Una reciente investigación de Kaspersky muestra que la mayoría de las contraseñas filtradas no solo son débiles desde el inicio, sino que además suelen mantenerse sin cambios durante años, lo que las deja prácticamente indefensas frente a cualquier ataque.
A pesar de seguir siendo uno de los métodos de acceso más usados, las contraseñas han dejado de ser una opción realmente segura. Como son creadas por los propios usuarios, suelen incluir patrones fáciles de adivinar que facilitan el trabajo de los atacantes. Al revisar las principales filtraciones ocurridas entre 2023 y 2025, los especialistas de Kaspersky detectaron varios patrones que se repiten una y otra vez.
1. Los usuarios suelen agregar elementos predecibles como números, fechas e identificadores personales. Por ejemplo, el 10% de las contraseñas en los conjuntos de datos analizados contiene un número similar a una fecha (entre 1990 y 2025). El 0.5% de todas las contraseñas filtradas termina en “2024”, es decir, una de cada 200.
2. La combinación de contraseña más común es “12345”, lo que reduce drásticamente la resistencia criptográfica y acorta el tiempo necesario para ataques de fuerza bruta. Otros componentes habituales son la palabra “love”, nombres de personas y nombres de países.
3. Además, la mayoría de las contraseñas filtradas permanecen sin cambios durante años. En 2025, el 54% de las contraseñas filtradas ya formaba parte de fugas anteriores, lo que evidencia el uso repetido de contraseñas antiguas. Según el análisis, la vida media de una contraseña presente en estas filtraciones es de 3.5 a 4 años.
El gran problema de las contraseñas filtradas es que, una vez expuestas, pueden ser usadas por atacantes para entrar en cuentas personales sin que el usuario lo note. Esto incluye desde correos y redes sociales hasta servicios financieros o de trabajo. Como muchas personas repiten la misma clave en varias plataformas, una sola filtración puede abrir la puerta a múltiples accesos indebidos.
Además, los ciberdelincuentes utilizan herramientas capaces de probar millones de combinaciones por segundo, y cuando encuentran patrones predecibles el riesgo aumenta todavía más. En la práctica, esto puede traducirse en robo de información, fraudes, suplantación de identidad o pérdida de acceso a servicios esenciales.
Todos estos hallazgos dejan en evidencia que la autenticación basada en contraseñas es cada vez más frágil, sobre todo cuando no se crean ni se administran de forma correcta. Ante este escenario, la industria está avanzando hacia métodos más modernos y seguros, como los passkeys, que ofrecen una protección mucho mayor frente a amenazas actuales.
Un passkey es una forma de inicio de sesión que elimina por completo la necesidad de memorizar contraseñas. Funciona mediante un par de claves criptográficas y, en muchos casos, datos biométricos del dispositivo, como huella o reconocimiento facial, lo que dificulta su robo o suplantación. A diferencia de las contraseñas tradicionales, un passkey se genera para una cuenta específica en un servicio concreto, y se almacena de manera segura en el dispositivo del usuario o en un gestor de contraseñas.
Esto lo hace inmune a ataques como phishing, relleno de credenciales o filtraciones masivas de claves.
“Los resultados que vemos año tras año muestran un patrón preocupante: muchas personas siguen utilizando contraseñas débiles, predecibles o directamente recicladas de filtraciones anteriores. Esto significa que un solo descuido puede abrir el acceso a múltiples cuentas personales, laborales o financieras. La realidad es que gestionar decenas de claves, cambiarlas con frecuencia y recordar cuáles corresponden a cada servicio se ha vuelto una carga difícil de sostener para cualquier usuario.
Ese desgaste diario no solo afecta la experiencia, también amplifica el riesgo y deja a millones expuestos sin darse cuenta”, asegura Fabiano Tricarico, Director de Productos para el Consumidor en América Latina de Kaspersky.
Para proteger tus cuentas en Internet, los expertos de Kaspersky recomiendan:
1. Usa contraseñas largas y diferentes en cada servicio: No repitas la misma clave para todo. Si una se filtra, las demás quedan en riesgo. Una buena contraseña debe tener al menos 12 caracteres combinando letras, números y símbolos.
2. Activa la verificación en dos pasos (2FA): Es un segundo candado que pide un código extra al iniciar sesión. Puede venir por mensaje, app o biometría. Aunque alguien obtenga tu contraseña, no podrá entrar sin ese paso adicional.
3. Desconfía de enlaces o mensajes sospechosos: Si recibes un correo o SMS pidiendo que “verifiques tu cuenta” o que “actualices tu contraseña”, no hagas clic. Entra directamente al sitio oficial desde tu navegador.
4. Actualiza tus aplicaciones y dispositivos: Muchas actualizaciones corrigen fallos de seguridad que los atacantes aprovechan. Mantener todo al día es una de las defensas más simples y efectivas.
5. Empieza a usar passkeys para mayor seguridad y menos complicaciones: Los passkeys permiten iniciar sesión sin contraseñas, usando tu rostro, tu huella o un toque en el dispositivo. Son más seguros porque no pueden filtrarse ni ser robados como una clave tradicional. Ahora puedes crearlos y guardarlos en Kaspersky Password Manager, que los sincroniza entre tus dispositivos. Solo necesitas actualizar la app, abrir un sitio compatible y seguir las instrucciones para generar tu passkey.
