- "123456" y otras secuencias numéricas encabezan de nuevo los rankings de claves más usadas en 2025.
- Un 25% de las 1.000 contraseñas más frecuentes están formadas solo por números, fáciles de romper en segundos.
- El problema afecta a todas las generaciones y también a empresas, desde usuarios particulares hasta grandes instituciones.
- Los expertos recomiendan contraseñas largas, complejas y únicas apoyadas en gestores y autenticación adicional.
Millones de personas siguen protegiendo sus cuentas con claves tan previsibles como «123456», a pesar de que desde hace años los expertos avisan de que son extremadamente fáciles de descifrar. En pleno 2025 y con los ciberataques disparados en todo el mundo, buena parte de los usuarios continúa apostando por la comodidad antes que por la seguridad.
Los últimos informes de firmas de ciberseguridad como NordPass, Comparitech y ESET coinciden en el mismo diagnóstico: las contraseñas más utilizadas apenas han cambiado y, lejos de volverse más robustas, siguen siendo cadenas numéricas sencillas o palabras obvias. Esa inercia convierte la autenticación por contraseña en un eslabón muy débil para la protección de datos personales, bancarios y corporativos.
«123456», la credencial estrella que nadie debería usar
De acuerdo con los análisis de bases de datos filtradas durante el último año, «123456» vuelve a situarse como la contraseña más utilizada en 2025 a escala global. No es una novedad: esta misma combinación encabeza o se mantiene en el podio de todos los rankings desde hace años, acompañada de variantes igual de pobres como «12345», «1234567» o «123456789».
Los especialistas de ESET comparan este hábito con «cerrar la puerta de casa con una traba de papel». Es decir, puedes tener una vivienda con la mejor alarma y cámaras, pero si la cerradura se abre con el primer intento la protección es prácticamente nula. En el mundo digital ocurre lo mismo: sistemas sofisticados se derrumban cuando la barrera es una clave trivial.
Los informes citados señalan, además, que alrededor del 25% de las 1.000 contraseñas más frecuentes están formadas únicamente por números. Secuencias consecutivas (123456, 12345678, 1234567890) o patrones de teclado sencillos permiten que un atacante las adivine en cuestión de segundos con herramientas automatizadas de fuerza bruta.
Para los ciberdelincuentes, estas combinaciones son un regalo: las pruebas empiezan precisamente por listas de contraseñas muy usadas, de modo que si un usuario mantiene una clave popular, su cuenta es uno de los primeros objetivos en caer durante un ataque masivo.
Un problema global que no entiende de edades ni de fronteras
Los datos recopilados por NordPass y Comparitech, analizados por ESET, muestran que el uso de contraseñas débiles no es exclusivo de un país o de una franja de edad. Se repite tanto en regiones como Europa y América Latina como entre jóvenes y personas mayores.
En los segmentos más jóvenes, como la Generación Z, se repiten una y otra vez las mismas claves: «12345», «123456», «12345678» o «password» siguen entre las favoritas. También aparecen términos de moda y referencias culturales, como «skibidi» o combinaciones tipo «pakistan123», que siguen siendo muy fáciles de deducir cuando se filtra una base de datos o se analizan hábitos globales.
Entre los millennials y la Generación X cambian los nombres propios, pero no el patrón: numeraciones sencillas, cadenas como «1234qwer» (una línea de teclado) y nombres de pila habituales (Verónica, Lorena, Valentina) se cuelan en lo más alto del listado. En muchos casos, se trata de claves asociadas a correos, redes sociales o servicios en la nube con gran volumen de información personal.
Los baby boomers y generaciones más veteranas tampoco mejoran el panorama. Son frecuentes contraseñas con nombres propios (como «maria», «graciela», «susana» o «monica»), acompañados o no de números sencillos. Para un atacante, probar con nombres comunes combinados con fechas y secuencias numéricas es uno de los primeros pasos de cualquier intento de acceso no autorizado.
Como resume el laboratorio de investigación de ESET, un nativo digital que ha crecido conectado repite el mismo mal hábito que una persona de 70 años que utiliza el móvil principalmente para llamar o enviar mensajes. El supuesto mayor conocimiento tecnológico de los más jóvenes no se traduce necesariamente en contraseñas más robustas.
Latinoamérica y Europa: entre la baja conciencia y el aumento de amenazas
Los expertos sitúan especial atención en regiones como América Latina, donde el auge de ciberamenazas se combina con una cultura de seguridad todavía insuficiente. El resultado es un escenario en el que las contraseñas débiles no solo comprometen a cada individuo, sino que incrementan la exposición de todo el entorno digital regional.
Usar una clave fácil afecta a algo más que a la cuenta personal. Un ataque que consigue acceso a un solo perfil puede utilizarse como puerta de entrada a contactos, empresas y servicios vinculados, multiplicando el impacto del incidente. Por eso, los analistas alertan de que el uso masivo de contraseñas poco trabajadas contribuye a la vulnerabilidad general frente a ataques coordinados.
En el caso europeo, los informes también detectan una fuerte dependencia de claves numéricas sencillas y palabras cotidianas, incluso en servicios de banca online o plataformas corporativas críticas. El alto nivel de digitalización de países de la Unión Europea hace que este tipo de malas prácticas suponga un riesgo significativo para infraestructuras y empresas.
Las autoridades y organismos especializados, como el Instituto Nacional de Ciberseguridad (INCIBE) en España, llevan tiempo insistiendo en la necesidad de fortalecer las credenciales, pero la realidad de los datos filtrados indica que todavía queda un amplio margen de mejora en cuanto a concienciación y hábitos cotidianos.
Para los atacantes, este contexto mixto —más servicios digitales y claves débiles— es un entorno ideal: basta automatizar ataques masivos con listas de contraseñas populares para obtener un porcentaje de accesos exitosos sin apenas esfuerzo.
Cuando una mala contraseña tumba todo un sistema: el caso del Louvre
Uno de los ejemplos que más ha llamado la atención en los últimos meses es el del museo del Louvre, en París. A pesar de tratarse de una institución emblemática con elevadas medidas de seguridad física y tecnológica, su sistema fue vulnerado a través de una credencial tan obvia como su propio nombre.
La contraseña utilizada para acceder a la red interna era simplemente «Louvre». Esta elección, extremadamente predecible, sirvió de punto de entrada para los atacantes, que consiguieron comprometer la infraestructura de seguridad, acceder a zonas restringidas y facilitar el robo de joyas valoradas en más de 100 millones de dólares.
El incidente evidencia que, por sofisticado que sea un sistema de cámaras, alarmas y puertas blindadas, basta con una única clave mal elegida para derribarlo. En términos de ciberseguridad, la defensa es tan resistente como su eslabón más frágil, y la contraseña suele ser precisamente ese punto débil.
Casos como este sirven de aviso también para empresas y organismos europeos: grandes inversiones en tecnología pueden verse arruinadas si se permiten contraseñas simples, basadas en el nombre de la organización, del departamento o en números secuenciales. La seguridad integral exige revisar y endurecer también la gestión de credenciales.
Los informes corporativos revisados por ESET apuntan a que, en distintos sectores (salud, finanzas, educación, tecnología), las tres contraseñas más empleadas en muchas organizaciones siguen formadas solo por números. Ese tipo de claves, presentes año tras año en los listados de malas prácticas, pueden ser descifradas en menos de un segundo con herramientas automatizadas.
Impacto en empresas: filtraciones, dinero y reputación en juego
El uso de claves débiles no es solo un problema doméstico. En el ámbito corporativo, las consecuencias pueden ser mucho más serias: desde el robo de datos de clientes hasta la paralización de servicios o el chantaje económico en forma de ransomware.
Según datos citados por expertos de ESET, alrededor del 70% de las filtraciones de información en empresas están relacionadas con contraseñas poco seguras gestionadas por empleados o colaboradores. Muchas fugas comienzan con el acceso a una sola cuenta (correo, panel de administración, VPN interna) protegida con una combinación sencilla.
Una vez dentro, los atacantes pueden desplazarse lateralmente por la red, escalar privilegios y acceder a bases de datos, sistemas de pago o documentación sensible. La pérdida económica directa y el daño reputacional derivado de estos incidentes pueden tardar años en repararse, si es que llegan a hacerlo.
La realidad es que, en demasiadas compañías, las políticas de contraseñas no se revisan con la frecuencia necesaria. Se permiten claves estáticas durante años, sin requisitos de longitud ni complejidad, y en ocasiones se comparten credenciales entre equipos para «ganar tiempo», lo que aumenta el riesgo de filtraciones internas y externas.
Los especialistas recomiendan que las organizaciones en España y el resto de Europa establezcan normas claras: contraseñas largas, rotación periódica —rotación periódica—, prohibición de reutilizar claves personales y obligatoriedad de autenticación en dos pasos
Las contraseñas favoritas por generaciones: un patrón que se repite
Los rankings elaborados a partir de grandes colecciones de credenciales filtradas permiten ver con claridad cuáles son las claves más repetidas según la generación. Aunque cambian algunos detalles, el patrón de fondo es casi siempre el mismo: facilidad ante todo.
Entre la Generación Z, por ejemplo, aparecen con frecuencia «12345», «123456», «12345678», «123456789» y «1234567890», acompañadas de términos como «password», «skibidi» o expresiones combinadas con un país. Son claves que, aunque puedan parecer originales a nivel individual, se repiten en masa cuando se analizan millones de cuentas.
En el caso de los millennials, los expertos detectan secuencias similares: «123456», «123456789» y «1234567890» continúan en lo alto del listado, a las que se suman patrones de teclado como «1234qwer» o la palabra «Contraseña» escrita tal cual. Muchas de estas credenciales se utilizan tanto en servicios de ocio como en accesos laborales.
La Generación X y los baby boomers se inclinan a menudo por numeraciones básicas y nombres propios. Aparecen con fuerza «12345», «123456», «1234567» y «123456789», pero también nombres como «veronica», «lorena», «valentina», «maria», «susana», «silvia» o «claudia». Basta con que un atacante conozca un par de datos personales para acotar rápidamente las combinaciones posibles.
En todas estas franjas de edad, la conclusión es similar: los usuarios priorizan recordarlas con facilidad, aunque eso signifique dejar la puerta casi abierta. La mayoría subestima el valor de la información almacenada en sus cuentas y el nivel de automatización que manejan hoy los ciberdelincuentes.
Qué hace que una contraseña sea realmente segura
Frente a este panorama, los especialistas coinciden en varios principios básicos que permiten transformar una clave débil en una barrera mucho más robusta. No se trata de complicar la vida al usuario sin sentido, sino de aumentar el tiempo y el esfuerzo necesarios para que un atacante pueda adivinarla.
Uno de los factores clave es la longitud. Las contraseñas más largas ofrecen una superficie de ataque mucho más amplia y requieren infinitamente más intentos en ataques de fuerza bruta. Los expertos recomiendan usar al menos 12 caracteres, aunque, siempre que sea posible, conviene superar esa cifra.
La complejidad también resulta decisiva. Combinar letras mayúsculas y minúsculas, números y símbolos especiales (como @, #, $, _ o similares) multiplica el número de combinaciones posibles. De este modo, una contraseña bien diseñada se vuelve exponencialmente más difícil de adivinar que una basada solo en letras o solo en números.
Igual de importante es la aleatoriedad. Los patrones previsibles (fechas de nacimiento, nombres de familiares, secuencias como «123456» o «abcd») reducen mucho el espacio de búsqueda. Por eso se aconseja evitar términos que puedan relacionarse con la información personal visible en redes sociales o en búsquedas rápidas en Internet.
Finalmente, los expertos insisten en la diversidad de contraseñas: no repetir la misma clave en varias cuentas. Si una plataforma sufre una brecha de datos y los atacantes obtienen esa contraseña, cualquier otro servicio en el que se haya reutilizado queda automáticamente expuesto.
Recomendaciones prácticas para usuarios en España y Europa
Para los usuarios particulares, especialmente en entornos muy digitalizados como España y otros países europeos, los organismos de ciberseguridad sugieren adoptar una serie de hábitos básicos que pueden reducir de forma drástica el riesgo de intrusiones.
En primer lugar, se aconseja crear contraseñas largas, de al menos 12 caracteres, combinando letras en mayúscula y minúscula, números y signos especiales. Un buen truco es partir de una frase fácil de recordar para la persona y transformarla en una secuencia aparentemente aleatoria para cualquier tercero.
También conviene usar contraseñas distintas para cada servicio importante: banca online, correo electrónico principal, redes sociales, almacenamiento en la nube y plataformas laborales. De esta manera, una filtración puntual no arrastrará el resto de cuentas.
Otra recomendación recurrente es modificar las claves periódicamente, al menos cada seis meses en servicios sensibles, o de inmediato en cuanto haya sospechas de filtración o actividad extraña en una cuenta. Esta rotación dificulta que un atacante pueda aprovechar credenciales antiguas.
Por último, los expertos aconsejan activar siempre que sea posible la autenticación en dos pasos (2FA), ya sea mediante aplicaciones específicas, mensajes SMS o llaves físicas. Incluso si alguien consigue la contraseña, este segundo factor puede bloquear el acceso no autorizado.
Gestores y generadores de contraseñas: aliados cada vez más necesarios
Una de las razones por las que muchos usuarios se resisten a usar claves complejas es el miedo a olvidarlas. Frente a eso, las soluciones recomendadas por los expertos pasan por apoyarse en gestores y generadores de contraseñas que se encargan de recordar y proteger estas combinaciones; por ejemplo, técnicas para recordar la contraseña sin sacrificar seguridad.
Los gestores de contraseñas permiten almacenar de forma cifrada todas las credenciales en un único lugar, accesible con una clave maestra fuerte. Muchos navegadores y teléfonos móviles incorporan ya sistemas de este tipo, capaces de sugerir claves robustas y rellenarlas automáticamente en los inicios de sesión.
Complementariamente, los generadores de contraseñas crean combinaciones largas y aleatorias en cuestión de segundos, evitando caer en patrones repetitivos o en palabras de diccionario. Herramientas de este tipo, algunas disponibles de manera gratuita, ayudan a construir barreras difíciles de romper sin necesidad de que el usuario tenga que inventarlas por sí mismo.
Los especialistas subrayan que el paso más sencillo para mejorar la seguridad pasa por dejar atrás claves como «123456» o «password» y sustituirlas por combinaciones generadas y guardadas en estos sistemas. Es un cambio de costumbre que, una vez implementado, apenas supone esfuerzo adicional.
Para quienes prefieren seguir creando sus propias claves, se recomienda aplicar siempre los principios básicos: longitud suficiente, variedad de caracteres, ausencia de datos personales identificables y no reutilización entre servicios.
En un entorno en el que «123456» sigue apareciendo como la contraseña más usada en 2025 y una parte notable de los usuarios continúa confiando en secuencias numéricas simples, reforzar las credenciales ya no es una opción, sino una necesidad básica de autoprotección. Tanto en el ámbito personal como en el empresarial, abandonar las claves previsibles y apostar por contraseñas largas, complejas y únicas marca la diferencia entre ser un objetivo fácil o contar con una primera línea de defensa mucho más resistente frente a los ciberdelincuentes.
