La contraseña ideal debe contener números, letras en mayúscula y minúscula, signos y tener una longitud mínima de 12 caracteres
¿Cómo funciona un gestor de contraseñas?
Hay algo que la Policía Nacional y la Guardia Civil tienen en común con las empresas especializadas en ciberseguridad: el asombro renovado, año tras año, ante la resistencia ciudadana a abandonar contraseñas que cualquier delincuente probaría a las primeras de cambio. Durante los últimos meses ambos cuerpos han lanzado avisos en redes sobre este problema, que lleva décadas sobre la mesa, pero no acaba de resolverse. Las claves más usadas en España siguen siendo las más fáciles de vulnerar. Y algunas, como "Ana123", parecen de lo más inocentes, pero son las primeras que caen.
Un ranking que no debería sorprender
El informe anual de NordPass, basado en el análisis de 2,5 terabytes de credenciales filtradas en la dark web y otras fuentes públicas, incluye 44 países, incluida España. Los datos son reveladores: la contraseña más usada fue "123456", utilizada por 27.374 personas.
Le siguen otras contraseñas igualmente poco creativas como "123456789", con 14.385 usos, y "12345678", con 7.811. Las tres se descifran en menos de un segundo. En el cuarto puesto aparece "España", con 7.349 usos y para esta se estima un tiempo de crackeo de dos minutos. A partir de ahí, el resto del top diez, compuesto por "qwerty123", "12345", "qwerty1", "1234567890", "password" y "1234567", vuelve necesitar menos de un segundo.
Para 2026, la tendencia se agrava en un sentido. Según análisis de ESET, "admin" ha desbancado a "123456" como la contraseña más utilizada en España, seguida de "123456", "12345678", "123456789" y "12345". Este cambio no significa que hayamos aprendido la lección, sino todo lo contrario. Y es que, "admin" es precisamente la primera combinación que cualquier ataque automatizado intenta al acceder a dispositivos, paneles de control o redes empresariales.
El aviso de la Policía Nacional
La Policía Nacional ha recordado a los usuarios que siguen protegiendo sus dispositivos con contraseñas de lo más simple que están en peligro. Además, afirman que hay un pequeño top de contraseñas que conviene evitar a toda costa:
- Secuencias numéricas básicas ("123456")
- Genéricos como "admin" o "password"
- El nombre de la mascota (tipo "Simba")
- El nombre propio seguido de números, como "Ana123"
- Lugares y números, como “Madrid2025”
El último punto es el más insidioso. Una combinación como "Ana123" parece más elaborada que "123456" porque mezcla letras y números, pero su estructura, con un nombre propio más dígitos, es uno de los patrones más probados por los atacantes. Las herramientas automatizadas los generan por millones en cuestión de segundos.
La combinación de un nombre seguido de cifras responde a un patrón conocido en ciberseguridad como "leet speak básico" o simplemente sustitución predecible. Los atacantes alimentan sus herramientas de fuerza bruta con diccionarios de nombres comunes combinados con números del 0 al 9999. El resultado es que una clave aparentemente personalizada se convierte en un objetivo de alcance trivial. Las contraseñas débiles son vulnerables a ataques de fuerza bruta, mediante los cuales los ciberdelincuentes prueban combinaciones hasta dar con la clave correcta.
El aviso de la Guardia Civil pretende concienciarnos del problema que suponen las contraseñas poco seguras, ya que pueden convertir a los usuarios en víctimas de ataques de ransomware, un tipo de ciberataque que cifra la información del dispositivo y exige un rescate económico para recuperarla. Entre las consecuencias más graves se encuentran el robo de identidad, la pérdida o destrucción de archivos, el daño reputacional y los costes económicos derivados de recuperar cuentas o reparar los daños causados por una brecha de seguridad. Lo conveniente es tener contraseñas más largas y complejas, ya que las contraseñas de 8 caracteres ya no son suficientes, fijándose el nuevo estándar en un mínimo de 12.
Recomendaciones para crear una contraseña segura
El Instituto Nacional de Ciberseguridad establece una serie de criterios concretos: longitud mínima de 8 a 10 caracteres, y cuanto más larga, mejor, combinación de letras mayúsculas y minúsculas, números y caracteres especiales como @, #, $ o ¡, ausencia de información personal como nombre, cumpleaños o teléfono, y evitar palabras comunes o secuencias de teclado como "123456" o "qwerty".Además, se recomienda cambiar las contraseñas periódicamente, al menos cada seis meses, y usar un gestor de contraseñas para no reutilizar la misma clave en diferentes servicios.
Para quien encuentre difícil memorizar combinaciones aleatorias, la Policía Nacional sugiere el método de la frase larga. Es decir, en lugar de una palabra simple como "Lunes", se puede usar una frase como "Odio_Los_Lunes_Por_La_Mañana_9!". Este tipo de contraseña es larga, incluye símbolos, números y letras en distintos formatos, y resulta mucho más segura.
El último escalón de protección es la verificación en dos pasos (2FA), que añade una capa extra incluso si la contraseña cae en manos equivocadas. Con "Ana123" como única barrera, sin doble factor, el acceso a una cuenta bancaria o a un correo corporativo puede consumar un daño que no se mide en segundos sino en consecuencias que duran meses.