Las contraseñas más usadas en 2025 siguen poniendo en riesgo millones de cuentas

Un nuevo informe del portal especializado Comparitech pone de manifiesto la alarmante persistencia de hábitos inseguros entre los usuarios de servicios digitales. '123456', 'admin' y 'password' son, un año más, las contraseñas más elegidas para proteger el acceso a cuentas, haciendo justo lo contrario de lo que pretenden: poner en grave riesgo la seguridad. Dada su facilidad para ser adivinadas, estas claves representan una puerta de entrada para los ciberdelincuentes.

El peligro de las contraseñas más comunes

Comparitech ha elaborado su clasificación anual de las cien contraseñas más utilizadas en 2025, basándose en los datos agregados y actualizados de más de 2.000 millones de credenciales filtradas en canales delictivos.

La supremacía de la debilidad es evidente:

• '123456' se mantiene en la cima, usada en 7.618.192 cuentas analizadas.
• Le siguen de cerca '12345678', presente en 3.676.487 cuentas, y '123456789', con 2.866.100 usos.

La lista de las más frecuentes incluye otras claves muy débiles. 'admin' protege 1.987.808 cuentas, mientras que 'password' es la contraseña elegida en 1.082.010 ocasiones. Ejemplos como '111111' y 'admin123' también se encuentran entre las veinte más usadas, revelando una tendencia preocupante. En el puesto número cien de la clasificación se halla 'minecraft', utilizada en 69.464 cuentas.

Un reto mínimo para los cibercriminales

La clasificación subraya que estas contraseñas no suponen ningún reto para los cibercriminales. Una cuarta parte de las mil claves más comunes está compuesta solo por números. También es frecuente el uso de palabras comunes y fáciles de recordar, como 'admin', 'qwerty' —que sigue el orden de una fila de teclas del teclado—, y 'password'. Respecto a la longitud, la mayoría de las claves más frecuentes tienen ocho caracteres (18 %), un tamaño que, si bien es el más popular, a menudo resulta insuficiente sin la complejidad adecuada.

Recomendaciones de seguridad y el auge de las 'Passkeys'

Actualmente, el uso de una simple contraseñas ya no se considera una medida de protección totalmente eficaz por sí sola, recomendándose complementarla con un segundo factor de autenticación, como un código de un solo uso o una aprobación en el móvil.

Una alternativa cada vez más promovida es el uso de las claves de acceso o 'passkeys'. Estas se basan en el estándar Fast IDentity Online 2 (FIDO2) y solo requieren que el usuario se autentique con el rostro, la huella dactilar o un código PIN. Las passkeys utilizan una clave criptográfica pública en la web y otra privada almacenada en la cuenta del usuario, lo que garantiza que, incluso si una web sufre una brecha de seguridad, la cuenta personal permanece a salvo.

Cómo crear claves fuertes

A pesar del avance de las passkeys, las contraseñas siguen siendo la medida de seguridad dominante. Por ello, es crucial que sean robustas para cumplir con su función.

Para crear una clave fuerte, se debe evitar a toda costa aquellas que sean cortas, fáciles de adivinar o que incluyan información personal. Se recomienda una extensión mínima de ocho caracteres, aunque más es mejor, y deben combinar letras en mayúscula y minúscula con números y símbolos. Finalmente, cada cuenta debe tener una clave única. Para gestionar y recordar todas estas claves complejas, la mejor herramienta es utilizar un gestor de contraseñas, que las almacena de forma segura y facilita su cambio periódico.