A pesar de décadas de advertencias, la forma en que muchas personas crean sus contraseñas apenas ha cambiado. Diversos informes siguen mostrando que las contraseñas más usadas son extremadamente simples. En España y otros países, algunas de las más comunes en 2025 han sido:
- 123456
- admin
- 12345678
- 123456789
- 12345
- password
- 111111
El problema de estas contraseñas no es solo que sean cortas, sino que además son predecibles. Los ataques actuales utilizan técnicas automatizadas (fuerza bruta o diccionario) que prueban primero combinaciones comunes. Esto significa que contraseñas como “123456” o “password” pueden descifrarse en segundos o incluso menos. Además, la reutilización de contraseñas multiplica el riesgo: si una cuenta se ve comprometida, los atacantes prueban la misma clave en otros servicios, un factor que contribuye a numerosas brechas de seguridad.
Conviene recordar que las recomendaciones para crear contraseñas seguras no son nuevas. Desde hace décadas, muchas organizaciones de ciberseguridad publican guías sobre cómo elegir claves robustas. Sin embargo, la investigación sobre el comportamiento real de los usuarios y la evolución de los ataques ha demostrado que algunas de las normas tradicionales no funcionaban tan bien como se esperaba. Por ese motivo, en los últimos años, organismos como el NIST (National Institute of Standards and Technology) han revisado sus directrices y han introducido cambios importantes en la forma de entender la seguridad de las contraseñas.
Antes: reglas estrictas y cambios frecuentes
Durante muchos años, las recomendaciones de seguridad se centraron en tres ideas principales:
- Cambiar la contraseña cada 60 o 90 días.
- Exigir combinaciones complejas de mayúsculas, números y símbolos.
- Imponer reglas estrictas de formato.
Por ejemplo, la política de caducidad periódica cada 90 días fue durante años una recomendación habitual en estándares de seguridad. Sin embargo, la experiencia demostró que estas medidas tenían efectos no deseados: los usuarios tendían a elegir contraseñas más débiles o a modificar mínimamente las anteriores (por ejemplo, añadiendo un número al final).
Ahora: menos reglas arbitrarias, más eficacia
Las guías actuales, como las del NIST, han cambiado significativamente el enfoque. Entre las recomendaciones actuales destacan:
- No exigir cambios periódicos sin evidencia de compromiso.
- Priorizar la longitud sobre la complejidad artificial.
- Permitir frases largas en lugar de combinaciones difíciles de recordar.
Por ejemplo, el NIST recomienda contraseñas de al menos 15 caracteres y señala que las frases de varias palabras pueden ser más seguras y fáciles de recordar. El cambio de paradigma es claro: el objetivo ya no es obligar a los usuarios a seguir reglas difíciles, sino favorecer prácticas que realmente mejoren la seguridad.
Consejos actuales para crear contraseñas seguras
A partir de estas recomendaciones y de la evidencia acumulada, hoy se considera buena práctica:
- Usar contraseñas largas o frases (idealmente 15 caracteres o más).
- Evitar palabras comunes, secuencias o datos personales.
- No reutilizar contraseñas entre servicios.
- Activar la autenticación en dos factores siempre que sea posible.
- Utilizar gestores de contraseñas para generar claves únicas y robustas.
Estas medidas reducen significativamente el riesgo de accesos no autorizados.
El papel del usuario: el eslabón decisivo
A menudo se piensa que la ciberseguridad depende únicamente de los sistemas o del software, pero la evidencia muestra que el factor humano sigue siendo determinante. Contraseñas débiles, reutilización de credenciales o descuidos básicos continúan siendo causas habituales de incidentes en empresas y organizaciones.
Por muy avanzadas que sean las herramientas de seguridad, la protección real de los sistemas depende en gran medida de las decisiones cotidianas de los usuarios: cómo crean sus contraseñas, cómo las gestionan y qué prácticas adoptan. En este sentido, la concienciación y la formación siguen siendo una de las medidas de seguridad más eficaces y rentables para cualquier organización.
