admin123, la décima contraseña más usada del mundo: una empresa la empleó en producción. Adivinen qué pasó.
La inversión en seguridad no basta frente a la negligencia.
Una contraseña, acceso compartido y un poco de «comodidad»: eso bastó para que la empresa perdiera datos. Historia basada en la experiencia del responsable de Nomadic Soft muestra cómo la negligencia más básica anula cualquier medida de protección costosa.
El incidente fue descrito por el fundador y director ejecutivo de Nomadic Soft, Gregory Shane. Uno de los clientes de la empresa decidió simplificar el trabajo del equipo y utilizó la misma contraseña administrativa para los entornos de prueba y producción. La contraseña elegida fue predecible — admin123.
Esta opción suele aparecer en las listas de las contraseñas más comunes. Según las estadísticas del servicio NordPass, admin123 ocupa el décimo lugar entre las contraseñas populares en el mundo. La palabra admin, por separado, está en la segunda posición, y la combinación 123456 sigue siendo la más frecuente. Este tipo de conjunto se prueba fácilmente mediante ataques automatizados y suele conocerse de antemano.
La situación empeoró. La empresa fijó la contraseña en un canal de Slack para que los empleados pudieran encontrarla rápidamente. Incluso una combinación compleja en un chat público sigue siendo una mala idea: todos los participantes obtienen acceso al canal y el historial de mensajes se conserva durante meses.
Varios meses después de publicar la contraseña, un exempleado contratado accedió al sistema con una cuenta administrativa. Nadie revocó el acceso. En lugar de hacer pruebas, la persona inició acciones que llevaron al borrado completo de los datos.
La empresa gastó más de 30.000 dólares en herramientas de seguridad, pero las reglas básicas quedaron desatendidas. Como resultado, la vulnerabilidad no surgió en el código ni en la infraestructura, sino en la organización del acceso.
Shane explica el problema de forma sencilla: en los proyectos SaaS el riesgo principal suele estar relacionado no con las tecnologías, sino con el comportamiento de las personas. El deseo de simplificar el trabajo se disfraza de eficiencia y conduce a errores de ese tipo.
Tras el incidente, Nomadic Soft cambió su enfoque de gestión de accesos. La empresa introdujo el cambio obligatorio de credenciales y la separación de permisos por roles. En 3 meses, la cantidad de intentos de acceso no autorizado se redujo en un 60%.
La historia muestra un conjunto de errores concretos. Una misma contraseña para distintos entornos, el acceso compartido entre empleados y la falta de control sobre exempleados contratistas crean un camino directo hacia un incidente. La situación se corrige con medidas claras: credenciales separadas para cada entorno, permisos mínimos, desactivación oportuna de cuentas, autenticación multifactor y el paso a passkeys allí donde los sistemas admitan ese formato de acceso.