Día Mundial de la Contraseña 2026: el 60% de las claves puede hackearse en menos de una hora

Cada primer jueves de mayo, el mundo recibe el mismo recordatorio y, cada año, lo ignora de la misma manera. Este 7 de mayo se celebra el Día Mundial de la Contraseña, una fecha impulsada por empresas tecnológicas y organismos de ciberseguridad para concientizar sobre uno de los puntos más débiles de la vida digital: las claves de acceso que protegen, o deberían proteger, nuestra información personal, bancaria y laboral.

El informe que alarma: 231 millones de contraseñas analizadas

La firma de ciberseguridad Kaspersky publicó hoy un estudio que analizó 231 millones de contraseñas únicas filtradas en la dark web entre 2023 y 2026. Los resultados señalan que el 60,2% de las contraseñas puede descifrarse en aproximadamente una hora, y el 68,2% en menos de un día, incluso cuando esas claves cumplen parcialmente con los requisitos básicos de seguridad, como incluir números, letras y símbolos.

El problema, según los investigadores, no es solo la debilidad de las contraseñas, sino la predictibilidad de los patrones que usan los usuarios. El 53% de las claves analizadas termina en números; el 17% comienza con ellos. El símbolo más frecuente es la arroba (@), presente en el 10% de los casos. Estos patrones son los primeros que prueban los algoritmos de ataque de fuerza bruta, especialmente los potenciados con inteligencia artificial.

¿Cuáles son los errores más comunes en una contraseña?

Los usuarios siguen cayendo en los mismos errores. Y Kenny Lajara, programador senior experto en seguridad de aplicaciones,  lo explica con claridad:

"Los errores comunes son utilizar su nombre, nombre de familiares, nombre de sus hijos. Llegados a ello, utilizar fechas relacionadas con ellos como su fecha de nacimiento o utilizar números de identificación, cosas que de alguna manera se puedan vincular a esa persona. Si yo fuera un atacante, lo primero que intentaría es lanzar un ataque de fuerza bruta, donde voy a intentar automáticamente muchas combinaciones de palabras, y entre esas combinaciones voy a incluir nombre de tus hijos, nombre de tus familiares, tu nombre y tus fechas."

Lajara advierte también sobre otro error menos obvio pero igual de peligroso: usar palabras que aparecen en el diccionario, aunque no estén relacionadas con la persona.

"Muchas veces estos ataques automáticos, aunque no vayan dirigidos a ti específicamente, utilizan lo que se llama un dictionary attack: toman palabras que se encuentran en un diccionario, las combinan con números y cosas así para encontrar combinaciones que resulten ser, por azar, la contraseña de alguien."

Lea también: ¿Qué se celebra hoy en el mundo? Efemérides del 07 de mayo

¿Cuáles son las peores contraseñas del mundo?

El informe anual de NordPass y NordStellar, que analiza datos de 44 países, confirma que el podio de las contraseñas más usadas en el mundo no cambia:

• 123456
• admin
• 12345678
• password
• Pass@123
• admin123

Estas contraseñas pueden crackearse en menos de un segundo. Sin embargo, millones de usuarios, y también empresas, las siguen utilizando como primera línea de defensa de sus cuentas.

¿Cómo es una contraseña realmente segura en 2026?

Contrario a lo que muchos creen, una contraseña segura no tiene que ser una cadena imposible de recordar. Lajara propone un enfoque más intuitivo: la passphrase o frase de contraseña.

"Una contraseña segura hoy en día no necesita ser necesariamente complicada, lo que necesita es que sea difícil de adivinar. La forma más eficiente de hacerlo, y poder recordarlo al mismo tiempo, es utilizar una combinación de palabras con algún símbolo. Un 'password' es una palabra para poder pasar; una 'passphrase' es una frase para poder pasar. Por ejemplo: 'Margaret Thatcher es 100% sexy'. Es una combinación muy larga, muy difícil de adivinar, tiene mayúsculas en el nombre propio, tiene números, tiene caracteres especiales, y es muy fácil de recordar porque es una frase llamativa, fuera de lo que la gente esperaría."

El concepto refuerza lo que los expertos en ciberseguridad llevan años señalando: la longitud y la imprevisibilidad son más importantes que la complejidad arbitraria de mezclar caracteres al azar.

¿Cuáles son las consecuencias de tener una contraseña débil?

Más allá del riesgo individual, las brechas de seguridad vinculadas a contraseñas pueden tener un impacto económico negativo. Según estadísticas de la industria de ciberseguridad para 2026:

• El costo promedio de una brecha relacionada con credenciales comprometidas asciende a USD 4,81 millones.
• El 88% de los ataques a aplicaciones web involucró credenciales robadas, según el informe de Verizon sobre brechas de datos (DBIR).
• Los incidentes por credenciales comprometidas aumentaron un 389% interanual.

También señala de 19 mil millones de contraseñas filtradas analizadas en distintos estudios, apenas el 6% eran únicas. El 94% restante había sido reutilizada en múltiples plataformas, lo que convierte una sola brecha en una amenaza en cadena.

Lo mínimo que deberías hacer: autenticación en dos pasos

Ante este panorama, Lajara enfatiza en que la autenticación en dos pasos es una medida básica que ningún usuario debería ignorar.

"La autenticación en dos pasos es vital y es lo mínimo que debería hacer una persona que le interesen sus datos o su seguridad desde el punto de vista digital."

Destaca que hoy las cuentas de banco son digitales, la comunicación con los demás es digital, los contactos y documentos viven en la nube, y proteger esa vida digital ya no es opcional.

Explica que el mecanismo es simple pero efectivo: aunque un atacante obtenga su contraseña, necesitará también acceso a su teléfono o dispositivo vinculado para completar el inicio de sesión.

"Imagina que te hackeo y tengo tu contraseña. Cuando intento acceder a tu cuenta de banco, el sistema me envía un mensaje a tu número de teléfono. Si yo no tengo también acceso a tu número de teléfono, no puedo acceder. De esa manera, aunque te hayan robado el password, no pueden validar el código que te enviaron y que expira en unos minutos", señala.

Lea también: IA y ciberseguridad: El 51 % de las contraseñas comunes caen en menos de un minuto

La IA cambió las reglas del juego

Lo que antes tardaba días en descifrarse, hoy puede lograrse en minutos. Los modelos de inteligencia artificial aplicados al crackeo de contraseñas son capaces de probar millones de combinaciones por segundo, anticipar patrones humanos y cruzar datos de filtraciones anteriores. Esto hace que contraseñas que antes se consideraban "aceptables" sean hoy vulnerables en cuestión de horas.

Los expertos advierten que el consejo clásico de "agregar un signo de exclamación al final" ya no es suficiente. La longitud, la aleatoriedad y la no reutilización son los tres pilares que determinan si una clave puede resistir un ataque moderno.

¿Qué puedo hacer para proteger mi contraseña?

El experto resume en cinco puntos lo que cualquier usuario puede hacer hoy mismo para estar más seguro:

1. Usa una contraseña que puedas recordar. Explica que nada sirve una contraseña perfecta si la vas a olvidar o a anotar en un papel. La memorabilidad es el primer requisito.

2. No utilice nada que te identifique. Exhorta dejar fuera nombres de familiares, fechas de nacimiento, números de cédula o cualquier dato que alguien pueda vincular contigo. Si está en tus redes sociales, no debería estar en tu contraseña.

3. Larga, no complicada. Señala que la longitud es más importante que la complejidad. "Una frase larga con una mayúscula, un número y un símbolo es más segura que una cadena corta de caracteres aleatorios. Usá guiones, signos de exclamación o arrobas para separar palabras. Y si usás un gestor de contraseñas, asegurate de que su clave maestra sea especialmente larga y fácil de recordar para ti".

4. Recomienda no usar palabras del diccionario. Los ataques automatizados prueban primero palabras reales. Si tu contraseña es corta y no tienes otra opción, reemplaza letras por números. Pero lo ideal es que el gestor de contraseñas genere claves sin sentido lógico para ti.

5. Usa una contraseña distinta para cada servicio. Nunca reutilices la misma clave. Si una cuenta es comprometida, las demás quedan expuestas. Prioriza contraseñas únicas en tus aplicaciones financieras, tu correo principal y tu gestor de contraseñas.