La mitad de internet vive bajo la contraseña «Password1». La otra ya ha sido hackeada

En un nuevo análisis basado en el estudio de 10 millones de contraseñas realmente comprometidas, los especialistas de Specops demostraron cuán vulnerables siguen siendo las redes corporativas debido al factor humano. Todas las contraseñas fueron tomadas de un conjunto de más de mil millones de filtraciones. El resultado fue alarmante: solo el 1,5% de todas las contraseñas analizadas pueden considerarse «seguras».

Los criterios para esta clasificación fueron estrictos: se consideraba segura una contraseña con una longitud de al menos 15 caracteres y que incluyera al menos dos tipos diferentes de símbolos —por ejemplo, letras y números—. Esta longitud no fue elegida al azar: cada carácter adicional multiplica exponencialmente el número de combinaciones posibles. Por ejemplo, una contraseña de 15 letras minúsculas tiene 1,7 quintillones de combinaciones posibles. Agregar solo un carácter más incrementa el número de combinaciones casi 26 veces, y al usar todos los símbolos posibles (letras, números y caracteres especiales), el número total llega a 2,25 octillones. Incluso los sistemas potentes con GPU no pueden procesar tal volumen en un futuro previsible.

Mapa de calor. Longitud vs. complejidad de contraseñas (Specops)

A pesar de estas cifras, los usuarios siguen optando por combinaciones cortas y simples. El tipo más común de contraseña es de 8 caracteres con dos tipos de símbolos (por ejemplo, letras y números), representando el 7,9% de todas las contraseñas. Le siguen las contraseñas de igual longitud, pero con solo un tipo de carácter, que representan el 7,6%. Las contraseñas de hasta 8 caracteres en general constituyen la abrumadora mayoría y pueden ser vulneradas en cuestión de horas.

El análisis mostró que solo el 3,3% de las contraseñas superaban los 15 caracteres. Esto indica que la política de creación de contraseñas en muchas organizaciones no está bien regulada o simplemente se ignora. Sin embargo, incluso un pequeño aumento en longitud incrementa drásticamente la resistencia al ataque: añadir cuatro caracteres a una contraseña de 12 cifras multiplica el esfuerzo necesario en 78 millones de veces.

El estudio también destaca la tendencia a la baja complejidad. Más de la mitad de las contraseñas analizadas contenían como máximo dos tipos de símbolos. Aunque las recomendaciones modernas (por ejemplo, de NIST) se centran más en la longitud, agregar un tercer o cuarto tipo de símbolo también fortalece significativamente la contraseña. Sin embargo, la longitud sigue siendo el factor clave: de 16 a 20 caracteres ofrecen mejor protección que contraseñas cortas, aunque sean más complejas.

Para aumentar la seguridad, se recomienda pasar de contraseñas tradicionales a frases con sentido. Combinaciones largas pero fáciles de recordar como «SunsetCoffeeMaroonReview» son mucho más seguras y cómodas que cadenas como «!x9#A7b!». Este enfoque reduce errores de ingreso, solicitudes al soporte técnico y el agotamiento por los cambios frecuentes de contraseña.

Las principales amenazas asociadas con contraseñas débiles siguen siendo las mismas.

• Facilidad de hackeo: combinaciones cortas son fácilmente vulneradas mediante ataques automatizados, especialmente con el uso de GPU y botnets.
• Reutilización: una contraseña comprometida suele dar acceso a múltiples sistemas.
• Incumplimiento de normativas: contraseñas débiles violan reglamentos como GDPR, HIPAA y PCI DSS, lo que conlleva multas, auditorías y pérdida de reputación.

Además, incluso una buena implementación de hashing no compensa la debilidad de la propia contraseña: si la base de datos es robada y la contraseña es fácilmente descifrable, ni la sal ni los algoritmos protegerán los datos.

Las conclusiones del estudio llevan a una verdad simple: las contraseñas débiles siguen estando por todas partes. Solo una política integral que controle la longitud, complejidad, unicidad y renovación periódica puede proteger eficazmente la infraestructura corporativa frente a ataques básicos. Y, según las estadísticas, la mayoría de las empresas aún tiene mucho por mejorar en esta área.