¿Cuál es la contraseña más utilizada en el mundo?

Según la encuesta anual de NordPass, "123456" ha mantenido el primer puesto durante más de una década. Las razones principales son que las teclas numéricas están ordenadas de izquierda a derecha y es la respuesta más corta al requisito de "mínimo 6 caracteres" de muchos servicios.

¿Es segura la sustitución de caracteres como "P@ssw0rd"?

No, no es segura. Las sustituciones leet speak como a por @ y o por 0 están integradas en las herramientas de ataque estándar. Todas las variaciones de "password" se prueban en minutos, así que el tiempo de descifrado apenas aumenta. Usa cadenas aleatorias o frases de paso.

¿Qué es una frase de paso?

Una frase de paso es una contraseña creada combinando cuatro o más palabras aleatorias, como "correct horse battery staple." Es más fuerte que una contraseña aleatoria de 8 caracteres y más fácil de recordar. Es ideal para la contraseña maestra del gestor de contraseñas.

Salón de la vergüenza de las peores contraseñas - Por qué "123456" es eternamente el número uno

Lectura de 12 min aprox.

Cada año, las empresas de seguridad publican listas de las contraseñas más utilizadas, y cada año "123456" se sienta cómodamente en la cima. Este artículo explora el salón de la vergüenza de las peores contraseñas del mundo, investiga por qué los humanos seguimos cometiendo los mismos errores, revela tendencias curiosas de contraseñas por país y te muestra cómo crear contraseñas que realmente funcionen.

Si usas "123456", cámbiala ahora mismo

Las peores contraseñas comparten tres rasgos: cortas, predecibles y reutilizadas en todas partes. "123456" se descifra en menos de un segundo, y "password" es la primera entrada en cualquier ataque de diccionario. Mientras tanto, una contraseña aleatoria de más de 16 caracteres tardaría cientos de millones de años en descifrarse. Simplemente usar un gestor de contraseñas para establecer contraseñas únicas y largas mejorará drásticamente tu seguridad.

Por qué "123456" lleva más de una década en el primer puesto

En el ranking anual de "contraseñas más comunes" de NordPass, "123456" ha ocupado el primer puesto casi todos los años desde 2013 hasta 2025. ¿Por qué es tan persistente? Tres razones. Primero, las teclas numéricas del teclado están ordenadas de izquierda a derecha, haciendo que "123456" sea un movimiento natural de los dedos. Segundo, muchos servicios requieren "al menos 6 caracteres", y "123456" es la respuesta más corta posible. Tercero, la gente la establece como contraseña "temporal" durante registros rápidos - y nunca la cambia.

Los siguientes puestos también son casi idénticos cada año: "password", "123456789", "qwerty", "abc123" - todos son patrones de teclado o palabras en inglés. Estas contraseñas son objetivos principales de ataques de diccionario.

Tendencias de contraseñas por país - el carácter nacional al descubierto

Los datos de NordPass revelan tendencias fascinantes por país. En Alemania, "hallo" (hola) y "passwort" (contraseña en alemán) están entre las más usadas. En Italia, "juventus" (el club de fútbol) es un favorito perenne. Japón tiene nombres como "sakura" y "takahiro", Francia recurre a "azerty" (la distribución del teclado francés), y Estados Unidos favorece deportes como "baseball" y "football".

Esto significa que los atacantes mantienen diccionarios adaptados a cada país e idioma. "Sakura" puede parecer personal para un usuario japonés, pero definitivamente está en el diccionario de cada atacante. Las palabras populares en tu país son las peores opciones posibles para contraseñas.

Por qué "P@ssw0rd" es igual de inútil

"Si cambio password a P@ssw0rd, ¿es segura?" Desafortunadamente, no. Este tipo de sustitución se llama "leet speak" - reemplazar a por @, o por 0, e por 3. El problema es que los atacantes conocen estos patrones perfectamente. Las herramientas modernas de fuerza bruta tienen reglas de transformación leet speak integradas, y todas las variaciones de "password" se prueban en segundos.

Los investigadores de seguridad han descubierto que leet speak apenas añade tiempo de descifrado. Mientras "password" se descifra en menos de un segundo, "P@ssw0rd" toma solo unos minutos - no es una diferencia significativa. Las contraseñas verdaderamente fuertes requieren aleatoriedad impredecible. Para más detalles, consulta la entropía de contraseñas.

Tiempos de descifrado por fuerza bruta - una comparación impactante

Para comprender la fortaleza de las contraseñas, comparemos los tiempos estimados de descifrado por fuerza bruta. "123456" toma menos de 1 segundo. "password" también menos de 1 segundo. "P@ssw0rd" toma unos 5 minutos. Una contraseña basada en información personal como "MyDog$Name2024" toma horas o días. Mientras tanto, una contraseña aleatoria de 16 caracteres (mezcla de mayúsculas, minúsculas, números y símbolos) tardaría cientos de millones de años con las computadoras más rápidas de hoy.

Esta diferencia proviene del número de combinaciones posibles (entropía). Seis dígitos ofrecen solo 1 millón de posibilidades, pero 16 caracteres de alfanuméricos y símbolos mixtos ofrecen aproximadamente 10 elevado a la 30 combinaciones - una diferencia que supera la edad del universo.

Fracasos de contraseñas de famosos

Los fallos de contraseñas no son solo un problema de la gente común. En 2016, la contraseña de LinkedIn del CEO de Facebook, Mark Zuckerberg, se filtró y resultó ser "dadada." Peor aún, reutilizó la misma contraseña en Twitter y Pinterest, lo que llevó al secuestro de ambas cuentas. La persona que dirige la red social más grande del mundo fue víctima de la reutilización de contraseñas.

Otro caso famoso involucra al expresidente Donald Trump en 2020. El investigador de seguridad holandés Victor Gevers afirmó que la contraseña de Twitter de Trump era "maga2020!" y que logró iniciar sesión en su quinto intento. Supuestamente no tenía activada la autenticación en dos pasos. Una de las cuentas más vigiladas del mundo estaba protegida por un eslogan de campaña adivinable.

Estas historias demuestran que nadie es inmune a los malos hábitos de contraseñas. La solución es la misma para todos: usar un gestor de contraseñas, generar contraseñas aleatorias y activar la autenticación en dos pasos en cada cuenta.

La forma divertida de crear buenas contraseñas - el método de frase de paso

Las cadenas de caracteres aleatorios son fuertes pero difíciles de recordar. Ahí es donde entran las frases de paso - combinar cuatro o más palabras aleatorias en una contraseña. Por ejemplo, "correct horse battery staple" es mucho más fuerte que una contraseña aleatoria de 8 caracteres, y mucho más fácil de recordar.

La clave es que las palabras sean aleatorias. Una frase con sentido como "I love my dog" es vulnerable a ataques de diccionario, pero una combinación sin sentido como "púrpura aspiradora Júpiter natto" es extremadamente fuerte. Para contraseñas que debes memorizar, como la contraseña maestra de tu gestor, el método de frase de paso es ideal. Para entender la fortaleza matemáticamente, consulta la guía de contraseñas seguras.

Para aprender más sobre fundamentos de seguridad, libros de seguridad (Amazon) pueden ser útiles.

Preguntas frecuentes

¿Cuál es la contraseña más utilizada en el mundo?: Según la encuesta anual de NordPass, "123456" ha mantenido el primer puesto durante más de una década. Las razones principales son que las teclas numéricas están ordenadas de izquierda a derecha y es la respuesta más corta al requisito de "mínimo 6 caracteres" de muchos servicios.
¿Es segura la sustitución de caracteres como "P@ssw0rd"?: No, no es segura. Las sustituciones leet speak como a por @ y o por 0 están integradas en las herramientas de ataque estándar. Todas las variaciones de "password" se prueban en minutos, así que el tiempo de descifrado apenas aumenta. Usa cadenas aleatorias o frases de paso.
¿Qué es una frase de paso?: Una frase de paso es una contraseña creada combinando cuatro o más palabras aleatorias, como "correct horse battery staple." Es más fuerte que una contraseña aleatoria de 8 caracteres y más fácil de recordar. Es ideal para la contraseña maestra del gestor de contraseñas.