Mejoras para ayudarme a escribir en Gmail
Mayo 7, 2026
Microsoft Agent 365, now generally available, expands capabilities and integrations
Mayo 8, 2026
A pesar de los riesgos, millones siguen usando contraseñas débiles: qué está fallando y cómo proteger tus cuentas online de forma más sencilla que recurrir a “123456”.
07 May 2026
•
,
5 min. read
La contraseña más utilizada a nivel mundial es exactamente la que piensas: “123456”. Así lo indica el último informe anual de NordPass sobre contraseñas expuestas en filtraciones de datos en todo el mundo. Otras opciones demasiado predecibles, como “123456789”, “12345678”, “12345” y “admin”, también demuestran su vigencia año tras año.
Mi primer impulso es descartar esto como alarmismo, especialmente teniendo en cuenta que la mala higiene en contraseñas también fue parte de una sesión con la comunidad que presenté en la reciente conferencia RSAC, Let’s Rant: 4 Things That Need to Change in Cybersecurity.
Pero como hoy es el Día Mundial de la Contraseña, tenía que poner esto a prueba: ¿todavía puedo encontrar un sitio web bastante común que me permita crear una cuenta usando “123456” como contraseña? Lamentablemente, la respuesta es sí.
Hay sitios populares, como Evite, que todavía permiten usar exactamente esta cadena de seis dígitos como contraseña. Podrías minimizarlo como un simple servicio de invitaciones online, hasta que te das cuenta de que estás compartiendo datos personales en esas invitaciones y posiblemente gestionando las respuestas de todos tus invitados a través de una cuenta que no es segura. La parte más impactante de esta prueba bastante básica es que Evite sufrió una filtración de datos en 2019 que afectó la información personal de más de 100 millones de personas. Probablemente la empresa debería saber que no es buena idea permitir contraseñas tan débiles.
La situación no mejora demasiado incluso en servicios mucho más populares. Cuando intenté crear una cuenta nueva en Facebook, la plataforma sí exigía un nivel adicional de complejidad en la contraseña. Sin embargo, una cadena tan simple como “1234567!” resultó ser válida. X ofrecía una experiencia similar.
Ahora bien, Facebook, por ejemplo, sí ofrece algunos consejos como: “evita usar palabras comunes como ‘password’” y “si tu contraseña no es lo suficientemente segura, mezcla mayúsculas y minúsculas. Hazla más compleja usando una frase más larga o una combinación de palabras que puedas recordar pero que otros no conozcan”. Sin embargo, permite el uso de “1234567!”, sin letras, solo un patrón secuencial con un signo de exclamación al final, algo fácilmente adivinable, especialmente por scripts automatizados que prueban cuentas en masa buscando patrones comunes.
Mientras tanto,el diccionario Collins, que maneja contenido mucho menos sensible, me obligó a crear una contraseña de ocho caracteres que incluyera al menos tres de los siguientes elementos: minúsculas (a-z), mayúsculas (A-Z), números (0-9) y caracteres especiales (por ejemplo, !@#$%^&*).
Los datos de NordPass sugieren que hay muchos más sitios que establecen políticas de contraseñas limitadas y permiten claves triviales como “123456”. Sin embargo, creo que también puede haber factores heredados en la forma en que se calculan las contraseñas más comunes. Por ejemplo, si una empresa existe desde hace 10 años y nunca eliminó cuentas inactivas, una filtración incluiría información antigua de usuarios que quizás crearon sus contraseñas antes de que existieran políticas más estrictas. La motivación detrás de publicar datos llamativos también es clara: los proveedores que generan estas noticias pueden beneficiarse, ya que ofrecen gestores de contraseñas por suscripción.
Romper el ciclo
Entonces, ¿cómo resolvemos este ciclo interminable de problemas con las contraseñas, sumado a la situación absurda de que las plataformas sigan permitiendo claves inseguras?
No soy partidario de que los legisladores tengan que sobreproteger a los ciudadanos, pero en este caso creo que ya es momento de que intervengan y pongan fin a la práctica de empresas que no implementan políticas de autenticación estrictas y permiten que los usuarios opten por el camino fácil. Existe abundante legislación sobre privacidad que exige a las empresas proteger nuestros datos personales si los almacenan, mediante medidas de ciberseguridad razonables. Una parte central de estas medidas es el uso de contraseñas fuertes y autenticación multifactor (MFA), tal como lo exige cualquier marco serio de ciberseguridad. Sin embargo, en muchos casos no hay requisitos específicos sobre autenticación en servicios orientados al usuario.
Por otro lado, algunas industrias sí han tenido que modernizarse. En el sector financiero, por ejemplo, regulaciones como la Directiva de Servicios de Pago 2 (PSD2) exigen el uso de MFA para pagos electrónicos y acceso a cuentas online.
La legislación debería extenderse a todos los sectores: imponer MFA para todas las cuentas creadas en internet, independientemente del servicio, abandonar el uso obsoleto de contraseñas y avanzar hacia una seguridad más adecuada para la Internet actual.
El principal obstáculo para este enfoque es la barrera de entrada para quienes crean cuentas. Las empresas que dependen de la publicidad o de la recolección (y venta) de datos personales ejercerán presión en contra, y aquellas con grandes presupuestos buscarán que nada afecte sus ganancias, especialmente medidas como exigir contraseñas complejas o MFA para proteger las cuentas de los usuarios.
Durante gran parte de mi carrera de más de 30 años en ciberseguridad, el tema de las contraseñas débiles ha sido un mensaje constante, repetido en eventos y campañas durante años. Hay una forma simple y efectiva de resolverlo: exigir contraseñas robustas o, mejor aún, MFA. ¿Podemos dejar de hablar de “contraseñas débiles” de una vez por todas?
¡Para todos nuestros lectores!
Aprovechen esta oportunidad de obtener un trial gratuito de 30 días para Google Workspace, la mejor solución para tu empresa. Disfruta de todas sus funcionalidades, como correo electrónico personalizado, almacenamiento en la nube y herramientas de colaboración.
