En el marco del Día Mundial de la Contraseña, la compañía Kaspersky analizó 231 millones de claves filtradas entre 2023 y 2026 e identificó que los patrones previsibles y el uso de inteligencia artificial están acelerando los ciberataques.
Resultados del análisis de Kaspersky
Los analistas de Kaspersky estudiaron 231 millones de contraseñas únicas procedentes de grandes filtraciones registradas entre 2023 y 2026, identificando varios patrones clave. El 68% de las contraseñas actuales puede descifrarse en menos de un día y el 60% en aproximadamente una hora. Además, la mayoría de las contraseñas comprometidas comienzan o terminan con un número, un patrón repetido que facilita los intentos masivos de acceso no autorizado.
Patrones predecibles en símbolos y números
Entre las contraseñas filtradas que incluyen un único símbolo, el más utilizado es “@”, presente en el 10% de los casos. Le siguen el punto (.) en un 3% y el signo de exclamación (!). En cuanto a los números, también se repiten patrones muy previsibles:
- El 53% de las contraseñas analizadas termina en cifras.
- El 17% comienza con números.
- Cerca del 12% incluye secuencias que recuerdan a fechas (entre 1950 y 2030).
- El 3% contiene secuencias de teclado como “qwerty” o “ytrewq”, aunque predominan combinaciones numéricas como “1234”.
Según explica Alexey Antonov, responsable del equipo de Data Science de Kaspersky, el uso de símbolos, números o fechas habituales, especialmente al principio o al final de la contraseña, facilita considerablemente los ciberataques por fuerza bruta. Los ataques de fuerza bruta prueban sistemáticamente todas las combinaciones posibles hasta encontrar la correcta. Si los ciberdelincuentes conocen los patrones más habituales, el tiempo necesario para descifrar una contraseña se reduce drásticamente. Para evitarlo, lo más recomendable es utilizar generadores de contraseñas que creen combinaciones aleatorias de letras, números y símbolos.
Palabras comunes y suplantaciones
El estudio también revela que muchas contraseñas se basan en palabras con carga emocional o tendencias del momento. Entre 2023 y 2026, por ejemplo, el uso de “Skibidi” creció de forma notable. Además, predominan las palabras positivas como “love”, “magic”, “friend”, “team”, “angel”, “star” o “eden”, aunque también aparecen términos negativos como “hell”, “devil”, “nightmare” o “scar”.
“Utilizar una sola palabra como contraseña, incluso añadiendo un número o símbolo, sigue siendo una opción débil. Es un patrón demasiado predecible. Lo más recomendable es crear frases de contraseña que combinen varias palabras sin relación entre sí, incorporando números, símbolos e incluso pequeñas variaciones intencionadas. Cuanto más larga, aleatoria e impredecible sea, más difícil será de descifrar. Además, es fundamental activar la autenticación en dos factores siempre que sea posible”, añade Alexey Antonov.
¿Importa la longitud de la contraseña?
Aunque las contraseñas largas siguen siendo más difíciles de descifrar, el análisis confirma que la longitud por sí sola ya no es suficiente. Con el uso de herramientas basadas en inteligencia artificial, incluso contraseñas extensas pueden ser vulnerables si siguen patrones previsibles. Las contraseñas cortas (de hasta ocho caracteres) pueden descifrarse en menos de un día. Sin embargo, más del 20% de las contraseñas de 15 caracteres también puede romperse en menos de un minuto mediante algoritmos avanzados.
