Kaspersky advirtió que la persistente reutilización de claves antiguas y patrones
predecibles está dejando a millones de usuarios expuestos a ataques cada vez más
fáciles de ejecutar.
Una reciente investigación de Kaspersky muestra que la mayoría de las contraseñas
filtradas no solo son débiles desde el inicio, sino que además suelen mantenerse sin
cambios durante años, lo que las deja prácticamente indefensas frente a cualquier
ataque.
A pesar de seguir siendo uno de los métodos de acceso más usados, las contraseñas
han dejado de ser una opción realmente segura. Como son creadas por los propios
usuarios, suelen incluir patrones fáciles de adivinar que facilitan el trabajo de los
atacantes. Al revisar las principales filtraciones ocurridas entre 2023 y 2025, los
especialistas de Kaspersky detectaron varios patrones que se repiten una y otra vez.
● Los usuarios suelen agregar elementos predecibles como números, fechas e
identificadores personales. Por ejemplo, el 10% de las contraseñas en los
conjuntos de datos analizados contiene un número similar a una fecha (entre
1990 y 2025). El 0.5% de todas las contraseñas filtradas termina en “2024”, es
decir, una de cada 200.
● La combinación de contraseña más común es “12345”, lo que reduce
drásticamente la resistencia criptográfica y acorta el tiempo necesario para
ataques de fuerza bruta. Otros componentes habituales son la palabra “love”,
nombres de personas y nombres de países.
● Además, la mayoría de las contraseñas filtradas permanecen sin cambios
durante años. En 2025, el 54% de las contraseñas filtradas ya formaba parte
de fugas anteriores, lo que evidencia el uso repetido de contraseñas antiguas.
Según el análisis, la vida media de una contraseña presente en estas
filtraciones es de 3.5 a 4 años.
El gran problema de las contraseñas filtradas es que, una vez expuestas, pueden ser
usadas por atacantes para entrar en cuentas personales sin que el usuario lo note.
Esto incluye desde correos y redes sociales hasta servicios financieros o de trabajo.
Como muchas personas repiten la misma clave en varias plataformas, una sola
filtración puede abrir la puerta a múltiples accesos indebidos.
Además, los ciberdelincuentes utilizan herramientas capaces de probar millones de
combinaciones por segundo, y cuando encuentran patrones predecibles el riesgo
aumenta todavía más.
En la práctica, esto puede traducirse en robo de información,
fraudes, suplantación de identidad o pérdida de acceso a servicios esenciales.
Todos estos hallazgos dejan en evidencia que la autenticación basada en
contraseñas es cada vez más frágil, sobre todo cuando no se crean ni se administran
de forma correcta. Ante este escenario, la industria está avanzando hacia métodos
más modernos y seguros, como los passkeys, que ofrecen una protección mucho
mayor frente a amenazas actuales.
Un passkey es una forma de inicio de sesión que elimina por completo la necesidad
de memorizar contraseñas. Funciona mediante un par de claves criptográficas y, en
muchos casos, datos biométricos del dispositivo, como huella o reconocimiento facial,
lo que dificulta su robo o suplantación.
A diferencia de las contraseñas tradicionales, un passkey se genera para una cuenta específica en un servicio concreto, y se almacena de manera segura en el dispositivo del usuario o en un gestor de contraseñas. Esto lo hace inmune a ataques como phishing, relleno de credenciales o
filtraciones masivas de claves.
“Los resultados que vemos año tras año muestran un patrón preocupante: muchas
personas siguen utilizando contraseñas débiles, predecibles o directamente recicladas
de filtraciones anteriores. Esto significa que un solo descuido puede abrir el acceso a
múltiples cuentas personales, laborales o financieras. La realidad es que gestionar
decenas de claves, cambiarlas con frecuencia y recordar cuáles corresponden a cada
servicio se ha vuelto una carga difícil de sostener para cualquier usuario. Ese
desgaste diario no solo afecta la experiencia, también amplifica el riesgo y deja a
millones expuestos sin darse cuenta”, asegura Fabiano Tricarico, Director de
Productos para el Consumidor en América Latina de Kaspersky.
Para proteger tus cuentas en Internet, los expertos de Kaspersky recomiendan:
● Usa contraseñas largas y diferentes en cada servicio: No repitas la misma
clave para todo. Si una se filtra, las demás quedan en riesgo. Una buena
contraseña debe tener al menos 12 caracteres combinando letras, números y
símbolos.
● Activa la verificación en dos pasos (2FA): Es un segundo candado que pide
un código extra al iniciar sesión. Puede venir por mensaje, app o biometría.
Aunque alguien obtenga tu contraseña, no podrá entrar sin ese paso adicional.
● Desconfía de enlaces o mensajes sospechosos: Si recibes un correo o SMS
pidiendo que “verifiques tu cuenta” o que “actualices tu contraseña”, no hagas
clic. Entra directamente al sitio oficial desde tu navegador.
● Actualiza tus aplicaciones y dispositivos: Muchas actualizaciones corrigen
fallos de seguridad que los atacantes aprovechan. Mantener todo al día es una
de las defensas más simples y efectivas.
● Empieza a usar passkeys para mayor seguridad y menos complicaciones
Los passkeys permiten iniciar sesión sin contraseñas, usando tu rostro, tu
huella o un toque en el dispositivo. Son más seguros porque no pueden filtrarse
ni ser robados como una clave tradicional. Ahora puedes crearlos y guardarlos
en Kaspersky Password Manager, que los sincroniza entre tus dispositivos.
Solo necesitas actualizar la app, abrir un sitio compatible y seguir las
instrucciones para generar tu passkey.