El 60% de las contraseñas puede descifrarse en una hora
- Seguridad
Los patrones más repetidos, como números al inicio o al final, símbolos previsibles y palabras comunes, facilitan los ataques de fuerza bruta. Kaspersky advierte de que incluso claves largas pueden ser vulnerables si siguen estructuras predecibles.
Con motivo del Día Mundial de la Contraseña, Kaspersky ha analizado 231 millones de contraseñas únicas procedentes de grandes filtraciones entre 2023 y 2026. El resultado revela que el 60,2% puede descifrarse en aproximadamente una hora y el 68,2% en menos de un día, incluso cuando cumplen parcialmente las normas habituales de seguridad.
El estudio identifica patrones que facilitan enormemente los ataques automatizados. Entre las contraseñas que incluyen símbolos, el más común es “@” (10%), seguido del punto (3%) y el signo de exclamación (1%). En cuanto a los números, el 53% de las contraseñas termina en cifras, el 17% comienza con ellas y cerca del 12% incorpora secuencias que recuerdan a fechas entre 1950 y 2030. Además, un 3% contiene secuencias de teclado como “qwerty”.
Según Alexey Antonov, responsable del equipo de Data Science de Kaspersky, estos patrones reducen drásticamente el tiempo necesario para descifrar una clave. “Si los ciberdelincuentes conocen los patrones más habituales, el tiempo necesario para descifrar una contraseña se reduce drásticamente. Lo más recomendable es utilizar generadores que creen combinaciones aleatorias”, señala.
Palabras comunes, un riesgo subestimado
El análisis también revela que muchas contraseñas se basan en palabras con carga emocional o modas del momento. Entre 2023 y 2026 se disparó el uso de “Skibidi”, mientras que siguen predominando términos positivos como “love”, “magic”, “friend”, “team”, “angel”, “star” o “eden”. También aparecen palabras negativas como “hell”, “devil”, “nightmare” o “scar”.
Antonov advierte que utilizar una sola palabra, incluso acompañada de un número o símbolo, sigue siendo una opción débil. “Lo más recomendable es crear frases de contraseña con varias palabras sin relación entre sí, incorporando números, símbolos y variaciones intencionadas”.
Aunque las contraseñas largas siguen siendo más resistentes, la longitud por sí sola ya no garantiza seguridad. Con herramientas basadas en IA, más del 20% de las contraseñas de 15 caracteres puede romperse en menos de un minuto si sigue patrones previsibles. Los cálculos se basan en una GPU RTX 5090 y el algoritmo MD5, pero los ciberdelincuentes suelen utilizar múltiples GPU, acelerando el proceso de forma exponencial.
Hoy, una contraseña segura debe tener más de 16 caracteres, combinar letras, números y símbolos de forma aleatoria y ser única para cada cuenta.
Para facilitar la creación de contraseñas robustas, Kaspersky ha incorporado en su web una herramienta que permite comprobar si una clave ha sido filtrada y generar contraseñas seguras de forma gratuita. La compañía recomienda además el uso de gestores de contraseñas, que almacenan credenciales en un entorno protegido mediante una única clave maestra, permiten autocompletado, sincronización entre dispositivos y gestionan nuevas formas de acceso como las passkeys.
