En pleno auge de la banca online, el comercio electrónico y la inteligencia artificial, seguimos tropezando con la misma piedra: usar contraseñas débiles y previsibles. Los últimos informes de empresas especializadas en ciberseguridad, como NordPass, Comparitech, ESET o Verizon, coinciden en una conclusión incómoda: en 2025, millones de usuarios continúan protegiendo su vida digital con claves que un atacante puede descifrar en cuestión de segundos, como muestran investigaciones sobre cómo los hackers roban contraseñas en sitios pirata.
Los datos recopilados a partir de millones de credenciales filtradas son contundentes: “123456” vuelve a situarse como la contraseña más utilizada del mundo, acompañada de variaciones igual de simples como “12345678”, “123456789” o “password”. A esta tendencia global se suma el uso masivo de “admin” como clave por defecto, especialmente en Europa y América, lo que deja a usuarios y empresas expuestos a robos de datos, intrusiones y fraudes cada vez más sofisticados.
Un año nuevo con las mismas contraseñas de siempre
Los estudios más recientes de NordPass y Comparitech señalan que “123456” repite como la credencial más popular a nivel global. En el listado de las 20 contraseñas más utilizadas en internet aparecen, una y otra vez, combinaciones mínimas como “12345”, “1234567”, “12345678”, “123456789” o “1234567890”, así como el omnipresente “password” en distintas variantes (“Password”, “P@ssw0rd”, “Pass@123”…).
Estos informes destacan además un dato especialmente preocupante: alrededor del 25% de las mil contraseñas más frecuentes están compuestas solo por números. Esto implica que, en un escenario donde existen herramientas capaces de probar millones de combinaciones por segundo, buena parte de las cuentas en línea apenas tienen una mínima capa de defensa.
En muchos casos, los usuarios eligen estas claves por pura comodidad: son fáciles de recordar en un contexto donde cada persona gestiona decenas o incluso cientos de servicios digitales. El problema es que esa comodidad se traduce en una puerta casi abierta para atacantes que se apoyan en bases de datos filtradas y ataques automatizados de fuerza bruta.
Las empresas de seguridad comparan esta práctica con cerrar la puerta de casa con una simple traba de papel o dejar el código de la caja fuerte anotado en un post‑it pegado al lateral. La metáfora puede sonar exagerada, pero encaja bastante bien con la realidad de millones de cuentas expuestas por contraseñas que se pueden adivinar más que “hackear”.
Generaciones distintas, los mismos errores con las contraseñas
Una de las conclusiones más repetidas en los informes de ESET y NordPass es que el uso de contraseñas débiles no entiende de edad ni de experiencia digital. La idea de que las generaciones más jóvenes son “nativas digitales” y, por tanto, más prudentes con su seguridad, se desmonta al analizar las listas de credenciales reales empleadas por cada grupo.
Según los datos difundidos por ESET Latinoamérica, la secuencia numérica “123456” aparece en lo alto del ranking en prácticamente todos los grupos de edad. Desde la Generación Z (nacidos entre 1997 y 2007), que combina largas cadenas de números con palabras de moda o nombres de países (“skibidi”, “pakistan123”), hasta los baby boomers y la llamada generación silenciosa, que tienden a usar nombres propios como “maria”, “susana”, “graciela” o “rodolfo”, el patrón de fondo es el mismo: claves previsibles, cortas y fáciles de probar por un atacante, por lo que es crucial proteger a las personas mayores de estos riesgos.
Entre los millennials y la Generación X, la mezcla suele pasar por combinaciones numéricas básicas y términos genéricos como “password”, “Contraseña” o secuencias tipo “1234qwer”. Aunque incorporan letras y, en ocasiones, mayúsculas, la estructura sigue resultando muy simple y figura en todas las bases de datos que utilizan las herramientas de ataque automatizado.
Como resume Camilo Gutiérrez Amaya, responsable del Laboratorio de Investigación de ESET Latinoamérica, “la costumbre de usar contraseñas débiles y evidentes no tiene límite generacional”. A efectos prácticos, un joven de 20 años y una persona de 70 acaban repitiendo el mismo error: proteger cuentas críticas con claves que cualquiera podría probar en los primeros intentos.
Este comportamiento se mantiene pese a años de campañas de concienciación y a la proliferación de incidentes mediáticos, lo que refuerza la idea de que el problema no es la falta de tecnología, sino la resistencia a cambiar hábitos muy arraigados. Mientras se habla de biometría, cifrado avanzado o autenticación sin contraseña, millones de usuarios siguen confiando su banca online a un sencillo “123456”.
Europa, España y el papel de “admin” en las contraseñas más usadas
Aunque buena parte de los informes públicos se centra en América Latina y Estados Unidos, el panorama europeo no sale precisamente bien parado. En numerosos países del continente, incluido el caso español, la palabra “admin” se ha convertido en una de las contraseñas más repetidas tanto en entornos domésticos como en servicios corporativos.
En España, los análisis citados por medios especializados apuntan a que “admin” es la clave más utilizada en muchos servicios online, por delante incluso de “123456”, que suele ocupar la segunda posición. Esta misma combinación se replica como favorita en buena parte de Europa, donde “admin” figura casi siempre entre las opciones más empleadas y, en muchos casos, se mantiene como credencial por defecto en dispositivos, routers y paneles de administración.
Solo unos pocos países europeos se desmarcan ligeramente de este patrón. Finlandia presenta como contraseña preferida “jessekissa”, una combinación de nombres que, pese a parecer más original, sigue siendo predecible al tratarse de palabras comunes. En República Checa, la clave estrella es “Heslo1234” (“Contraseña1234” en castellano), mientras que en Suiza destaca “dominaria”. En todos los casos, se repite la misma debilidad: expresiones fáciles de recordar, ligadas a la cultura local, pero igualmente vulnerables a los diccionarios de ataque.
Este uso masivo de “admin” y variantes similares pone sobre la mesa un problema estructural: muchos usuarios nunca cambian las contraseñas que vienen preconfiguradas en sus dispositivos. De este modo, cámaras de seguridad, routers domésticos, sistemas de gestión de contenidos web o paneles de control de servicios quedan expuestos con la misma clave genérica que conocen los atacantes; por eso es esencial configurar tus redes Wi‑Fi y cambiar credenciales por defecto.
En un contexto europeo donde el Reglamento General de Protección de Datos (RGPD) exige medidas adecuadas de seguridad, seguir operando con credenciales por defecto puede acarrear consecuencias legales y sanciones, sobre todo en empresas e instituciones públicas que no revisan estas configuraciones básicas.
Latinoamérica y otras regiones: la misma tendencia, más amenazas
Los informes también ponen el foco en Latinoamérica como una región especialmente expuesta. NordPass analizó países como Brasil, Chile, Colombia o México y detectó un patrón muy similar al global: listas dominadas por “123456”, “12345678”, “123456789”, “password”, “admin” y variaciones muy ligeras de todas ellas.
En el caso concreto de México, por ejemplo, las contraseñas más usadas incluyen secuencias numéricas simples y combinaciones como “admin” o “password”, además de algunas claves que mezclan nombres y fechas. Aunque en los últimos años ha crecido el uso de símbolos como “@” o números considerados de la suerte, esto no implica necesariamente mayor protección, ya que se aplican en patrones muy previsibles (“Satanas13@”, “PaSsWoRd”, variantes tipo “A1b2c3d4”…).
La situación se vuelve más delicada si se tiene en cuenta que, según ESET, el aumento de ciberamenazas en la región avanza en paralelo a la persistencia de claves débiles. Al comprometer la seguridad individual, se incrementa también el riesgo para organizaciones, administraciones públicas y sistemas críticos que dependen de las mismas malas prácticas de autenticación.
En Estados Unidos y otros mercados, los estudios muestran un escenario similar: “admin” sigue encabezando el ranking de contraseñas más usadas, acompañado de largos listados de secuencias numéricas y palabras genéricas. Aunque se observa un ligero incremento en el uso de caracteres especiales, muchas de esas combinaciones responden a esquemas ya muy conocidos por los ciberdelincuentes (“P@ssw0rd”, “Abcd@1234”, etc.).
En conjunto, los informes concluyen que la cultura de la contraseña robusta sigue siendo una asignatura pendiente en casi todas las regiones, pese a que la cantidad de servicios digitales y el valor de los datos en juego no han dejado de crecer en los últimos años.
Cuando una mala contraseña abre la puerta a un desastre: el caso del Louvre
Para ilustrar hasta qué punto una única contraseña débil puede echar por tierra un sistema sofisticado de seguridad, varios de estos reportes citan un caso que dio la vuelta al mundo: el incidente sufrido por el Museo del Louvre, en París.
En octubre de este año, la infraestructura de seguridad del emblemático museo fue comprometida porque la contraseña que protegía el sistema era simplemente “Louvre”. Este acceso trivial permitió a los atacantes entrar en la red y perpetrar el robo de joyas valoradas en más de 100 millones de dólares, dejando en evidencia que cámaras, alarmas o puertas blindadas de poco sirven si la clave digital que lo controla todo es obvia.
El ejemplo del Louvre ha sido utilizado por expertos como un recordatorio de que las grandes organizaciones tampoco están inmunizadas contra los malos hábitos de sus propios empleados. No se trata solo de usuarios domésticos que reutilizan “123456” en redes sociales, sino de instituciones con activos millonarios que siguen dependiendo de credenciales fáciles de adivinar.
Además del impacto económico directo, episodios de este tipo dañan la reputación de las entidades implicadas, generan pérdida de confianza en el público y pueden derivar en largas investigaciones y reclamaciones legales. Todo ello por una contraseña que cualquier ataque automatizado habría probado en los primeros segundos.
Este tipo de incidentes se suma a un goteo constante de filtraciones de datos en empresas de sectores como salud, educación, finanzas o tecnología, donde los informes de Verizon sitúan en torno al 70% el porcentaje de brechas ligado al uso de credenciales débiles. En muchos casos, un atacante tarda menos de un segundo en descifrar las claves involucradas; por eso es fundamental aprender a detectar correos con malware o phishing que buscan robar credenciales.
El mundo corporativo, especialmente expuesto a las contraseñas más usadas
Más allá del usuario particular, los estudios subrayan que el entorno corporativo concentra una parte muy relevante del problema. NordPass ha detectado que, en 2025, las tres contraseñas más utilizadas en empresas de todo el mundo son secuencias numéricas simples, idénticas o muy similares a las que emplean los usuarios en sus cuentas personales.
Esto significa que cuentas de acceso a paneles internos, intranets, sistemas de gestión de clientes o herramientas de trabajo en remoto siguen protegidas por claves de apenas unos pocos dígitos. En organizaciones que manejan datos sensibles de usuarios, historiales médicos, información financiera o propiedad intelectual, esa fragilidad puede derivar en pérdidas millonarias y en sanciones regulatorias importantes; entre las medidas básicas está, por ejemplo, proteger hojas de Excel con contraseñas y permisos adecuados.
Los expertos advierten de que, en las empresas, el problema se agrava cuando los empleados reutilizan la misma contraseña en distintos servicios. De este modo, una filtración en una plataforma aparentemente menor (como una herramienta de reservas, un servicio externo o una cuenta de prueba) puede convertirse en una puerta directa a sistemas críticos si se emplea la misma combinación.
Además de las pérdidas económicas, las filtraciones de datos tienen un elevado coste reputacional. Los usuarios, socios y clientes pueden perder la confianza en una entidad que no protege adecuadamente sus datos, y los reguladores europeos o nacionales pueden imponer fuertes multas si detectan falta de diligencia en las medidas de ciberseguridad.
Por eso, cada vez más organizaciones europeas y españolas están empezando a revisar sus políticas internas, implantando gestores de contraseñas corporativos, autenticación multifactor y controles periódicos de credenciales, aunque los informes muestran que todavía queda recorrido para que estas prácticas sean la norma y no la excepción.
Cómo dejar atrás las contraseñas débiles: recomendaciones clave
Aunque el panorama pueda parecer repetitivo año tras año, los especialistas insisten en que la solución está al alcance de cualquier usuario. No hace falta ser experto en informática para crear contraseñas mucho más robustas que las que aparecen en las listas negras de contraseñas más usadas.
La primera herramienta recomendada por compañías como ESET o NordPass es el uso de un generador de contraseñas aleatorias. Estas soluciones, muchas veces integradas en gestores de claves, crean combinaciones largas, complejas y únicas para cada servicio, evitando que el usuario tenga que memorizarlas una por una.
Para quienes prefieren elaborar sus propias claves, los expertos resumen una serie de pautas básicas que marcan una gran diferencia en la práctica:
- Longitud: apostar por contraseñas de al menos 12 caracteres, y, si es posible, llegar a 16 o incluso 20 en servicios especialmente sensibles.
- Complejidad: combinar mayúsculas, minúsculas, números y símbolos, evitando recurrir a palabras de diccionario o patrones obvios.
- Aleatoriedad: huir de secuencias como “123456”, “abcd”, fechas de nacimiento, nombres de familiares o equipos de fútbol, que son las primeras que prueban los atacantes.
- Diversidad: utilizar una contraseña diferente para cada cuenta, de modo que una sola filtración no abra la puerta a todos los servicios del usuario.
Además, los informes aconsejan no almacenar las contraseñas en el navegador sin ningún tipo de control, revisar periódicamente las cuentas antiguas y activar la autenticación en dos pasos siempre que sea posible. Tecnologías emergentes como las passkeys también empiezan a perfilarse como una alternativa para reducir la dependencia de las contraseñas tradicionales.
La fotografía que dibujan los datos de 2025 es clara: mientras “123456”, “admin” y sus variantes sigan encabezando las listas de contraseñas más usadas, la balanza seguirá inclinada a favor de los atacantes. Cambiar este escenario pasa por adoptar hábitos más cuidadosos, tanto a nivel personal como en empresas e instituciones, y por asumir que una contraseña robusta ya no es una opción avanzada, sino una necesidad básica de cualquier vida digital mínimamente segura.
