123456 domina en 2025: la persistente crisis de las contraseñas débiles y sus riesgos

En pleno año 2025, donde la inteligencia artificial y la computación avanzada dominan la conversación tecnológica, el eslabón más débil de la cadena de seguridad sigue siendo el factor humano. Un reciente informe de ESET, compañía líder en detección proactiva de amenazas, ha arrojado luz sobre una realidad preocupante: la sofisticación de los ataques cibernéticos ha evolucionado, pero nuestros hábitos de protección permanecen estancados en décadas pasadas.

La analogía es contundente: utilizar credenciales predecibles hoy en día equivale a cerrar una puerta blindada con un pestillo de papel o instalar una caja fuerte biométrica y dejar la combinación escrita en un post-it pegado al frente. Los reportes más recientes de NordPass y Comparitech confirman que la secuencia numérica «123456» se mantiene inamovible como la contraseña más utilizada del mundo, poniendo en riesgo crítico la integridad de datos personales y corporativos.

Un patrón de inseguridad que trasciende generaciones

Uno de los hallazgos más reveladores de los estudios de este año es la transversalidad del descuido. Podría pensarse que los nativos digitales poseen una «higiene cibernética» superior a la de sus predecesores, pero los datos demuestran que el mal hábito de elegir claves débiles no discrimina por edad.

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, destaca que la imprudencia es un rasgo compartido. Desde la Generación Z (nacidos entre 1997-2012) hasta los Baby Boomers (1946-1964), la tendencia a la simplificación es alarmante.

Comportamiento por grupos etarios

El análisis de las credenciales revela patrones psicológicos distintos pero igualmente vulnerables:

• Generación Z y Millennials: A pesar de haber crecido conectados, optan por secuencias numéricas rápidas de digitar en teclados móviles. El 25% de las 1.000 contraseñas principales a nivel global consisten únicamente en números.
• Generación X y Baby Boomers: Tienden a utilizar nombres propios, fechas significativas o secuencias simples que sean fáciles de recordar, facilitando los ataques de diccionario o ingeniería social.

El panorama en Latinoamérica

La región latinoamericana presenta un escenario crítico. A la falta de cultura en seguridad digital se suma un incremento notable en el volumen de ciberataques dirigidos. Países como Colombia, Brasil, Chile y México figuran en los reportes con listas de contraseñas que son, en esencia, invitaciones abiertas a los ciberdelincuentes.

El uso de nombres de equipos de fútbol locales, variaciones de la palabra «contraseña» en español o portugués, y series numéricas básicas, contribuyen a una vulnerabilidad regional sistémica. Al utilizar estas claves, los usuarios no solo comprometen sus cuentas bancarias o redes sociales, sino que se convierten en vectores de ataque para las redes a las que se conectan.

El costo corporativo y el incidente del Louvre

Si en el ámbito personal el riesgo es alto, en el corporativo es catastrófico. Las empresas de sectores críticos como salud, finanzas y tecnología siguen encabezando las listas de filtraciones debido a credenciales pobres. Según datos de Verizon citados en el informe, el 70% de las filtraciones de datos en empresas se originan por el uso de contraseñas débiles por parte de los colaboradores.

Un ejemplo paradigmático ocurrido en octubre de 2025 ilustra la gravedad del asunto. El sistema de seguridad del Museo del Louvre en París, custodio de un patrimonio incalculable, fue vulnerado. La causa no fue un software sofisticado de última generación, sino una negligencia humana básica: la contraseña de acceso a la red de seguridad era, irónicamente, «Louvre».

Este descuido permitió a los atacantes comprometer toda la red de vigilancia, resultando en el robo de joyas valoradas en más de 100 millones de dólares. Este caso demuestra que la inversión millonaria en hardware de seguridad (cámaras, sensores, puertas blindadas) queda anulada si la llave digital de acceso es predecible.

Cómo construir una defensa robusta

Para un cibercriminal equipado con herramientas de fuerza bruta automatizadas, descifrar «123456» o «password» toma menos de un segundo. La solución, según los expertos de ESET, radica en aumentar la entropía (el grado de aleatoriedad y complejidad) de nuestras credenciales.

Longitud y complejidad

La barrera matemática es la mejor defensa. Las contraseñas deben tener una longitud mínima de 12 caracteres. Cada carácter adicional aumenta exponencialmente el tiempo necesario para crackear la clave. Además, es imperativo mezclar mayúsculas, minúsculas, números y símbolos especiales.

Aleatoriedad sobre memoria

El cerebro humano es malo creando aleatoriedad; tendemos a buscar patrones. Por ello, se recomienda evitar palabras de diccionario, fechas de nacimiento o nombres de mascotas. La mejor opción es utilizar un Generador de Contraseñas y almacenar estas claves complejas en un Gestor de Contraseñas confiable.

Diversidad de credenciales

Finalmente, la regla de oro: nunca reutilizar la misma contraseña. Si una plataforma sufre una brecha de seguridad y utilizas la misma clave para tu correo y tu banco, el efecto dominó puede ser devastador. La segmentación de credenciales es vital para contener posibles daños.

En conclusión, mientras la tecnología avanza hacia 2026, la seguridad sigue dependiendo de decisiones humanas conscientes. Dejar atrás el «123456» no es solo una recomendación técnica, es una necesidad imperativa para proteger nuestra vida digital.