Contraseña "1234": cuando uno mismo le entrega a los hackers un pase VIP a su vida

Durante el último año, varios incidentes de alto perfil, incluidos los ataques a Snowflake y la filtración de datos de SOCRadar.io, han dado a los ciberdelincuentes acceso a miles de millones de cuentas. El equipo de investigación de Cybernews llevó a cabo un análisis a gran escala de los datos comprometidos para identificar las principales tendencias en la creación de contraseñas en 2025. Las conclusiones no son alentadoras…

“Nos enfrentamos a una epidemia masiva de reutilización de combinaciones de caracteres poco seguras. Solo el 6 % de las contraseñas pueden considerarse únicas, lo que convierte a las cuentas en un blanco fácil para los ataques de diccionario. Para la mayoría de los perfiles, la única línea de defensa es la autenticación de dos factores, y eso solo si está activada”, señala Neringa Macijauskaitė, especialista en seguridad de la información de Cybernews.

Los expertos analizaron datos de unas 200 filtraciones, incluidas bases de datos de malware y listas combinadas de accesos que aparecieron en la red desde abril de 2024. El volumen total de información procesada superó los 19 mil millones de registros, de los cuales solo 1,14 mil millones resultaron ser únicos.

Durante el tratamiento del material, los especialistas aplicaron un enfoque integral que combinó técnicas de OSINT, ciberinteligencia y automatización técnica. El equipo también desarrolló diccionarios especiales para clasificar los elementos y utilizó scripts en Python y Bash para evaluar la longitud, la composición de caracteres y el uso de signos especiales.

El conjunto de datos original ocupaba más de 3 terabytes y contenía información capaz de facilitar el robo de cuentas o de identidad. Tras un proceso riguroso de filtrado y anonimización, el volumen se redujo a 213 gigabytes. Los investigadores destacan que los atacantes acceden no solo a las frases secretas, sino también a los correos electrónicos asociados y otros datos personales.

El análisis mostró que el 42 % de los propietarios de cuentas optan por secuencias de protección de 8 a 10 caracteres, siendo las de ocho dígitos las más populares. Casi un tercio (27 %) de los códigos está compuesto exclusivamente por letras minúsculas y números. La combinación numérica "1234", como era de esperarse, se utiliza en 727 millones de casos, y su versión extendida "123456" aparece en 338 millones de registros.

“El uso de valores estándar sigue siendo uno de los problemas más graves. Las combinaciones ‘password’ y ‘admin’ aparecen en 56 y 53 millones de casos, respectivamente, lo que indica una adopción masiva de opciones simples y predecibles”, explica Macijauskaitė.

Muchos usuarios no cambian las configuraciones predeterminadas de los dispositivos o replican intencionalmente combinaciones similares para otros servicios.

Los nombres propios ocupan el segundo lugar entre los componentes más comunes de las frases de seguridad. Al comparar la base de datos con la lista de los cien nombres más populares de 2025, los analistas descubrieron que se incluyen en el 8 % de las contraseñas. El nombre Ana lidera el ranking con casi 179 millones de apariciones, aunque parte de esas coincidencias se debe a su presencia en otras palabras (por ejemplo, "banana" se utilizó 3,7 millones de veces).

Al crear contraseñas, las personas recurren con frecuencia a conceptos positivos. La palabra "love" figura en 87 millones de registros, "sun" en 34 millones, "dream" en 6,1 millones, "joy" en 6,9 millones y "freedom" en 2 millones de casos. La cultura pop también influye en las decisiones: Mario aparece en 9,6 millones de combinaciones, Batman en 3,9 millones, Thor en 6,2 millones y Elsa, la heroína de Frozen, en 2,9 millones.

Las buenas y viejas palabrotas siguen estando de moda. El término "ass" se encontró en 165 millones de variantes, en parte debido a su aparición en "pass" y "password". También se encontraron ejemplos más explícitos como "fuck" (16 millones), "shit" (6,5 millones), "dick" y "bitch" (3,2 millones cada una).

Muchos hallan inspiración en la naturaleza y la geografía. Roma se menciona en 13 millones de combinaciones. Entre los animales, el león lidera con 9,8 millones, seguido del zorro con 7,8 millones. El verano aparece en 3,8 millones de códigos, y el lunes es el día de la semana más popular (0,8 millones).

Entre los meses, mayo lidera con 28 millones de menciones, seguido de abril con 5,2 millones. Las preferencias gastronómicas también se reflejan en las estadísticas: "tea" se usa en 36 millones de casos, "apple" en 10,7 millones, "rice" en 4,9 millones, "orange" en 3,6 millones y "pizza" en 3,3 millones de combinaciones de seguridad.

Entre los nombres comerciales, Google encabeza con 25,9 millones de menciones, seguido de Facebook (18,7 millones) y Kia (12,7 millones). El ámbito profesional está representado por palabras como "boss" (10 millones), "hunter" (6,6 millones) y "cook" (4,2 millones). De los estados estadounidenses, los más frecuentes son Carolina (1,9 millones), Dakota (1,2 millones) y Texas (1,1 millones).

Hay, por supuesto, una buena noticia: en los últimos años se han observado mejoras en los enfoques de protección de datos. Si en 2022 solo el 1 % de las frases secretas contenía todos los tipos de caracteres (mayúsculas, minúsculas, números y símbolos especiales), ahora esa cifra ha alcanzado el 19 %. Sin embargo, los expertos advierten sobre un peligro importante: reutilizar las mismas combinaciones crea un efecto dominó evidente: si se compromete una cuenta, se abren las demás.

Los delincuentes emplean herramientas automatizadas para verificar masivamente logins y contraseñas robadas en distintas plataformas. Aunque parezcan ineficaces, estas campañas tienen una tasa de éxito de entre el 0,2 % y el 2 %, lo cual las hace bastante rentables. Al revisar millones de credenciales, pueden acceder a miles de cuentas.

Según Enzoic, las contraseñas débiles fueron responsables del 30 % de las infecciones por ransomware en 2019, y el problema sigue vigente hasta hoy. Una vez dentro del sistema, los atacantes a menudo no necesitan conocimientos técnicos adicionales: rápidamente elevan privilegios e instalan malware, lo que provoca interrupciones operativas y pérdidas económicas.

Para protegerse, los analistas recomiendan usar gestores de contraseñas, crear combinaciones únicas de al menos 12 caracteres con todo tipo de símbolos y activar la autenticación multifactor. A las organizaciones se les aconseja realizar auditorías de seguridad periódicas, monitorear las filtraciones en tiempo real y aplicar algoritmos modernos de hashing. Se debe prestar especial atención al control de accesos y a las políticas de seguridad, exigiendo el uso de contraseñas complejas de al menos 16 caracteres. En fin, lo de siempre.