Guillem Alsina Gonzàlez
Quienes más, quienes menos, todos somos conscientes de que una contraseña robusta constituye una medida disuasoria para la actividad de los ciberdelincuentes, puesto que se convierte en una barrera a superar que requiere de la inversión de tiempo y recursos. Y los ciberdelincuentes saben que, por cada persona que se preocupa de tener contraseñas robustas, hay muchas más ahí afuera que no tienen esa preocupación y, por lo tanto, se convierten en objetivos más fáciles.
Un reciente informe de Cybernews revela la triste realidad de que la gran mayoría de los usuarios utilizan para sus cuentas unas contraseñas triviales, palabras en su mayoría que se encuentran en los diccionarios que los ciberdelincuentes poseen y utilizan con frecuencia, lo cual deja sus cuentas (que pueden ser personales o profesionales) comprometidas.
El estudio llevado a cabo por los profesionales de Cybernews se basa en el material filtrado a foros clandestinos por filtraciones de datos como las de Snowflake o SOCRadar.io y es, por lo tanto, parcial, aunque estimo que suficientemente ilustrativo como para concienciar un poco a todo el mundo de la necesidad de disponer de unas contraseñas fuertes y robustas que dificulten la tarea de los ciberdelincuentes.
Metodología y alcance de la investigación
En total se procesaron 213 GB de información procedente de alrededor de 200 incidentes de ciberseguridad. Aunque el volumen original superaba los 3 TB, solo se incluyeron las bases de datos que ya eran públicas y que contenían direcciones de correo electrónico vinculadas a las contraseñas. Las identidades personales fueron anonimizadas antes de destruir el conjunto de datos.
El equipo de trabajo de Cybernews dividió las contraseñas en componentes temáticos mediante listas personalizadas y automatizó el análisis, con lo que consiguió evaluar la longitud, la presencia de mayúsculas, números y símbolos, así como la frecuencia con que aparecían patrones repetidos.
El resultado más llamativo reside en la unicidad: de los 19.030.305.929 registros, apenas 1.143.815.266 eran únicos, lo que significa que solamente un 6% de las contraseñas analizadas es única y, por lo tanto, el 94% restante se repite de una u otra manera.
Dicha repetición masiva facilita los ataques de fuerza bruta (los que se basan en ir probando repetidamente contraseñas, de forma que por insistencia se acaba encontrando la que abre la cuenta) y, sobre todo, las campañas de credential stuffing, en las que se prueban millones de combinaciones robadas contra múltiples servicios hasta dar con accesos válidos.
Qué esconden las contraseñas más repetidas
La secuencia “1234” figura en casi el 4% del total, lo que equivale a unos 727 millones de claves. Alargarla a “123456” apenas mejora la situación: 338 millones de usuarios siguen confiando en ella. Los términos “password” y “admin” —típicos valores por defecto en routers y dispositivos— mantienen su lugar entre los más usados desde, al menos, 2011.
Los investigadores detectaron también un alto porcentaje de nombres propios; cruzar la lista con los cien nombres más populares de 2025 reveló que el 8% de las contraseñas contiene uno de ellos. “Ana”, por ejemplo, aparece en 178,8 millones de ocasiones, a veces como parte de palabras como “banana”. Tampoco faltan conceptos positivos (“love”, “sun”) ni referencias culturales como “Mario”, “Batman” o “Elsa”.
Incluso los términos malsonantes tienen un peso significativo. “Ass”, “fuck” o “shit” surgen con frecuencia porque los usuarios los consideran fáciles de recordar, aunque esa misma popularidad los convierte en blanco prioritario para los atacantes.
Longitud y complejidad: avances lentos, riesgo persistente
El estudio confirma que el 42% de los usuarios elige contraseñas de ocho a diez caracteres, y que la longitud mínima de ocho domina por encima de cualquier otra. Más preocupante es la composición: un 27% combina solo minúsculas y dígitos y carece de símbolos, lo que reduce drásticamente la entropía. Cerca del 20% sí mezcla mayúsculas y números, pero omite caracteres especiales.
Frente a esa inercia, se vislumbra una mejora: el 19% de las claves emplea los cuatro tipos de caracteres (minúsculas, mayúsculas, números y símbolos), frente al 1% registrado en 2022. El cambio apunta a políticas de contraseñas más estrictas en las plataformas, si bien la adopción sigue siendo lenta para el grueso de la población.
Consecuencias para las organizaciones
Cada combinación débil y repetida se convierte en un vector de entrada; los ciberdelincuentes descargan de forma continua nuevos volúmenes de datos robados y los ponen a prueba en servicios empresariales con herramientas automáticas. Aunque la tasa de éxito oscila entre el 0,2% y el 2%, la escala convierte esos porcentajes en miles de cuentas comprometidas.
Una vez dentro, los atacantes no necesitan técnicas sofisticadas para escalar privilegios. Según datos citados por Cybernews, la debilidad de las contraseñas intervino en aproximadamente el 30% de los episodios de ransomware en 2019 y su impacto se mantiene. Para cualquier organización, cada credencial mal protegida amplía la superficie expuesta a movimientos laterales y a interrupciones operativas.
Medidas recomendadas: del gestor de contraseñas a la monitorización proactiva
El informe concluye que la única forma de disminuir el riesgo pasa por varias líneas de acción simultáneas: en el plano individual, emplear un gestor de contraseñas —que genere combinaciones únicas de, al menos, 12 caracteres con mayúsculas, minúsculas, números y símbolos— aleja la tentación de reutilizar claves. Activar la autenticación multifactor añade una barrera adicional incluso si la contraseña se ve comprometida.
En el ámbito corporativo, resulta imprescindible imponer requisitos mínimos de longitud y complejidad para las contraseñas, auditar regularmente los controles de acceso y vigilar la aparición de credenciales internas en repositorios públicos.
A ello se suma la obligación de aplicar algoritmos de hashing robustos y revisar de forma continua los estándares de cifrado en tránsito y en reposo. Solo la combinación de buenas prácticas, supervisión y capacidad de respuesta inmediata puede mitigar el efecto dominó que producen las contraseñas débiles.
