Una reciente investigación de Kaspersky muestra que la mayoría de las contraseñas filtradas no solo son débiles desde el inicio, sino que además suelen mantenerse sin cambios durante años, lo que las deja prácticamente indefensas frente a cualquier ataque.
A pesar de seguir siendo uno de los métodos de acceso más usados, las contraseñas han dejado de ser una opción realmente segura. Al ser creadas por los propios usuarios, suelen incluir patrones fáciles de adivinar que facilitan el trabajo de los atacantes. Al revisar las principales filtraciones ocurridas entre 2023 y 2025, los especialistas de Kaspersky detectaron varios comportamientos que se repiten de forma sistemática.
Entre los patrones más frecuentes, se destaca que los usuarios suelen agregar elementos predecibles como números, fechas e identificadores personales. Por ejemplo, el 10% de las contraseñas en los conjuntos de datos analizados contiene un número similar a una fecha (entre 1990 y 2025). Además, el 0,5% de todas las contraseñas filtradas termina en “2024”, lo que equivale a una de cada 200.
Otra constante es el uso de combinaciones extremadamente simples. La contraseña más común sigue siendo “12345”, lo que reduce de forma drástica la resistencia criptográfica y acorta el tiempo necesario para ataques de fuerza bruta. También aparecen con frecuencia palabras como love, nombres propios y nombres de países.
A esto se suma un problema estructural: la reutilización de contraseñas a lo largo del tiempo. En 2025, el 54% de las contraseñas filtradas ya formaba parte de fugas anteriores, lo que evidencia que muchas personas continúan usando claves antiguas durante años. Según el análisis, la vida media de una contraseña presente en estas filtraciones es de 3,5 a 4 años.
Por qué las contraseñas filtradas siguen siendo un riesgo crítico
El principal problema de las contraseñas filtradas es que, una vez expuestas, pueden ser utilizadas por atacantes para ingresar a cuentas personales sin que el usuario lo advierta. Esto abarca desde correos electrónicos y redes sociales hasta servicios financieros o plataformas laborales.
Como muchas personas repiten la misma contraseña en distintos servicios, una sola filtración puede habilitar accesos indebidos en múltiples cuentas. Además, los ciberdelincuentes cuentan con herramientas capaces de probar millones de combinaciones por segundo, y cuando se encuentran patrones predecibles, el riesgo se multiplica.
En la práctica, estas vulnerabilidades pueden derivar en robo de información, fraudes, suplantación de identidad o incluso la pérdida total de acceso a servicios esenciales. Todos estos hallazgos refuerzan una conclusión clara: la autenticación basada exclusivamente en contraseñas es cada vez más frágil, especialmente cuando no se gestiona de forma adecuada.
Frente a este escenario, la industria avanza hacia métodos de autenticación más modernos y seguros, como los passkeys, que ofrecen una protección significativamente mayor frente a las amenazas actuales.
Un passkey es una forma de inicio de sesión que elimina por completo la necesidad de memorizar contraseñas. Funciona a través de un par de claves criptográficas y, en muchos casos, utiliza datos biométricos del dispositivo, como huella digital o reconocimiento facial, lo que dificulta su robo o suplantación.
A diferencia de las contraseñas tradicionales, un passkey se genera para una cuenta específica y se almacena de manera segura en el dispositivo del usuario o en un gestor de contraseñas. Esto lo vuelve inmune a ataques de phishing, relleno de credenciales o filtraciones masivas.
“Los resultados que vemos año tras año muestran un patrón preocupante: muchas personas siguen utilizando contraseñas débiles, predecibles o directamente recicladas de filtraciones anteriores. Esto significa que un solo descuido puede abrir el acceso a múltiples cuentas personales, laborales o financieras”, aseguró Fabiano Tricarico, Director de Productos para el Consumidor en América Latina de Kaspersky. Y agregó que la dificultad de gestionar decenas de claves termina amplificando el riesgo sin que los usuarios lo perciban.
Para mejorar la seguridad de las cuentas online, los expertos de Kaspersky recomiendan usar contraseñas largas y diferentes en cada servicio, con al menos 12 caracteres que combinen letras, números y símbolos, además de activar la verificación en dos pasos (2FA) como una capa adicional de protección.
También aconsejan desconfiar de enlaces o mensajes sospechosos, mantener aplicaciones y dispositivos actualizados y comenzar a adoptar passkeys como alternativa más segura y simple. Estas credenciales permiten iniciar sesión usando biometría o el propio dispositivo, reduciendo la exposición a ataques y simplificando la experiencia del usuario.
Leer más
Samsung es reconocida por su tecnología transformadora en los Premios a la Innovación CES 2026
