La contraseña más usada en España en 2025 era 123456.
La segunda más usada: admin.
La tercera: 12345678.
Según los últimos estudios publicados por NordPass y Comparitech, claves como admin, 123456 o 12345678 continúan encabezando el ranking de las más utilizadas en España en 2025, a pesar de los riesgos que supone para la protección de cuentas personales y profesionales. Ontinet
Estas contraseñas se hackean en menos de un segundo.
No en minutos. No en horas. En menos de un segundo.
Hay programas automatizados que prueban miles de millones de combinaciones por segundo. Una contraseña de 8 caracteres simples no dura ni un parpadeo.
Pero aquí viene la parte incómoda.
Aunque tu contraseña no sea 123456, probablemente cometes otros errores que la hacen igual de vulnerable. Y no lo sabes porque nadie te lo ha explicado claramente.
Este artículo es esa explicación.
⚠️ Los errores que convierten tu contraseña en basura
Hay cinco errores que comete la mayoría de personas con sus contraseñas. Si cometes aunque sea uno de ellos, tu cuenta está en riesgo.
Error 1: Usar la misma contraseña en varios sitios.
Este es el más peligroso y el más común.
Comparitech analizó más de dos mil millones de contraseñas expuestas durante 2025 difundidas en foros de hacking y canales de Telegram. Una vez compiladas, se reutilizan de inmediato en credential stuffing: la prueba automatizada de combinaciones robadas en múltiples servicios. Si un usuario repite contraseñas, la probabilidad de toma de control de cuentas se multiplica. CyberSecureFox
El credential stuffing funciona así: una web pequeña que usas para comprar entradas de cine sufre una filtración de datos. Tu email y contraseña quedan expuestos. Los hackers cogen esa combinación y la prueban automáticamente en Gmail, en tu banco, en Amazon, en Instagram.
Si usas la misma contraseña en todos lados, con una sola filtración de un sitio de poca importancia pueden acceder a todas tus cuentas importantes.
Error 2: Usar palabras del diccionario aunque sean largas.
Contraseña123 parece segura porque tiene mayúsculas y números.
No lo es.
Las GPUs modernas pueden probar 180 mil millones de contraseñas por segundo. Contraseñas como password123 pueden ser crackeadas en segundos. Los ataques de diccionario combinan ataques por máscaras y enfoques híbridos para iterar rápidamente sobre patrones comunes y sus variantes con sustituciones como la «a» por «@» o la «e» por «3». Toolypet
Cambiar la «a» por «@» o la «e» por «3» es exactamente lo primero que prueba un programa de hackeo después de las palabras del diccionario estándar. Es un patrón conocido y está en todas las listas de ataque.
Error 3: Usar información personal.
Tu fecha de nacimiento. El nombre de tu mascota. El nombre de tu ciudad. El año de tu graduación.
Todo eso está en tus redes sociales. Todo eso es lo primero que prueba alguien que quiere hackear tu cuenta específicamente.
Error 4: Contraseñas cortas aunque sean complejas.
El 97% de las contraseñas más hackeadas tienen menos de 12 caracteres. Preply
Menos de 12 caracteres.
Una contraseña de 8 caracteres completamente aleatoria con mayúsculas, minúsculas, números y símbolos puede hackearse por fuerza bruta en cuestión de horas con hardware moderno.
Una contraseña de 16 caracteres completamente aleatoria tardaría millones de años en hackearse por fuerza bruta con la tecnología actual.
La longitud importa más que la complejidad.
Error 5: No tener autenticación en dos pasos.
Incluso con una contraseña perfecta, si no tienes activado el segundo factor de autenticación, alguien que obtenga tu contraseña por filtración o phishing puede entrar en tu cuenta.
La autenticación en dos pasos hace que aunque tengan tu contraseña, necesiten también tu teléfono para poder entrar. Es el seguro que no debería faltar en ninguna cuenta importante.
🔐 Qué es una contraseña realmente segura
Una contraseña segura en 2026 tiene tres características.
Es larga. Mínimo 16 caracteres. Cuanto más larga, mejor.
Es completamente aleatoria. No contiene palabras del diccionario ni sustituciones predecibles. Es una secuencia de caracteres que no tiene ningún significado ni patrón.
Es única. Nunca se repite en otra cuenta.
Un ejemplo de contraseña segura: Xk7#mP2@nQr9$vLw
Un ejemplo de contraseña que parece segura pero no lo es: C0ntr@s3ña2026!
La segunda parece fuerte porque tiene mayúsculas, números y símbolos. Pero sigue siendo una palabra del diccionario con sustituciones predecibles. Los programas de hackeo la encuentran rápido.
La primera es completamente aleatoria. No hay ningún patrón que atacar.
El problema obvio: una contraseña completamente aleatoria de 16 caracteres es imposible de recordar.
Y si es imposible de recordar, la gente no la usa.
Ahí entra la solución real.
🛡️ La solución que usan los expertos: el gestor de contraseñas
Un gestor de contraseñas es una aplicación que genera, almacena y rellena automáticamente contraseñas seguras por ti.
Tú solo necesitas recordar una contraseña maestra para abrir el gestor. El gestor se encarga de todo lo demás.
Cambiar una contraseña comprometida lleva menos de 2 minutos con un gestor. Sin gestor, media hora buscando dónde cambiarla. Un gestor puede manejar hasta 200 cuentas sin problemas. MediaMarkt
El proceso es simple:
Instalas el gestor en tu navegador y en tu móvil. Cuando creas una cuenta nueva en cualquier web, el gestor genera automáticamente una contraseña aleatoria de 20 caracteres para esa cuenta. La guarda de forma cifrada. La próxima vez que entras a esa web, el gestor rellena el usuario y la contraseña automáticamente. Tú no tienes que recordar nada ni teclear nada.
Los gestores más recomendados:
Los mejores gestores de contraseñas gratuitos en 2026 son Bitwarden, KeePassXC y Keeper. Bitwarden combina todas las características necesarias de forma gratuita o por una cuota muy baja. Tuta
Bitwarden: Gratuito, de código abierto, muy seguro y con versión para todos los dispositivos. Es la opción que recomiendan la mayoría de expertos en seguridad para usuarios normales. Es la que yo usaría.
1Password: De pago (aproximadamente 3 euros al mes), con una interfaz muy cuidada y funciones avanzadas. Ideal si quieres la mejor experiencia de uso y no te importa pagar.
KeePassXC: Completamente gratuito y local, los datos no salen de tu dispositivo. Para usuarios más técnicos que prefieren tener el control total.
Los gestores que NO deberías usar como principal:
El gestor de contraseñas del navegador (Chrome, Safari, Firefox). Son convenientes pero menos seguros porque están ligados a tu cuenta de Google o Apple. Si alguien accede a tu cuenta de Google, accede a todas tus contraseñas guardadas en Chrome.
🔑 El doble factor: el segundo seguro que necesitas
Un gestor de contraseñas resuelve el problema de las contraseñas débiles y repetidas.
Pero hay un segundo problema que no resuelve.
Si alguien obtiene tu contraseña maestra del gestor (por phishing o por ver cómo la escribes), tiene acceso a todas tus contraseñas.
Por eso necesitas también activar la autenticación en dos pasos en las cuentas más importantes.
La autenticación multifactor recomendada incluye Google Authenticator, Authy o llaves de hardware como YubiKey. Los códigos por SMS son el mínimo aceptable, mejor que nada pero menos robustos que una app autenticadora. Toolypet
Cómo funciona: cuando inicias sesión en tu cuenta bancaria, introduces la contraseña. El banco te pide un código de 6 dígitos que cambia cada 30 segundos y que genera una app en tu móvil. Aunque alguien tenga tu contraseña, sin ese código que está en tu móvil no puede entrar.
Las cuentas donde el doble factor es imprescindible:
Tu email principal. Si alguien entra en tu email puede resetear las contraseñas de todas tus otras cuentas. Es la llave maestra de todo.
Tu cuenta bancaria. Obvio.
Tus redes sociales principales si las usas para trabajo o tienes muchos seguidores.
Tu cuenta de Amazon y cualquier plataforma donde tengas guardada la tarjeta de crédito.
✅ El plan para arreglarlo esta semana
No hace falta hacerlo todo a la vez. Hay un orden que funciona.
Hoy: instala Bitwarden.
Ve a bitwarden.com. Crea una cuenta gratuita. Instala la extensión en tu navegador y la app en tu móvil. Crea una contraseña maestra fuerte que SÍ puedas recordar, de al menos 16 caracteres, preferiblemente una frase larga con espacios.
Ejemplo de contraseña maestra fácil de recordar y muy segura: «MiPerroSeLlamaRoco1987!»
Es larga. Tiene mayúsculas, números y símbolos. Es fácil de recordar porque tiene significado para ti. Y la usarás solo para el gestor, nunca para nada más.
Esta semana: cambia las contraseñas de las cuentas más importantes.
Empieza por las críticas: email, banco, Amazon. Para cada una, usa el generador de contraseñas de Bitwarden para crear una contraseña aleatoria de 20 caracteres. El gestor la guardará automáticamente. No tienes que recordarla.
Este mes: activa el doble factor en email y banco.
Ve a la configuración de seguridad de tu email. Busca la opción de verificación en dos pasos. Actívala con Google Authenticator o Authy.
Haz lo mismo en tu banco si ofrece esa opción.
Las credenciales comprometidas siguen siendo una de las principales tácticas de hackeo, utilizadas en el 22% de las violaciones e implicadas en el 88% de los ataques a aplicaciones web. Las contraseñas débiles o robadas siguen impulsando una gran parte de las violaciones de datos. MetaPrivacy
El 88% de los ataques a aplicaciones web implican contraseñas comprometidas.
No es un problema hipotético. Es el método de ataque más usado en el mundo digital.
Y la solución no requiere conocimientos técnicos ni dinero. Solo requiere dedicar una tarde a configurar un gestor de contraseñas y activar el doble factor en las cuentas importantes.
Esa tarde puede ahorrarte meses de problemas, miles de euros en fraudes y el coste incalculable de recuperar tu identidad digital después de que alguien la haya robado.
💡 El resumen que lo cambia todo
Las contraseñas más usadas en España se hackean en menos de un segundo.
La tuya probablemente también, si cometes alguno de los cinco errores que hemos descrito.
La solución es un gestor de contraseñas gratuito que genera y recuerda contraseñas imposibles de hackear por ti.
Y el doble factor que hace que aunque roben tu contraseña no puedan entrar.
Mejorar la seguridad de las contraseñas no requiere grandes conocimientos técnicos, sino cambiar algunos hábitos. Una contraseña robusta y la autenticación en dos pasos siguen siendo, hoy en día, una de las defensas más eficaces frente al cibercrimen. Ontinet
No requiere conocimientos técnicos.
Requiere una tarde.
Y protege años de vida digital, cuentas bancarias, identidad y datos personales.
Es la inversión de tiempo con mayor retorno que puedes hacer en tu seguridad digital. Y es completamente gratuita.
🔗 También te podría interesar
- Las 7 estafas digitales que más se están usando en España ahora mismo
- Tienes el móvil lleno de apps que te espían y ni lo sabes
- Calculé cuántos datos personales tiene Google sobre mí. El resultado me dejó sin palabras
- Cómo saber si tu móvil ha sido hackeado — Las señales que casi nadie reconoce
- El negocio millonario que hay detrás de tus datos — Quién los vende y a quién