"123456" sigue siendo, en pleno auge de la digitalización, la llave maestra que abre miles de cuentas en España. A su lado, nombres de ciudades, equipos de fútbol y celebridades como Rosalía se repiten en contraseñas que acaban en millones de filtraciones de datos, dibujando un escenario de enorme vulnerabilidad para los usuarios españoles.
Un estudio reciente de Estafa.info, basado en la base de datos Have I Been Pwned (HIBP), confirma que los hábitos de protección de las cuentas apenas han cambiado, mientras las brechas de seguridad se multiplican.
En el ranking de contraseñas más hackeadas en España, "123456" ocupa el primer puesto con 298.749 usos asociados a usuarios españoles y más de 209 millones de apariciones en brechas de datos a nivel mundial. Es el ejemplo más claro de una clave extremadamente popular y, a la vez, extraordinariamente peligrosa.
Las siguientes posiciones en España las ocupan "123456789" y "12345678". Ambas repiten el mismo patrón de secuencias numéricas fáciles de teclear y memorizar, pero las herramientas automatizadas de fuerza bruta las descifran en cuestión de segundos, como demuestra su presencia en decenas de millones de brechas en todo el mundo.
En cuarta posición aparece "password", la palabra inglesa genérica para contraseña que acumula más de 52 millones de apariciones en filtraciones globales. Le sigue "admin", otro término universal vinculado con perfiles por defecto y paneles de administración, especialmente crítico en entornos empresariales y servicios online. En España, "admin" figura incluso por encima de "password" en número de usos.
El listado español se completa con combinaciones que repiten los mismos errores. "12345", "1234567", "1234567890", "111111" o la variante "Password" con mayúscula inicial son ejemplos de secuencias cortas, patrones lineales o cambios mínimos que apenas añaden resistencia frente a un ataque. El estudio destaca que la gran mayoría de las contraseñas más hackeadas del mundo tiene menos de 12 caracteres, un umbral que marca una diferencia real en términos de seguridad.
A estas claves se suman referencias personales y cotidianas que muchos usuarios consideran originales, pero que en realidad son extremadamente previsibles. En el top español aparecen marcas como "vodafone", dispositivos como "iphone77" o nombres propios como "javier55", además de la propia palabra "Contraseña" escrita en castellano.
Ciudades, fútbol y famosos en contraseñas
Más allá del listado estricto de claves, el informe de Estafa.info incide en un patrón muy arraigado en España respecto el uso de elementos identitarios y culturales como contraseñas.
Entre las ciudades españolas utilizadas como contraseña, "barcelona" encabeza con diferencia el ranking, con más de 1,28 millones de apariciones en brechas de datos conocidas. Le siguen "madrid", con más de 320.000, y "valencia", "malaga" y "sevilla", todas con cientos de miles de registros comprometidos.
La pasión por el fútbol también se traslada a la seguridad digital. "realmadrid" aparece más de 663.000 veces como contraseña filtrada, muy por delante de "fcbarcelona" y "sevillafc". "realbetis" y "valenciacf" completan un listado que refleja hasta qué punto los grandes clubes de LaLiga se han convertido en claves recurrentes para todo tipo de servicios como correo electrónico, redes sociales, banca online o plataformas de contenidos.
En el terreno de las celebridades, el fenómeno es similar. "rosalia" es la figura más utilizada como contraseña, con más de 61.000 apariciones en bases de datos filtradas. Por detrás se sitúan "amaral", "aitana", "estopa" y "paugasol".
En cualquier caso, los expertos consultados subrayan que los atacantes no adivinan contraseñas de forma creativa, sino que las prueban de manera sistemática y masiva. Y siempre empiezan por lo mismo: secuencias numéricas, palabras genéricas, equipos de fútbol, ciudades, celebridades o términos vinculados con la vida cotidiana.
En este contexto, las recomendaciones son claras. La primera es apostar por la longitud, con contraseñas de al menos 12 caracteres, que combinen letras mayúsculas y minúsculas, números y símbolos distribuidos de forma impredecible. La segunda, abandonar por completo las referencias evidentes y la información personal; es decir, nada de fechas de nacimiento, nombres de familiares, mascotas, ciudades, clubes o ídolos musicales. La tercera, desconfiar de los pequeños retoques sobre claves débiles ya filtradas, como añadir un número al final o sustituir una letra por un símbolo siempre en la misma posición.
Sea como fuere, la medida más eficaz pasa por utilizar gestores de contraseñas que generen combinaciones únicas y robustas para cada servicio, y por activar siempre que sea posible la autenticación en dos pasos.
