Las contraseñas forman parte de la vida cotidiana del mundo digital, lo normal es tener muchas contraseñas y elegir para ellas la fecha de nacimiento, de algún acontecimiento especial o números de teléfono pero, en la tendencia a simplificar, también combinaciones como ‘123456’, ‘admin’ y ‘password’.
Estas tres últimas son las contraseñas que los usuarios eligen con mayor frecuencia para proteger el acceso a sus cuentas en servicios digitales, pero dada la facilidad que ofrecen para adivinarlas, hacen justo lo contrario: poner en riesgo la seguridad de la cuenta.
El portal especializado Comparitech ha reunido las cien contraseñas más utilizadas en 2025, una tabla que han obtenido a partir de los datos agregados de más de 2.000 millones de credenciales de cuentas filtradas en canales delictivos, después de comprobar los que estaban actualizados al presente año.
En su clasificación, ‘123456’ aparece como la contraseña más usada, concretamente, en 7.618.192 cuentas analizadas. Le siguen en orden ‘12345678′, presente en 3.676.487 cuentas, y ‘123456789’, en 2.866.100 cuentas.
A continuación, llega la contraseña ‘admin’, que protege 1.987.808 cuentas. ‘password’ (1.082.010), ‘111111’ (326.154) y ‘admin123’ (306.343), son ejemplos de contraseñas débiles que se encuentran en entre las 20 más frecuentes. En último lugar, en el puesto número cien, se encuentra ‘minecraft’ (69.464).
La clasificación revela el uso de contraseñas débiles, que no suponen ningún reto para los cibercriminales porque pueden adivinarlas con facilidad. Una categoría son aquellas que solo contienen números, que suponen una cuarta parte de las mil contraseñas más comunes, según indican en el portal especializado.
También es frecuente recurrir a palabras comunes y fáciles de recordar, como ocurre con ‘admin’, ‘qwerty’ -que sigue el orden de una fila de teclas del teclado- y ‘password’. Por longitud, las contraseñas más frecuentes tienen ocho caracteres (18%), mientras que las que tienen 15 caracteres solo suponen el 7 por ciento.
Principales ataques para robar contraseñas
Los ciberdelincuentes tienen varios métodos para hacerse con las contraseñas de las cuentas de los distintos servicios digitales. Entre estas las que se apuntan desde el Instituto Nacional de Ciberseguiridad (Incibe):
Phishing, smishing y vishing. Los atacantes manipulan a las personas para que revelen información confidencial. Usan tácticas persuasivas a través de correos electrónicos, llamadas telefónicas o mensajes para engañar a los usuarios y obtener sus contraseñas.
Ataques de fuerza bruta. Los ciberdelincuentes intentan adivinar una contraseña probando diversas combinaciones hasta encontrar la correcta. Utilizan un software automatizado que realiza miles de intentos por segundo.
Ataques de diccionario: Es similar a los ataques de fuerza bruta, pero en lugar de probar todas las combinaciones posibles, los atacantes utilizan combinaciones de palabras del diccionario.
Keyloggers. Son programas maliciosos que registran las pulsaciones de teclas de un usuario sin su conocimiento.
Man in the Middle. En este caso, los ciberdelincuentes interceptan la comunicación entre dos dispositivos permitiéndoles capturar las contraseñas enviadas entre emisor y receptor.
Cómo una contraseña puede ser más segura
En la actualidad, las contraseñas no se ven como una medida de protección eficaz, y se recomienda complementarlas con un segundo factor -un código de un solo uso o una aprobación en el móvil- que evite que su robo permite el acceso a la cuenta de la víctima.
Como alternativa se está promoviendo el uso de las claves de acceso o ‘passkeys’, que solo requiere que el usuario se autentique con el rostro, la huella dactilar o un código PIN. Se basan en el estándar Fast IDentity Online 2 (FIDO2), que asegura el inicio de sesión con una clave criptográfica.
Esta clave es pública en la web y privada en la cuenta de usuario donde se almacenan (cuenta de Microsoft o de Google, por ejemplo), lo que hace que en caso de que la web sufra una brecha de seguridad, la cuenta siga estando a salvo.
Aun así, las contraseñas siguen siendo muy populares, y por ello conviene recodar que deben ser robustas, para poder cumplir su función. Para ello, hay que evitar aquellas que sean muy cortas o que puedan adivinarse con facilidad -como las que se incluyen en la clasificación de Comparitech-,así como aquellas que incluyan información personal.
Conviene que tengan una extensión mínima de ocho caracteres -mejor si son más largas-, que convienen letras en mayúscula y minúscula con números y símbolos, y que sean únicas para cada cuenta. Si cuesta recordarlas, lo mejor es usar un gestor de contraseñas, que las almacena y permite cambiarlas cuando sea necesario.
Pero además, el Incibe recomienda actualízalas regularmente, al menos cada 6 meses, para mantener la seguridad, ya que a través de distintos ataques, pueden ser vulneradas, por lo que conviene no correr ese riesgo y crear nuevas claves.
Aconseja también no reutilizarlas, es mejor crear contraseñas diferentes para cada cuenta online, de esta forma, si alguien consigue o adivina una concreta, no tendrá acceso al resto de tus servicios.
Un ejemplo para crear contraseñas distintas y más seguras
Usar reglas mnemotécnicas puede ser una manera de crear contraseñas distintas y más seguras, según se apunta desde el Incibe que propone seleccionar una frase que a la persona le sea fácil de recordar y que tenga una longitud mínima de 8 caracteres y juntar las palabras de la frase. Lo conveniente es que se ponga en mayúscula la primera letra de cada palabra, añadir un número al final de la clave e incorporar un carácter especial al principio.
En base a esta clave ‘maestra’ se pueden elaborar otras centrándose en el nombre del servicio para el que se necesita la contraseña y así se puede utilizar las dos primeras letras y se añaden al principio de la clave. Otra posibilidad es usar la primera y la última, y se añaden al principio y al final. También se pueden usar las dos últimas letras del servicio y se ponen al final en mayúsculas.
