Las contraseñas más usadas en España que deberías cambiar hoy mismo

Elegir buenas contraseñas sigue siendo una de esas tareas que muchos dejamos para otro día… y así nos va. En España millones de usuarios continúan usando claves absurdamente fáciles como 123456 o admin, a pesar de los avisos constantes de expertos, empresas de ciberseguridad y organismos públicos. El resultado es que romper muchas de estas contraseñas lleva menos de un segundo.

En los últimos informes de NordPass y otras empresas especalizadas aparece siempre la misma fotografía: contraseñas cortas, previsibles, repetidas en decenas de servicios y extremadamente vulnerables a ataques automatizados. Vamos a ver cuáles son las contraseñas más usadas en España, por qué son tan peligrosas y qué deberías estar haciendo ya mismo para proteger tus cuentas.

Las contraseñas más usadas en España: el ranking que nadie debería copiar

Los estudios más recientes sobre hábitos de contraseñas en España muestran un patrón bastante preocupante. Las combinaciones numéricas sencillas y los patrones de teclado siguen dominando las listas, tanto en cuentas personales como en cuentas corporativas.

En uno de los listados elaborados a partir de filtraciones reales, NordPass y NordStellar han analizado una base de datos gigantesca, de unos 2,5 terabytes de credenciales expuestas en la dark web y otras fuentes públicas. A partir de esos datos han identificado las contraseñas más repetidas en España, así como el tiempo aproximado que tardaría un atacante en romper cada una.

En un informe se destaca un dato llamativo: para España, “admin” aparecía como la contraseña más utilizada, desbancando a la archiconocida 123456, que pasa al segundo puesto, seguida muy de cerca por 12345678, 123456789 y 12345. Además, se detectan muchas variaciones de la palabra “password” y combinaciones simplonas de letras y números.

En otro listado más detallado de contraseñas personales usadas en España se repite la misma historia, con ligeros cambios de orden. Estas son las diez claves más repetidas en 2024 en cuentas personales españolas, junto con el tiempo estimado de hackeo:

• 123456 – < 1 segundo – 27.374 usos
• 123456789 – < 1 segundo – 14.385 usos
• 12345678 – < 1 segundo – 7.811 usos
• España – ~2 minutos – 7.349 usos
• qwerty123 – < 1 segundo – 5.620 usos
• 12345 – < 1 segundo – 5.179 usos
• qwerty1 – < 1 segundo – 4.907 usos
• 1234567890 – < 1 segundo – 3.439 usos
• password – < 1 segundo – 2.804 usos
• 1234567 – < 1 segundo – 2.743 usos

El informe amplía el ranking hasta las 20 contraseñas más repetidas en España y aparecen términos como “barcelona”, “ESPAÑA” en mayúsculas, “alejandro”, “cristina” o variaciones como Qwerty123. El denominador común es que casi todas se pueden romper en menos de un segundo, salvo algunos nombres propios o palabras con cierta mezcla que aguantan apenas segundos u horas.

La cosa no mejora cuando miramos las contraseñas de empresa en España. En las cuentas corporativas siguen apareciendo 123456, 12345, 123456789, España o password como credenciales habituales, con miles de usos cada una. Incluso se detectan claves como “teamo”, “maria” o “Spain” reutilizadas en entornos profesionales.

Qué está pasando fuera de España: panorama global igual de desastroso

A nivel mundial el escenario es calcado. “123456” vuelve a situarse como la contraseña más usada del planeta, con más de 3 millones de usos registrados a nivel personal y más de 1,2 millones en cuentas de empresa. Le siguen 123456789 y 12345678, y en el top global también destacan clásicos como password, qwerty123, qwerty1, 111111, 12345, abc123, iloveyou o secret.

En las 20 contraseñas más usadas globalmente para uso personal se observa que todas se descifran en menos de un segundo con herramientas de fuerza bruta. El listado incluye combinaciones como 000000, 1111111, 123123 o dragon, todas ellas extremadamente previsibles.

En cuanto a las contraseñas de empresa a escala mundial, la situación también asusta. Las organizaciones repiten el mismo catálogo de claves débiles: 123456, 123456789, 12345678, secret, password, qwerty123, qwerty1, 111111, 123123 y similares, todas con tiempos de hackeo inferiores al segundo.

Curiosamente, los informes detectan patrones culturales en algunos países: palabras relacionadas con deportes, insultos o expresiones locales aparecen en múltiples listas nacionales. En Francia se ve “motdepasse”, en Eslovaquia “heslo”, en Finlandia “salasana”, y en España tienen peso términos como “España” o “barcelona”.

A pesar de todo el discurso sobre nativos digitales, las investigaciones de NordPass apuntan a que la edad apenas influye en los malos hábitos de contraseñas. Personas de 18 y de 80 años repiten combinaciones numéricas como 12345 o 123456. La diferencia principal entre generaciones es el uso de nombres propios, más habitual entre generaciones mayores (con nombres frecuentes como “Veronica”, “Maria” o “Susana”) que entre los más jóvenes, que prefieren cadenas numéricas largas o términos de moda como “skibidi”.

Por qué estas contraseñas son un regalo para los ciberdelincuentes

La razón por la que todo esto es tan peligroso es sencilla: los ataques de fuerza bruta y el uso de credenciales filtradas se han automatizado al máximo. Programas especializados pueden probar miles o millones de combinaciones por segundo, empezando siempre por las más comunes, que además son de dominio público.

Según datos citados en los informes, alrededor del 80 % de las brechas de datos están relacionadas con contraseñas débiles, robadas o reutilizadas. Otro estudio de Verizon indica que aproximadamente el 86 % de los ataques a aplicaciones web se ejecutan con credenciales previamente robadas o fáciles de adivinar.

Los atacantes combinan varias técnicas: fuerza bruta pura y dura, diccionarios de contraseñas filtradas y redes neuronales entrenadas para anticipar patrones humanos. Eso significa que combinaciones como “qwerty123” o “1234ivan” no son en absoluto originales: la IA las tiene entre sus primeros intentos porque detecta esos patrones de teclado y de nombres con números de forma casi instantánea.

Además, la comodidad juega en contra de la seguridad. Un usuario medio gestiona entre 70 y 80 contraseñas distintas, y eso lleva a la fatiga: se terminan reciclando las mismas claves en varios servicios o se eligen secuencias fáciles de recordar, sobre todo en webs que se perciben como “menos importantes”.

Pero esa falsa sensación de poca importancia es un problema. Una contraseña sencilla reutilizada en una web cualquiera puede terminar comprometida en una filtración, y los atacantes probarán esa misma combinación en el correo, la banca online, redes sociales o plataformas corporativas. Es lo que se conoce como ataques de relleno de credenciales (credential stuffing).

Impacto real en España: fraudes, phishing y más brechas

Las cifras de incidentes de ciberseguridad en España confirman que el problema de las contraseñas débiles no es teórico. El Instituto Nacional de Ciberseguridad (INCIBE) ha gestionado en un año reciente más de 120.000 incidentes, con un crecimiento cercano al 26 % frente al periodo anterior.

De ese volumen, casi 46.000 casos estaban relacionados con fraude online, y el phishing fue el tipo de ataque más habitual con más de 25.000 incidentes registrados. En muchos de esos casos, los delincuentes combinan ingeniería social (correos o SMS engañosos) con credenciales ya filtradas o robadas por otros medios.

Centros especializados como ZIUR, el Centro de Ciberseguridad Industrial de Gipuzkoa, alertan de que la ruptura de contraseñas por fuerza bruta es uno de los vectores de ataque más utilizados porque “funciona muy bien”. Los atacantes empiezan por las combinaciones que saben que se repiten más y avanzan a una velocidad que ningún humano puede igualar.

En 2024, solo en España, las tres contraseñas más usadas (123456, 123456789 y 12345678) se utilizaron casi 50.000 veces, y todas ellas se rompen en menos de un segundo. Si sumamos el resto del top 10 (donde aparecen qwerty123, España, qwerty1, 1234567890, password y 1234567), hablamos de más de 80.000 usos de claves que prácticamente no aportan seguridad.

En entornos corporativos el riesgo se multiplica: una contraseña débil asociada a un usuario de empresa puede ser la puerta de entrada para ataques de ransomware, robo de datos sensibles o fraudes financieros. Una vez dentro, los atacantes pueden desplazarse lateralmente por la red y escalar privilegios hasta llegar a sistemas críticos.

Generaciones y mitos: el falso “nativo digital” y los nombres propios

Una de las conclusiones más curiosas de los informes de NordPass es la del llamado “mito del nativo digital”. Haber crecido con la tecnología no significa usarla de forma segura. Las personas jóvenes siguen creando contraseñas tan malas como las de las generaciones anteriores.

El análisis por franjas de edad muestra que combinaciones como 12345 o 123456 encabezan el ranking en todos los grupos. Las diferencias aparecen sobre todo en el uso de nombres propios: las generaciones más mayores (Baby Boomers o generación silenciosa) tienden a utilizar sus nombres o los de familiares como contraseña.

En los estudios aparecen ejemplos concretos: “Veronica” es un nombre muy recurrente entre la generación X, mientras que “Maria” domina entre los Baby Boomers y “Susana” destaca en la generación silenciosa o de posguerra. Estos nombres se mezclan a veces con números sencillos, lo que apenas añade seguridad.

Las generaciones más jóvenes, como la Z o la Y (millennials), en cambio, no usan tanto sus nombres en las contraseñas, sino que se decantan por cosas como 1234567890 o términos de moda (por ejemplo, “skibidi”). El problema es el mismo: patrones fáciles de predecir que cualquier herramienta de ataque moderna conoce de sobra.

Los expertos coinciden en que, pese a años de campañas de concienciación, la “higiene de contraseñas” ha mejorado muy poco. Sigue primando la comodidad inmediata frente a la seguridad, incluso sabiendo que cada vez hay más servicios críticos ligados a nuestras credenciales: banca, impuestos, salud, trabajo remoto, etc.

Qué hace realmente segura una contraseña (y qué no)

Un punto clave de todos los informes es desmontar la idea de que la seguridad se basa solo en poner símbolos raros. Lo que de verdad importa es la longitud y la imprevisibilidad. Una contraseña corta, aunque tenga números y signos, suele ser mucho más débil que una frase larga.

Expertos en criptografía y ciberseguridad insisten en que una frase de contraseña extensa resulta mucho más robusta que una palabra corta con sustituciones típicas (como P4$$w0rd!). Una cadena del estilo “MiGatoComeAtunEnElParque2026” ofrece una resistencia muy superior, precisamente por el número de caracteres y la baja previsibilidad del conjunto.

Las recomendaciones de organismos como el INCIBE o empresas como ESET, NordPass o ZIUR van en la misma dirección: apuestan por contraseñas largas, aleatorias y únicas por servicio. En algunos casos se habla de un mínimo de 8-10 caracteres; en otros, se recomienda irse a 12 o incluso 20 caracteres, combinando mayúsculas, minúsculas, números y símbolos.

Otra idea que aparece de forma recurrente es que la longitud protege más que la complejidad arbitraria. De poco sirve una clave muy complicada de escribir si solo tiene 8 caracteres: un ordenador moderno puede probar todas las combinaciones en un tiempo razonable, especialmente si ya está trabajando con diccionarios de patrones humanos.

La realidad, además, es que las contraseñas están destinadas a ir perdiendo protagonismo con la llegada de tecnologías como las passkeys o llaves de acceso basadas en biometría y criptografía de clave pública. Pero todavía falta para que estén disponibles y bien integradas en todos los servicios, así que durante un tiempo seguiremos dependiendo de las contraseñas clásicas.

Consejos prácticos: cómo gestionar bien tus contraseñas hoy

Mientras esa transición no se completa, los expertos recomiendan adoptar una estrategia de protección por capas. No se trata solo de inventar una nueva contraseña complicada, sino de cambiar la forma en que gestionas todas tus claves.

Lo primero es obvio: si alguna de tus contraseñas aparece en estos listados (123456, admin, qwerty, España, password, etc.), cámbiala ya. Y no solo en un sitio: si la has reutilizado, hay que modificarla en todos los servicios donde la hayas puesto, empezando por el correo electrónico, la app del banco y cualquier otra plataforma sensible.

En paralelo, todas las fuentes coinciden en varios principios básicos:

• Evita secuencias y patrones obvios: nada de 123456, 111111, qwerty, qwerty123, fechas de nacimiento ni datos personales (nombres de hijos, mascotas, parejas, etc.). Son lo primero que se prueba en ataques automatizados y también mediante ingeniería social.
• Usa una contraseña diferente en cada servicio importante: reutilizar la misma clave multiplica el impacto de una sola filtración. Si roban tu contraseña en una web cualquiera, la probarán en todos los servicios populares.
• Apuesta por frases largas: combina varias palabras sin relación aparente, añade números y símbolos en medio y procura superar con holgura los 12 caracteres.
• Activa la verificación en dos pasos (2FA) siempre que puedas, especialmente en correo, bancos, redes sociales, servicios en la nube o herramientas de trabajo.
• Mantén dispositivos y aplicaciones actualizados: muchas brechas aprovechan vulnerabilidades conocidas en sistemas sin parchear.

También es fundamental cuestionar cualquier mensaje que te pida cambiar la contraseña con urgencia. Muchos intentos de phishing se disfrazan de avisos de seguridad falsos del banco, de la plataforma de correo o de empresas conocidas. Si recibes un correo sospechoso, entra siempre escribiendo tú la URL en el navegador, nunca desde el enlace del mensaje.

Gestores de contraseñas y 2FA: tus mejores aliados

Con decenas de servicios online por persona, pretender memorizar todas las contraseñas robustas es inviable. Por eso todos los expertos coinciden en la misma solución: usar un gestor de contraseñas y reforzar tus cuentas con autenticación en dos pasos.

Un gestor de contraseñas es una aplicación (o función integrada en el sistema operativo o el navegador) que permite generar, guardar y rellenar automáticamente contraseñas complejas. Herramientas como NordPass, 1Password, Bitwarden, KeePass u otras alternativas, junto a los gestores nativos de iOS, Android o los navegadores, cifran localmente tus claves y solo necesitas recordar una contraseña maestra robusta.

Frente al mito de que “es más seguro tenerlas en la cabeza”, lo cierto es que un gestor bien configurado es muchísimo más seguro que reutilizar un par de contraseñas fáciles o llevarlas anotadas en un papel, en una libreta al lado del ordenador o en notas sin cifrar del móvil.

Por otro lado, la autenticación en dos pasos (2FA) añade una barrera extra: aunque alguien averigüe tu contraseña, necesitará un segundo factor (un código SMS, una app de autenticación, una llave física, etc.) para entrar. Hoy en día casi todos los servicios importantes ofrecen esta opción.

Centros como ZIUR o el propio INCIBE recalcan que activar el 2FA en servicios críticos (correo, banca, pago online, redes sociales, paneles de empresa) es una de las medidas que más complica la vida a los atacantes. Sí, añade un pequeño paso extra en cada inicio de sesión, pero el nivel de protección que ofrece compensa con creces esa mínima incomodidad.

En el ámbito empresarial, además de fomentar el uso de gestores y 2FA, se recomienda definir políticas razonables de cambio de contraseña. Obligar a cambiarla demasiado a menudo puede provocar que la gente repita patrones previsibles; es más efectivo buscar contraseñas más robustas y rotarlas con menos frecuencia, pero siempre después de posibles incidentes o sospechas de compromiso.

El panorama que dibujan NordPass, ESET, ZIUR, INCIBE y otros actores del sector no es precisamente alegre: seguimos abusando de contraseñas flojas, de patrones obvios y de la reutilización masiva de credenciales, en España y fuera. Pero también dejan claro que con unos cuantos ajustes asumibles —frases largas, gestores de contraseñas, 2FA y algo de sentido común— se puede pasar de ser un objetivo facilísimo a alguien mucho más difícil de atacar para los ciberdelincuentes.