Las contraseñas más usadas en España son un chollo para los 'hackers': "Una tendencia especialmente preocupante"

Aunque 2025 ya se acaba, los usuarios de internet españoles siguen repitiendo uno de los peores hábitos posibles: la poca concienciación en las contraseñas que usan en los servicios online.

Según recientes estudios publicados por NordPass o Comparitech, las claves más populares en España son admin, 123456 y 12345678, a pesar de los riesgos que supone para la protección de cuentas personales y profesionales. "Un hábito que, lejos de desaparecer, se repite año tras año y expone a millones de usuarios a fraudes, robos de identidad y accesos no autorizados", advierte ESET.

Los datos específicos de España "muestran una tendencia especialmente preocupante", advierte la compañía de ciberseguridad. Y es que argumenta que entre las cinco contraseñas más utilizadas en 2025 se repiten combinaciones extremadamente básicas como admin, 123456, 12345678, 123456789 o 12345.

"El cibercrimen ahora se está reorganizando": cómo los golpes policiales y la IA han abierto una nueva era para los 'hackers'

El uso de estas combinaciones demuestra una baja seguridad debido a que todas ellas son vulnerables a ataques de fuerza bruta que pueden resolverse en cuestión de segundos.

"Este patrón confirma que muchos usuarios siguen optando por claves fáciles de recordar, sin tener en cuenta que también son las primeras que prueban los atacantes", avisa la empresa.

El problema no es tanto la selección fácil de adivinar por los usuarios sino el uso excesivo de contraseñas simples. "Sigue siendo una de las principales puertas de entrada para el cibercrimen".

Los datos reflejan que la comodidad y la reutilización de credenciales siguen primando frente a la seguridad, incluso en un momento en el que los ataques digitales son cada vez más sofisticados y automatizados gracias a desarrollos como la IA.

Fallos que no son casuales

"Las contraseñas débiles no fallan por casualidad, fallan porque son predecibles. Cuando alguien utiliza combinaciones como ‘123456’ o ‘admin’, está dejando la puerta abierta a cualquier atacante con herramientas básicas", explica Josep Albors, director de Investigación y Concienciación de ESET España.

"Además, el problema se agrava cuando esa misma contraseña se reutiliza en múltiples servicios, porque una sola filtración puede dar acceso a varias cuentas al mismo tiempo".

Estas malas prácticas no afectan solo a redes sociales o correos electrónicos personales. "El uso de contraseñas débiles también se detecta en entornos corporativos, plataformas profesionales y servicios críticos, lo que incrementa el impacto potencial de un incidente".

Hackeo a servicios informáticos iStock- Sashkinw Omicrono

Desde la empresa de ciberseguridad explican que "una credencial comprometida puede ser el primer paso para acceder a información sensible, realizar movimientos laterales dentro de una red o desplegar ataques más graves, como ransomware o fraudes financieros".

Los estudios analizados muestran además que muchos ataques ya no dependen únicamente de la habilidad del ciberdelincuente. Herramientas automatizadas y bases de datos con millones de contraseñas filtradas "permiten probar combinaciones comunes a gran escala", haciendo que las claves simples sean especialmente vulnerables.

Qué contraseña poner

Albors explica que “mejorar la seguridad de nuestras contraseñas no requiere grandes conocimientos técnicos, sino cambiar algunos hábitos. Una contraseña robusta y la autenticación en dos pasos siguen siendo, hoy en día, una de las defensas más eficaces frente al cibercrimen", es por eso que recomienda adoptar una serie de hábitos básicos de seguridad:

• Evitar contraseñas simples o previsibles: no utilizar secuencias numéricas, nombres comunes ni datos personales fáciles de adivinar.
• Usar contraseñas únicas para cada servicio: reutilizar claves multiplica el impacto de una posible filtración.
• Apoyarse en un gestor de contraseñas: estas herramientas generan y almacenan claves largas y complejas de forma segura.
• Activar la autenticación en dos pasos (2FA): siempre que sea posible, especialmente en correo, banca y redes sociales.
• Mantener tus dispositivos y aplicaciones actualizados: muchas brechas aprovechan vulnerabilidades conocidas.
• Desconfiar de correos o mensajes que pidan cambiar la contraseña con urgencia: pueden ser intentos de phishing.