El 60% de las contraseñas actuales puede descifrarse en apenas una hora y, de esta forma, cualquier usuario puede llegar a perder todo su dinero en solo 60 minutos, según un informe elaborado por los analistas de Kaspersky.
Con motivo del Día Mundial de la Contraseña, los analistas estudiaron 231 millones de contraseñas únicas procedentes de grandes filtraciones registradas entre 2023 y 2026, e identificaron varios patrones clave.
En primer lugar, el 68% de las contraseñas actuales puede descifrarse en menos de un día y el 60% en una hora aproximadamente.
Asimismo, la mayoría de las contraseñas comprometidas comienzan o terminan con un número, un patrón repetido que facilita los intentos masivos de acceso no autorizado.
De acuerdo al relevamiento, en los últimos años, las normas para crear contraseñas seguras cobraron especial relevancia.
Cada vez más servicios exigen claves de al menos 10 caracteres, con mayúsculas, números o símbolos.
Advierten que el 60% de las personas podría perder todo su dinero en apenas una hora
El análisis comparativo de contraseñas filtradas –sin embargo– demostró que cumplir parcialmente estas reglas no garantiza resistencia frente a ataques de fuerza bruta o impulsados por inteligencia artificial (IA).
Los expertos de Kaspersky compartieron algunas recomendaciones prácticas para crear contraseñas más seguras y evitar errores comunes.
- Evitar patrones previsibles en símbolos y números
- Entre las contraseñas filtradas que incluyen un único símbolo, el más utilizado es "@", presente en el 10% de los casos. Le siguen el punto (.) en un 3% y el signo de exclamación (!)
En cuanto a los números, también se repiten patrones muy previsibles:
- El 53% de las contraseñas analizadas termina en cifras
- El 17% comienza con números
- Cerca del 12% incluye secuencias que recuerdan a fechas (entre 1950 y 2030)
- El 3% contiene secuencias de teclado como "qwerty" o "ytrewq", aunque predominan combinaciones numéricas como "1234"
Alexey Antonov, responsable del equipo de Data Science de Kaspersky, advirtió que el uso de símbolos, números o fechas habituales, especialmente al principio o al final de la contraseña, facilita considerablemente los ciberataques por fuerza bruta.
Y añade: "Los ataques de fuerza bruta prueban sistemáticamente todas las combinaciones posibles hasta encontrar la correcta".
"Si los ciberdelincuentes conocen los patrones más habituales, el tiempo necesario para descifrar una contraseña se reduce drásticamente. Para evitarlo, lo más recomendable es utilizar generadores de contraseñas que creen combinaciones aleatorias de letras, números y símbolos", subraya.
Por qué se deben evitar las palabras comunes
El estudio de Kspersky también reveló que muchas contraseñas se basan en palabras con carga emocional o tendencias del momento.
Entre 2023 y 2026, por ejemplo, el uso de "Skibidi" creció de forma notable. Además, predominan las palabras positivas como "love", "magic", "friend", "team", "angel", "star" o "eden", aunque también aparecen términos negativos como "hell", "devil", "nightmare" o "scar".
Antonov subrayó que "utilizar una sola palabra como contraseña, incluso añadiendo un número o símbolo, sigue siendo una opción débil".
Y agrega: "Es un patrón demasiado predecible. Lo más recomendable es crear frases de contraseña que combinen varias palabras sin relación entre sí, incorporando números, símbolos e incluso pequeñas variaciones intencionadas".
"Cuanto más larga, aleatoria e impredecible sea, más difícil será de descifrar. Además, es fundamental activar la autenticación en dos factores siempre que sea posible", precisó.
¿Importa la longitud de la contraseña?
El análisis confirma que la longitud por sí sola ya no es suficiente, si bien las contraseñas largas siguen siendo más difíciles de descifrar.
Con el uso de herramientas basadas en IA, incluso contraseñas extensas pueden ser vulnerables si siguen patrones previsibles.
Las contraseñas cortas (de hasta ocho caracteres) pueden descifrarse en menos de un día. Sin embargo, más de 20% de las contraseñas de 15 caracteres también puede romperse en menos de un minuto mediante algoritmos avanzados.
En total, el 60,2% de las contraseñas analizadas puede descifrarse en aproximadamente una hora, y el 68,2% en menos de un día.
Estos cálculos se basan en el uso de una única GPU RTX 5090 y el algoritmo MD5. En la práctica, los ciberdelincuentes pueden utilizar múltiples GPUs, algo que acelera el proceso de forma exponencial.
Hoy en día, una contraseña segura debe tener más de 16 caracteres y combinar letras, números y símbolos de forma aleatoria, sin repeticiones ni patrones.
Además, es fundamental que cada cuenta tenga una contraseña única. Para facilitar este proceso, Kaspersky incorporó una función de generación de contraseñas en su web, que permite tanto comprobar si una clave fue filtrada como crear contraseñas seguras de forma gratuita.
Para gestionar las credenciales de forma sencilla y segura, se recomienda utilizar un gestor de contraseñas, que almacene toda la información en un entorno protegido mediante una única clave maestra. Este tipo de herramientas también permite el autocompletado y la sincronización entre dispositivos, además de gestionar nuevas formas de acceso como las passkeys.
