Si tu contraseña es «123456», «admin» o «12345678», un atacante la descifra en menos de un segundo. Lo recoge Antonio Vallejo en Xataka este 10 de mayo de 2026, coincidiendo con el Día Mundial de la Contraseña. La fuente es el informe anual de NordPass y NordStellar, elaborado con una base de datos de 2,5 terabytes de credenciales filtradas en la dark web y otras fuentes de acceso público, analizando 44 países. España no sale bien parada.
Las tres contraseñas más utilizadas en nuestro país en 2025 son admin, 123456 y 12345678: exactamente las mismas que en México, China, Chile y Emiratos Árabes. No es una coincidencia cultural; es una demostración de que la comodidad gana al criterio de seguridad en todo el mundo.
Las contraseñas que más se usan en España (y lo que tardan en romperse)
El informe de NordPass dibuja un cuadro preocupante pero previsible. «123456» fue usada por 27.374 personas en España en 2024, según la base de datos analizada. Se hackea en menos de un segundo. «123456789» suma 14.385 usos y corre la misma suerte. «12345678», tercera en el ranking nacional, también se descifra instantáneamente.
Más abajo en la lista aparecen contraseñas que dan una falsa sensación de seguridad. «España» tarda unos pocos minutos en romperla un sistema automatizado; «Barcelona» algo similar. Y entre las curiosidades del ranking español, aparecen combinaciones como «Nacho2006», «1234ivan» o «Talocha1»: algo más resistentes que una secuencia numérica pura, pero igualmente vulnerables en cuanto incluyen datos personales predecibles.
A escala global, «123456» encabeza el ranking con más de 209 millones de filtraciones documentadas. Le siguen «123456789» y «12345678». Y la cuarta es «password», que con más de 52 millones de apariciones en brechas de datos demuestra que escribir literalmente la palabra clave en inglés sigue siendo una práctica habitual.
Un dato que resume el problema: el 97% de las 100 contraseñas más hackeadas del mundo tienen menos de 12 caracteres. Cada carácter adicional en una contraseña multiplica exponencialmente el tiempo necesario para romperla, pero la mayoría de usuarios sigue usando claves cortas porque son fáciles de recordar.
La realidad es que la diferencia entre una contraseña vulnerable y una segura no está en memorizarla sino en delegar esa función a un gestor: Bitwarden, 1Password y similares generan y almacenan contraseñas de 20+ caracteres sin que el usuario tenga que recordar ninguna.
Por qué seguimos eligiendo contraseñas débiles
La explicación no es ignorancia, o al menos no solo. Es un problema de coste percibido frente a beneficio esperado. Una contraseña débil tiene un coste de oportunidad bajo: si tu cuenta de un foro de recetas no contiene datos sensibles, el riesgo parece abstracto. El problema es que la misma contraseña débil se reutiliza en servicios con datos realmente sensibles: banca, correo, cuentas de empresa.
Según el informe Verizon DBIR 2024, el 80% de las brechas de seguridad relacionadas con credenciales se deben a contraseñas reutilizadas o débiles. No a exploits sofisticados ni a vulnerabilidades de día cero. A la combinación más predecible del mundo.
El modelo de ataque más común no requiere ningún talento técnico especial. Los llamados ataques de diccionario consisten en probar listas precompiladas con las contraseñas más frecuentes. Un sistema automatizado puede probar decenas de miles de combinaciones por segundo. Frente a «123456», eso significa un tiempo de acceso prácticamente instantáneo.
El camino de salida está claro y hay dos rutas complementarias: los gestores de contraseñas —que generan claves únicas y complejas para cada servicio— y las passkeys, el estándar de autenticación sin contraseña que está ganando terreno rápidamente. Las passkeys eliminan el problema de raíz: en lugar de una clave que puedes olvidar o robar, usan criptografía de clave pública ligada a tu dispositivo. No hay contraseña que hackear porque no hay contraseña.
El problema de la reutilización y el efecto dominó
La mayoría de los ataques exitosos no comprometen una sola cuenta. Comprometen decenas. El mecanismo es el credential stuffing: cuando una base de datos de contraseñas filtradas llega a la dark web, los atacantes prueban esas mismas credenciales en todos los servicios importantes de forma automatizada. Si usas la misma contraseña en tu correo, en Amazon y en tu banco, basta con que un foro secundario filtre sus datos para que los tres queden expuestos.
Desde que llevamos cubriendo ciberseguridad en wwwhatsnew.com —más de ocho años reportando brechas de datos, phishing y herramientas de protección—, el patrón se repite cada año sin variación: el informe de NordPass sale, las mismas contraseñas encabezan la lista, y la mayoría de usuarios no cambia nada. El problema no es el informe; es que no existe todavía un incentivo lo suficientemente fuerte para cambiar el comportamiento hasta que ocurre el acceso no autorizado.
La guía completa de gestores de contraseñas para 2025 que publicamos hace unos meses sigue siendo válida: opciones gratuitas como Bitwarden o de pago como 1Password resuelven el problema en 30 minutos de configuración inicial.
Mi valoración
Llevo cubriendo este informe anual de NordPass desde sus primeras ediciones. Cada año, el ranking cambia marginalmente —sube «admin», baja «password»— pero la conclusión es idéntica: la contraseña más usada en el mundo no ha cambiado en una década.
Lo que más me convence del análisis este año es que por fin empieza a aparecer en el debate la alternativa real: las passkeys. Microsoft activó las passkeys como opción predeterminada para nuevas cuentas en mayo de 2025, lo que provocó un aumento del 120% en su adopción. Cuando los servicios grandes empujen el cambio de forma activa, la dinámica cambiará.
Lo que más me preocupa es el segmento empresarial. Un usuario doméstico que usa «123456» en su cuenta de Netflix solo se perjudica a sí mismo. Pero esa misma contraseña en una VPN corporativa o en un acceso de administrador puede comprometer datos de toda una organización. El 80% de brechas empresariales que provienen de credenciales débiles no son un problema de usuario final; son un fallo de política de seguridad.
Lo más estructuralmente significativo es la paradoja del informe: el hecho de que llevemos diez años con las mismas contraseñas en el top de los rankings demuestra que la educación sobre seguridad sola no funciona. Hace falta fricción tecnológica —sistemas que rechacen contraseñas débiles, que exijan factor doble, que migren a passkeys— para que el comportamiento cambie a escala.
Mi predicción: en los próximos tres años, los servicios que no ofrezcan passkeys empezarán a perder usuarios activos que ya las adoptaron en otros servicios. La contraseña tradicional tiene los días contados; el problema es que «los días contados» son todavía muchos.
Preguntas frecuentes
¿Cuáles son las contraseñas más usadas en España en 2025?
Según el informe de NordPass, las tres contraseñas más frecuentes en España son «admin», «123456» y «12345678». Las tres se hackean en menos de un segundo mediante ataques automatizados. También aparecen en posiciones destacadas términos como «España», «Barcelona» o combinaciones con nombres propios como «Nacho2006» o «1234ivan».
¿Por qué «123456» sigue siendo la contraseña más usada del mundo?
La comodidad gana al criterio de seguridad en casi todos los casos. «123456» aparece en más de 209 millones de filtraciones de datos globales porque es fácil de recordar y teclear. Los usuarios subestiman el riesgo hasta que sufren un acceso no autorizado. La solución más efectiva no es memorizar una clave más compleja, sino usar un gestor de contraseñas que genere y almacene claves únicas de 20+ caracteres para cada servicio.
¿Qué es una passkey y por qué es más segura que una contraseña?
Una passkey es un sistema de autenticación basado en criptografía de clave pública que elimina la necesidad de contraseñas. En lugar de un código que puedes olvidar o que puede ser robado, una passkey usa un par de claves matemáticas: la privada se almacena en tu dispositivo y la pública en el servicio. No hay contraseña que hackear porque no existe como texto transmitido. Google, Apple, Microsoft, Amazon, PayPal y docenas de servicios ya admiten passkeys.