar claves largas y complejas de forma segura, y activar la autenticación en dos pasos (2FA) siempre que sea posible, con especial atención a servicios como el correo, la banca y las redes sociales.
A estas medidas se les suma la conveniencia de mantener dispositivos y aplicaciones actualizados, dado que muchas brechas aprovechan vulnerabilidades conocidas, y extremar la cautela ante correos o mensajes que reclamen cambios urgentes de contraseña, un patrón habitual en intentos de phishing. El mensaje final de ESET es que la mejora depende menos de la complejidad técnica y más de consolidar hábitos que reduzcan la previsibilidad y la reutilización.
