Un nuevo análisis de casi 19 mil millones de contraseñas filtradas entre 2024 y principios de 2025 muestra que la seguridad de las contraseñas entre los usuarios sigue siendo extremadamente pobre. Los investigadores encontraron que alrededor del 94 por ciento de las contraseñas en el conjunto de datos se reutilizaron o duplicaron en varias cuentas. Solo alrededor del seis por ciento eran únicos.
Revelaron study que los usuarios continúan confiando en patrones simples, longitudes cortas y secuencias predecibles. Las contraseñas más comunes incluían “123456”, “123456789”, “contraseña” y “qwerty”, todas las cuales han aparecido constantemente en la parte superior de las listas globales de violación de contraseñas durante más de una década. Los expertos señalan que tales contraseñas se pueden descifrar en segundos con herramientas automatizadas.
Según el informe, alrededor del 42 por ciento de todas las contraseñas analizadas tenían entre ocho y diez caracteres, siendo ocho la longitud más común. Aproximadamente el 27 por ciento contenía solo letras minúsculas y números, lo que ofrecía poca resistencia a los ataques de adivinación automatizados. A pesar de años de campañas de concientización pública, los usuarios continúan priorizando la conveniencia y la memorabilidad sobre la fuerza de seguridad.
Los investigadores también encontraron que muchas contraseñas combinan información personal como nombres, cumpleaños o equipos deportivos. Estos patrones hacen que las cuentas sean aún más vulnerables, ya que los atacantes a menudo usan métodos basados en diccionarios que prueban primero los nombres comunes y las combinaciones numéricas. Las contraseñas que contienen datos personales a menudo se ven comprometidas en las primeras etapas de los intentos de fuerza bruta, dejando las cuentas expuestas.
Las contraseñas débiles persisten
Los analistas atribuyen la continua dependencia de contraseñas débiles al hábito y la fatiga más que a la ignorancia. Muchos usuarios subestiman la probabilidad de ser atacados directamente, asumiendo que los atacantes se centran solo en las grandes organizaciones. Otros confían en contraseñas similares en todos los servicios porque temen olvidarlas. Sin embargo, la reutilización de credenciales sigue siendo uno de los riesgos de ciberseguridad más dañinos, ya que una cuenta violada puede desbloquear muchas otras.
El estudio advierte que este patrón permite a los atacantes lanzar campañas de “relleno de credenciales”, en las que las contraseñas de una violación se prueban automáticamente en varios sitios web. Esta técnica se usa ampliamente para comprometer cuentas de correo electrónico, bancarias y redes sociales. Las contraseñas débiles o reutilizadas hacen que sea mucho más fácil para los delincuentes tener éxito sin necesidad de eludir controles de seguridad más avanzados.
Los expertos recomiendan varios pasos prácticos para los usuarios. Primero, cada cuenta debe tener una contraseña única que sea larga y compleja, idealmente de al menos doce caracteres. Las contraseñas deben incluir letras mayúsculas y minúsculas, números y caracteres especiales. En segundo lugar, los usuarios deben habilitar la autenticación multifactor siempre que esté disponible, agregando una capa adicional de protección incluso si la contraseña es robada.
Los administradores de contraseñas también se recomiendan encarecidamente para crear y almacenar credenciales seguras. Estas herramientas generan combinaciones aleatorias que son casi imposibles de adivinar y eliminan la necesidad de recordar varias cadenas largas. Además, los servicios que notifican a los usuarios cuando sus datos aparecen en una infracción conocida pueden ayudar a reducir la exposición al solicitar cambios de contraseña oportunos.
Los investigadores señalan que muchas infracciones se derivan del comportamiento humano más que de fallas del sistema. Las contraseñas simples y repetitivas continúan apareciendo en los conjuntos de datos cada año, lo que demuestra que la conciencia por sí sola no es suficiente para cambiar los hábitos. Los expertos argumentan que la educación consistente, junto con una mejor integración de los administradores de contraseñas y las alertas de seguridad automáticas, podría ayudar a cambiar los patrones de usuario de larga data.
Los datos de 2025 demuestran que la reutilización y la simplicidad de las contraseñas siguen siendo las principales debilidades de la seguridad en línea. Aunque las empresas continúan invirtiendo en sistemas de autenticación más sólidos, las personas deben asumir una mayor responsabilidad para proteger sus propias cuentas. Sin un cambio de comportamiento significativo, es probable que las mismas contraseñas débiles también dominen los informes de infracciones futuras.