El uso de contraseñas débiles y fáciles de adivinar continúa siendo uno de los grandes puntos flacos de la seguridad digital en España. De acuerdo con los informes más recientes de NordPass y Comparitech, combinaciones tan sencillas como admin, 123456 o 12345678 siguen ocupando los primeros puestos del listado de claves más utilizadas en 2025, pese al enorme riesgo que suponen para la protección de cuentas personales y profesionales. Se trata de un hábito que se repite año tras año y que deja a millones de usuarios expuestos a fraudes, suplantaciones de identidad y accesos no autorizados.
En este escenario, ESET, compañía especializada en ciberseguridad, recuerda que las contraseñas simples continúan siendo una de las vías de entrada favoritas para los ciberdelincuentes. Los datos apuntan a que la comodidad y la costumbre de reutilizar las mismas credenciales pesan más que la protección, incluso en un contexto en el que los ataques son cada vez más avanzados, rápidos y automatizados.
Si se observan las cifras específicas de España, la situación resulta especialmente alarmante. Entre las cinco contraseñas más empleadas en 2025 vuelven a aparecer combinaciones extremadamente básicas como admin, 123456, 12345678, 123456789 o 12345. Todas ellas pueden romperse mediante ataques de fuerza bruta en apenas unos segundos. Este comportamiento demuestra que muchos usuarios siguen priorizando que la clave sea fácil de recordar, pasando por alto que son precisamente las primeras que probará un atacante.
“Las contraseñas débiles no fallan por casualidad, fallan porque son predecibles. Cuando alguien utiliza combinaciones como ‘123456’ o ‘admin’, está dejando la puerta abierta a cualquier atacante con herramientas básicas”, explica Josep Albors, director de Investigación y Concienciación de ESET España. “Además, el problema se agrava cuando esa misma contraseña se reutiliza en múltiples servicios, porque una sola filtración puede dar acceso a varias cuentas al mismo tiempo”.
Un problema que va más allá de las cuentas personales
ESET recuerda que estas malas prácticas no afectan solo a redes sociales o correos electrónicos personales. El uso de contraseñas débiles también se detecta en entornos corporativos, plataformas profesionales y servicios críticos, lo que incrementa el impacto potencial de un incidente. Una credencial comprometida puede ser el primer paso para acceder a información sensible, realizar movimientos laterales dentro de una red o desplegar ataques más graves, como ransomware o fraudes financieros.
Los estudios analizados muestran además que muchos ataques ya no dependen únicamente de la habilidad del ciberdelincuente. Herramientas automatizadas y bases de datos con millones de contraseñas filtradas permiten probar combinaciones comunes a gran escala, haciendo que las claves simples sean especialmente vulnerables.
Consejos de ESET para proteger mejor tus contraseñas
Para reducir el riesgo de sufrir un ataque, ESET recomienda adoptar una serie de hábitos básicos de seguridad digital como:
- Evitar contraseñas simples o previsibles: no utilizar secuencias numéricas, nombres comunes ni datos personales fáciles de adivinar.
- Usar contraseñas únicas para cada servicio: reutilizar claves multiplica el impacto de una posible filtración.
- Apoyarse en un gestor de contraseñas: estas herramientas generan y almacenan claves largas y complejas de forma segura.
- Activar la autenticación en dos pasos (2FA): siempre que sea posible, especialmente en correo, banca y redes sociales.
- Mantener tus dispositivos y aplicaciones actualizados: muchas brechas aprovechan vulnerabilidades conocidas.
- Desconfiar de correos o mensajes que pidan cambiar la contraseña con urgencia: pueden ser intentos de phishing.
“Mejorar la seguridad de nuestras contraseñas no requiere grandes conocimientos técnicos, sino cambiar algunos hábitos. Una contraseña robusta y la autenticación en dos pasos siguen siendo, hoy en día, una de las defensas más eficaces frente al cibercrimen”, concluye Albors.
