El estudio de grandes bases de datos filtradas a escala mundial entre 2023 y 2025, realizado por especialistas de Kaspersky, confirma una tendencia preocupante en ciberseguridad: los usuarios siguen utilizando contraseñas débiles y repetidas durante años, incluso después de que esas credenciales hayan sido expuestas en incidentes de seguridad anteriores.
Análisis global de fugas de contraseñas 2023–2025: datos clave
La investigación se centró en conjuntos masivos de credenciales publicados en foros, mercados clandestinos y repositorios de datos procedentes de brechas, campañas de phishing y fallos de seguridad en servicios en línea. El examen conjunto de contraseñas y metadatos asociados a las cuentas permitió identificar patrones de comportamiento de los usuarios a lo largo del tiempo.
Uno de los hallazgos más significativos es que el 54 % de las contraseñas comprometidas en 2025 ya figuraban en fugas anteriores. En la práctica, esto significa que más de la mitad de los propietarios de esas cuentas no modificaron sus credenciales tras una primera exposición, dejando una ventana abierta a ataques posteriores.
Los analistas estiman que el “ciclo de vida” medio de una misma contraseña se sitúa alrededor de los 3,5–4 años. Durante ese periodo, la misma combinación de usuario y clave puede circular entre diferentes grupos de ciberdelincuentes y emplearse de forma automatizada en ataques de credential stuffing, es decir, intentos masivos de iniciar sesión en múltiples servicios utilizando listas de credenciales ya conocidas.
Por qué la reutilización de contraseñas multiplica el riesgo
El problema central no es solo que las contraseñas sean previsibles, sino que se reutilizan en numerosos servicios: correo electrónico, redes sociales, tiendas en línea, aplicaciones bancarias e incluso sistemas corporativos. De este modo, una brecha en un sitio aparentemente poco crítico puede desencadenar una comprometimiento en cadena de cuentas mucho más sensibles.
Informes de referencia en el sector, como el Verizon Data Breach Investigations Report y estudios de grandes operadoras y fabricantes de seguridad, coinciden en que las credenciales robadas se sitúan entre los vectores de ataque más frecuentes. Una vez que una contraseña entra en una base de datos filtrada, pasa a formar parte del arsenal permanente de los atacantes y se reutiliza de forma sistemática en campañas globales.
Qué revelan los patrones de los contraseñas filtradas
Una parte importante del trabajo de Kaspersky se centró en la estructura de las propias claves. El análisis muestra que aproximadamente una de cada diez contraseñas comprometidas incluye secuencias numéricas que parecen fechas, como “1990” o “2025”. Suelen corresponder a años de nacimiento, aniversarios u otras fechas significativas, fácilmente deducibles con información básica sobre la víctima.
Destaca, además, el uso del año en curso o del año anterior: en torno a una de cada doscientas contraseñas analizadas terminaba en “2024”. Este tipo de patrones facilita enormemente los ataques de fuerza bruta básica, en los que se combinan palabras comunes con sufijos numéricos previsibles.
La secuencia “12345” continúa apareciendo entre las contraseñas más utilizadas a nivel mundial. Junto a ella, abundan términos como “love”, nombres propios y nombres de países. Estos elementos son particularmente vulnerables a las ataques de diccionario, en las que se prueban automáticamente listas de palabras frecuentes y sus variaciones más obvias.
Buenas prácticas de seguridad de contraseñas para usuarios y empresas
Características de una contraseña robusta en 2025
Las recomendaciones actuales de organismos como NIST y de la mayoría de proveedores de seguridad coinciden en que la longitud es más importante que añadir símbolos complejos de forma arbitraria. Se sugieren contraseñas de al menos 12–14 caracteres y, cuando sea posible, frases de paso: expresiones largas, memorables y únicas que no aparezcan en libros, canciones o películas.
Reglas fundamentales para mejorar la seguridad de las contraseñas:
- utilizar una contraseña distinta para cada servicio o cuenta crítica;
- evitar fechas de nacimiento, nombres, números de teléfono u otros datos personales evidentes;
- no emplear secuencias triviales como “12345”, “qwerty” ni palabras extremadamente comunes;
- almacenar las credenciales en un gestor de contraseñas confiable, nunca en notas sin cifrar o documentos en el escritorio.
Autenticación de dos factores y Passkeys: el siguiente nivel de protección
Incluso la mejor contraseña deja de ser segura una vez que ha sido robada. Por ello, la mayoría de servicios críticos están adoptando mecanismos adicionales de verificación de identidad. La base es la autenticación de dos factores (2FA), que combina la contraseña con un segundo factor: un código temporal en una app, un SMS, un token físico o datos biométricos.
Un enfoque todavía más resistente son las Passkeys, basadas en estándares abiertos como WebAuthn y FIDO2. En este modelo, el inicio de sesión se valida mediante pares de claves criptográficas almacenadas en el dispositivo del usuario. Como no se introduce ninguna contraseña, el método es intrínsecamente resistente al phishing: aunque el usuario visite una página falsa, el atacante no podrá capturar una clave reutilizable.
Recomendaciones prioritarias para reducir el impacto de futuras fugas de datos:
- activar 2FA en correo electrónico, redes sociales, banca en línea y cualquier servicio con datos sensibles;
- migrar progresivamente a Passkeys siempre que la plataforma lo permita;
- comprobar periódicamente si tus correos aparecen en bases de datos filtradas y cambiar de inmediato las contraseñas asociadas a cualquier cuenta comprometida.
Las fugas masivas de credenciales entre 2023 y 2025 evidencian que seguir usando las mismas contraseñas simples durante años es incompatible con una mínima higiene digital. Adoptar contraseñas largas y únicas, apoyarse en un gestor de contraseñas, activar la autenticación multifactor y avanzar hacia los Passkeys son pasos asumibles que marcan una diferencia real. Cuanto antes incorporen estas prácticas usuarios y organizaciones, más difícil resultará para los ciberdelincuentes transformar las próximas bases de contraseñas filtradas en ataques exitosos.
