contraseñas
Cada año, cientos de millones de contraseñas de usuarios reales se filtran a la dark web. Analizamos 231 millones de contraseñas únicas procedentes de filtraciones de la dark web entre 2023 y 2026, y las conclusiones son desalentadoras: la gran mayoría son extremadamente débiles. Para descifrar el 60 % de estas contraseñas, un ciberdelincuente solo necesita una hora y unos pocos dólares en el bolsillo. Además, el descifrado de contraseñas se acelera año a año; en nuestro estudio similar de 2024, el porcentaje de contraseñas vulnerables fue menor.
Hoy vamos a analizar la fiabilidad de la contraseña promedio (spoiler: no es muy buena) y cómo puedes proteger tus datos y cuentas utilizando métodos más robustos. Al mismo tiempo, destacaremos los patrones que se encuentran con mayor frecuencia en las contraseñas de los usuarios reales.
Cómo se descifran las contraseñas
En nuestro estudio anterior, detallamos los métodos para almacenar y descifrar contraseñas, pero aquí ofrecemos un breve repaso de lo esencial.
Hoy en día, las contraseñas casi nunca se almacenan en texto plano. Por ejemplo, si creas una cuenta con la contraseña “Contraseña123!”, el servidor no la almacenará tal cual. En cambio, la contraseña se somete a un proceso de hash mediante el uso de algoritmos específicos para convertirla en una cadena de letras y números de longitud fija (un hash), que es lo que realmente permanece en el servidor. Por ejemplo, así es como se ve el hash MD5 para “Contraseña123!”:
2c103f2c4ed1e59c0b4e2e01821770fa.
Cada vez que el usuario introduce su contraseña, se convierte en un hash y se compara con el almacenado en el servidor; si los hashes coinciden, la contraseña es correcta. Si un atacante consigue este hash, tendrá que descifrarlo para recuperar la contraseña original; esto es lo que se conoce como “descifrado de contraseñas”. Se suele hacer utilizando GPU propias o alquiladas, y se pueden emplear varios métodos para el descifrado:
- Enumeración exhaustiva (fuerza bruta). El ordenador prueba todas las combinaciones posibles de caracteres y calcula el hash para cada una. Este método es la forma más sencilla de descifrar contraseñas cortas o aquellas que constan de un solo conjunto de caracteres (como solo dígitos).
- Tablas arcoíris. Una auténtica pesadilla para cualquiera que tenga una contraseña sencilla, esto es esencialmente una “guía telefónica” de contraseñas cuyos hashes ya han sido descifrados mediante fuerza bruta o algoritmos inteligentes. Lo único que tiene que hacer un atacante es encontrar un hash coincidente y ver qué contraseña le corresponde.
- Descifrado inteligente. Estos algoritmos se entrenan con bases de datos de contraseñas filtradas. Comprenden la frecuencia de las diferentes combinaciones de caracteres y realizan sus comprobaciones desde las secuencias más probables hasta las menos populares. Tienen en cuenta las palabras del diccionario, las sustituciones de caracteres (a → @ o s → $) y consideran estructuras de contraseñas comunes como “palabra del diccionario + número + carácter especial”, al tiempo que comparan los hashes con las tablas arcoíris. La combinación de estos métodos acelera significativamente el proceso de descifrado.
Más allá de eso, los atacantes también pueden interceptar contraseñas en texto plano. Existen numerosas maneras de hacerlo, desde el phishing (en el que se atrae a la víctima a una página web falsa para que introduzca su contraseña voluntariamente) y los registradores de pulsaciones de teclas, hasta los programas espía o troyanos que roban documentos, cookies, datos del portapapeles y mucho más. Desafortunadamente, muchos usuarios guardan sus contraseñas en texto plano en notas, aplicaciones de mensajería y documentos, o las almacenan en navegadores donde los atacantes pueden extraerlas en segundos.
Cada año, rastreamos alrededor de cien millones de filtraciones de contraseñas en texto plano. Utilizamos estas bases de datos para avisar a los usuarios de Kaspersky Password Manager si sus datos se han vulnerado. Para responder a la pregunta más frecuente que recibimos al respecto: no, no conocemos las contraseñas de nuestros usuarios. Hemos explicado en un lenguaje sencillo cómo comparamos tus contraseñas con las filtradas sin conocerlas realmente, y por qué ni tus contraseñas almacenadas en Kaspersky Password Manager ni sus hashes salen nunca de tu dispositivo, en nuestras descripciones generales de nuestra tecnología de análisis de filtraciones y la arquitectura interna de nuestro administrador de contraseñas. Échales un vistazo; te sorprenderá lo elegante que es el diseño.
El 60 % de las contraseñas se descifran en menos de una hora
Ampliamos la base de datos de nuestro estudio anterior con 38 millones de contraseñas reales adicionales publicadas por atacantes en foros de la dark web y comparamos los resultados. Las pruebas se realizaron utilizando una única GPU RTX 5090 para contraseñas cifradas con el algoritmo MD5. Los datos para el análisis se obtuvieron de nuestro servicio de Digital FootPrint Intelligence. Puedes consultar el algoritmo que utilizamos para evaluar la seguridad de las contraseñas en nuestro artículo en Securelist.
Lamentablemente, las contraseñas siguen siendo tan débiles como siempre, mientras que descifrarlas se vuelve más rápido y fácil con cada año que pasa. Hoy en día, el 60 % de las contraseñas se pueden descifrar en menos de una hora; hace dos años, esa cifra era del 59 %. Pero lo verdaderamente aterrador es otra cosa: ¡casi la mitad de todas las contraseñas (48 %) se descifran en menos de un minuto!
| Tiempo de descifrado | Porcentaje de contraseñas descifrables en este tiempo en 2024 | Porcentaje de contraseñas descifrables en este tiempo en la actualidad |
| Menos de un minuto | El 45 % | El 48 % |
| Menos de una hora | 59 % (+14 %) | 60 % (+12 %) |
| Menos de 24 horas | 67 % (+8 %) | 68 % (+8 %) |
| Menos de un mes | 73 % (+6 %) | 74 % (+6 %) |
| Menos de un año | 77 % (+4 %) | 77 % (+3 %) |
| Más de un año | El 23 % | El 23 % |
Tiempo de descifrado de contraseñas: hace dos años y hoy
Los atacantes consiguen este aumento de velocidad gracias a los procesadores gráficos, que se vuelven más potentes cada año. Mientras que una RTX 4090 en 2024 podía descifrar hashes MD5 por fuerza bruta a una velocidad de 164 gigahashes (mil millones de hashes) por segundo, la nueva RTX 5090 ha aumentado esa velocidad en un 34 %, para alcanzar los 220 gigahashes por segundo.
Y aunque una tarjeta gráfica de gama alta como esa actualmente se vende por varios miles de dólares, el precio no supone un gran obstáculo: existen muchos servicios en la nube económicos para alquilar potencia de cálculo de GPU. Según la configuración y el modelo, los costes de alquiler oscilan entre unos pocos centavos y unos pocos dólares por hora. Como hemos visto, un atacante solo necesita una hora para descifrar tres de cada cinco contraseñas que encuentra en una filtración. Además, según la magnitud de la tarea, siempre pueden alquilar diez o incluso cien GPU en lugar de solo una.
Cabe destacar que descifrar todas las contraseñas de un conjunto de datos no lleva mucho más tiempo que descifrar una sola. En cada iteración, una vez que el atacante calcula un hash para una combinación de caracteres específica, comprueba si ese mismo hash existe en alguna parte del conjunto de datos; y cuanto mayor sea el conjunto de datos, más fácil será encontrar una coincidencia. Si se encuentra una coincidencia, la contraseña correspondiente se marca como “descifrada”, y el algoritmo pasa a la siguiente.
¿Qué contraseñas son vulnerables?
La seguridad de cualquier contraseña depende de su longitud, la variedad de su contenido y la aleatoriedad de dicho contenido. Las contraseñas creadas por humanos resultan ser las menos resilientes; lamentablemente, los humanos son bastante predecibles. Utilizamos palabras del diccionario y combinaciones de caracteres que los algoritmos inteligentes dominan desde hace mucho tiempo, evitamos cadenas largas aleatorias y se pueden encontrar patrones incluso en pulsaciones de teclas que creemos que son aleatorias. Curiosamente, las contraseñas generadas por IA aún conservan la huella de un enfoque humano; hablamos de esto en una publicación anterior sobre cómo crear una contraseña segura y fácil de recordar.
La longitud de la contraseña es el factor principal que afecta el tiempo de descifrado. Como puede verse en la tabla siguiente, se tarda menos de 24 horas en descifrar casi cualquier contraseña de ocho caracteres.
Porcentaje de contraseñas de diferentes longitudes que se pueden descifrar en un período de tiempo determinado
Sin embargo, la previsibilidad de tu contraseña es igualmente importante. ¿Crees que estás mejorando la seguridad al añadir un número o un carácter especial a una palabra fácil de recordar? Sí, lo estás haciendo, pero solo un poco. Los patrones que la gente usa para crear contraseñas son fácilmente predecibles y, a veces, bastante divertidos, aunque esto no es motivo de risa.
Lo que aprendimos sobre los patrones de contraseñas
El análisis de más de 200 millones de contraseñas reveló patrones característicos que les permiten a los algoritmos inteligentes descifrar las contraseñas de los usuarios con facilidad.
Escoge un número
Más de la mitad de todas las contraseñas (53 %) terminan con uno o más dígitos, mientras que casi una de cada seis (17 %) comienza con un número. Una de cada ocho contraseñas (12 %) contiene secuencias que se parecen mucho a años, que van desde 1950 hasta 2030, y una de cada diez (10 %) se encuentra específicamente entre 1990 y 2026. Lo más probable es que esto ocurra porque la gente añade su año de nacimiento (o el de alguien cercano), algún otro año significativo o el año en que crearon la contraseña o la cuenta. Dato curioso: según la distribución de estas fechas, se deduce que los usuarios de Internet más activos nacieron entre 2000 y 2012.
Sin embargo, entre todas las combinaciones numéricas, la más popular resultó ser… lo adivinaste: “1234”. En general, los patrones que implican pulsaciones secuenciales del teclado (“qwerty”, “asdf” y similares) aparecen en el 3 % de las contraseñas.
Los caracteres especiales no son la solución definitiva
La mayoría de las políticas de contraseñas de los últimos años exigen al menos un carácter especial. El ganador absoluto en esta categoría es el símbolo @: aparece en una de cada 10 contraseñas. El punto (.) ocupa el segundo lugar, seguido del signo de exclamación (!) en tercer lugar.
El amor gobierna el mundo… y Skibidi Toilet también
Las palabras con una fuerte carga emocional suelen ser la base de una contraseña y, a pesar de todo, las palabras positivas son más comunes. Algunos ejemplos frecuentes son “amor”, “ángel”, “equipo”, “compañero”, “vida” y “estrella”. Dicho esto, también afloran aspectos negativos, sobre todo en forma de palabrotas comunes en español.
Curiosamente, los memes virales también se reflejan en las contraseñas. Entre 2023 y 2026, el uso de la palabra Skibidi en contraseñas se multiplicó por 36. Como es lógico (consulta el enlace si no te parece lógico), la palabra “toilet” también experimentó un aumento, aunque en menor medida.
Los usuarios tienden a mantener sus contraseñas sin cambios durante años
Más de la mitad de las contraseñas (54 %) que identificamos en filtraciones recientes ya habían aparecido anteriormente. Esto se puede explicar en parte por la migración de los mismos datos de un conjunto de datos a otro. Sin embargo, existe una razón mucho más preocupante: muchos usuarios sencillamente no han cambiado sus contraseñas en años.
El análisis de las fechas que aparecen en las contraseñas muestra que las combinaciones que contienen los años comprendidos entre 2020 y 2024 siguen siendo populares. Parece que la gente añade el año actual a su contraseña cuando la crea, y luego se olvida de ella durante varios años. En realidad, esto nos permite calcular la vida útil promedio de una contraseña: entre tres y cinco años.
Es una tendencia peligrosa. Por un lado, los algoritmos inteligentes pueden descifrar contraseñas mucho más complejas en ese lapso de tiempo. En segundo lugar, cuanto más tiempo permanezca sin cambios tu contraseña, mayor será la probabilidad de que esté en peligro, ya sea a través de una filtración, una infección de malware o un ataque de phishing.
La situación empeora aún más cuando se utiliza la misma contraseña en varias cuentas. En este caso, los atacantes ni siquiera necesitan descifrar nada; solo necesitan encontrar tu contraseña en una única filtración e introducirla en otros sitios web.
Cómo proteger tus contraseñas y cuentas
Si al leer esta publicación te has dado cuenta de que tus contraseñas se encuentran entre las más fáciles de descifrar, no te preocupes. Hemos preparado una lista de consejos sencillos pero básicos para ti.
Utiliza un administrador de contraseñas
Las contraseñas más débiles son las que la gente inventa por su cuenta. Crear y memorizar cientos de secuencias de 16 a 20 caracteres aleatorios (ya que cada sitio requiere una contraseña larga y única) es una tarea desalentadora y poco realista.
Por eso, deberías delegar la generación y el almacenamiento de contraseñas a nuestro administrador de contraseñas. No solo crea y almacena contraseñas complejas y aleatorias en formato cifrado, sino que también las sincroniza en todos tus dispositivos. Para descifrar tu gestor de contraseñas, solo necesitas recordar una contraseña principal que nadie más conozca; nuestra guía sobre contraseñas mnemotécnicas puede ayudarte con esta tarea.
No guardes las contraseñas como texto plano
Bajo ninguna circunstancia anotes tus contraseñas en archivos, mensajes o documentos. Carecen del cifrado robusto que proporciona un administrador de contraseñas. Además, este tipo de notas caen instantáneamente en manos de los atacantes si, por casualidad, descargas un troyano o un infostealer.
No guardes contraseñas en tu navegador
Muchos usuarios guardan contraseñas en sus navegadores, sobre todo porque ofrecen la opción de hacerlo automáticamente. Lamentablemente, las investigaciones demuestran que el malware ha evolucionado para extraer estas contraseñas de todos los navegadores populares casi al instante. Kaspersky Password Manager puede ayudarte a importar las contraseñas guardadas de tu navegador favorito; solo tienes que seguir nuestra sencilla guía de tres pasos. Lo más importante es que, una vez finalizada la importación, no olvides borrar la memoria caché de contraseñas del navegador.
Escoge llaves de acceso o passkeys
Siempre que sea posible, utiliza passkeys o llaves de acceso, que son una alternativa criptográfica a las contraseñas. En esta configuración, el servicio almacena una clave pública, mientras que la llave privada permanece en tu dispositivo y nunca se transmite. Durante el inicio de sesión, el dispositivo sencillamente firma una solicitud única. Además, las llaves de acceso están vinculadas a un dominio específico, lo que significa que los ataques de phishing que utilizan direcciones falsificadas no funcionarán. Kaspersky Password Manager te permite almacenar tanto contraseñas como llaves de acceso, lo que soluciona el problema de sincronizarlas en diferentes ecosistemas, incluidos Windows, Android, macOS y iOS.
Configura la autenticación de dos factores
Activa la autenticación de dos factores cuando sea posible. Incluso si tu contraseña se vulnera, una configuración de 2FA adecuada dificulta enormemente que el atacante acceda a tu cuenta. Para una máxima seguridad, omite los códigos de un solo uso enviados por SMS y utiliza aplicaciones de autenticación; sí, Kaspersky Password Manager también resulta útil en este caso.
Mantén una buena higiene digital
Recuerda que almacenar tus contraseñas correctamente es solo la mitad del trabajo. Es fundamental seguir las normas de higiene digital: evita descargar archivos no verificados, software pirateado, programas de trucos o software crackeado, y no hagas clic en cualquier enlace que encuentres. La cantidad de ataques de infostealer ha aumentado constantemente en los últimos años, lo que significa que necesitas una solución de seguridad robusta para una protección completa. Recomendamos Kaspersky Premium, que protege todos tus dispositivos de troyanos, phishing y otras amenazas. Además, la suscripción incluye nuestro administrador de contraseñas.
Para quienes se toman en serio la seguridad de sus cuentas, consulten nuestra colección de publicaciones sobre contraseñas, llaves de acceso y autenticación de dos factores:
