Comparitech analizó más de dos mil millones de contraseñas expuestas durante 2025 y difundidas en foros de hacking, canales de Telegram y otros repositorios. El hallazgo central es persistente: pese a años de recomendaciones, las combinaciones triviales como 123456, admin y password siguen encabezando las listas de claves comprometidas.
Contraseñas más usadas en filtraciones de 2025
Además de los clásicos admin y password, aparecen secuencias numéricas lineales (1–9) y variantes “cosméticas” que solo aparentan complejidad. Ejemplos como Aa123456 (6ª posición) o Aa@123456 (13ª) combinan una mayúscula y un símbolo al inicio con dígitos predecibles, por lo que caen ante ataques de diccionario e híbridos.
También se detectan patrones de teclado del primer renglón, como 1q2w3e4r, y palabras cortas de uso común; el término “gin” figura en el top‑100 y la clave minecraft aparece 69.464 veces en la muestra. Estos resultados reflejan hábitos repetitivos y la inclinación a minimizar el esfuerzo al crear contraseñas.
De dónde salen estas bases y por qué alimentan el credential stuffing
Las colecciones provienen de mercados de la dark web, foros y canales semipúblicos. Una vez compiladas, se reutilizan de inmediato en credential stuffing: la prueba automatizada de combinaciones robadas en múltiples servicios. Si un usuario repite contraseñas, la probabilidad de toma de control de cuentas se multiplica. Informes de la industria, como el Verizon Data Breach Investigations Report (DBIR), reiteran año tras año que el uso de credenciales robadas permanece entre los vectores de ataque predominantes.
Por qué las contraseñas populares y cortas se rompen en segundos
Las herramientas actuales combinan ataques de diccionario, por máscaras y enfoques híbridos para iterar rápidamente sobre patrones comunes y sus variantes con sustituciones. De acuerdo con pruebas públicas y benchmarks de herramientas como Hashcat en GPU modernas, los “top” de contraseñas y sus mutaciones previsibles se adivinan prácticamente al instante, especialmente cuando el atacante dispone de los hashes y puede operar offline.
Los secretos cortos (por ejemplo, de hasta 8 caracteres) son extremadamente vulnerables al bruteforce, en particular cuando se emplean algoritmos de hashing débiles o configuraciones de derivación de claves con pocos recursos. Las pautas de NIST SP 800‑63B recomiendan filtrar contraseñas contra listas de comprometidas, desalentar las combinaciones frecuentes y priorizar la longitud y aleatoriedad frente a la complejidad superficial (mezclar tipos de caracteres sin un aumento real de entropía).
Medidas prácticas para mejorar la seguridad de cuentas
Adopta passkeys y biometría cuando sea posible. Las credenciales FIDO2 eliminan el factor secreto recordable, reducen el riesgo de phishing y mitigan el secuestro de sesión.
Si debes usar contraseñas, que sean largas y únicas. Apunta a 12 caracteres o más. Las frases de paso son memorables y elevan la entropía. Un pequeño cambio en una frase larga incrementa notablemente la resistencia: en lugar de “icantbelievewerestilltellingyouthis”, usa “icantbelievewerestilltellingy0uthis”.
No reutilices contraseñas. Es el catalizador del credential stuffing. Un password manager confiable permite generar y almacenar secretos únicos para cada servicio.
Activa MFA (2FA/MFA) en todas partes. Prioriza TOTP en app autenticadora o llaves de hardware. Los códigos por SMS son el mínimo aceptable, mejor que nada pero menos robustos.
Vigila las filtraciones. Comprueba periódicamente tus correos en servicios de monitorización (por ejemplo, Have I Been Pwned) y cambia credenciales sin dilación si aparecen coincidencias.
El estudio de Comparitech confirma que la amenaza es, en gran medida, conductual: mientras se elija la conveniencia sobre la entropía, las campañas automatizadas seguirán teniendo éxito. Revisar hoy mismo el inventario de cuentas, sustituir contraseñas débiles o repetidas, activar MFA y migrar gradualmente a passkeys son pasos tangibles que reducen de forma sustancial la superficie de ataque.
