Un nuevo análisis de Kaspersky reveló que el 54% de las contraseñas expuestas en 2025 ya formaban parte de filtraciones anteriores, una señal contundente de que millones de usuarios siguen usando combinaciones viejas, débiles o directamente recicladas durante años.
El estudio, que revisó fugas masivas entre 2023 y 2025, mostró un patrón constante: las contraseñas siguen siendo el eslabón más vulnerable de la seguridad digital. No solo porque suelen construirse con secuencias fáciles de adivinar, sino porque permanecen activas demasiado tiempo.
Según la investigación, la vida media de una contraseña filtrada ronda entre 3,5 y 4 años, un período más que suficiente para que un atacante automatizado la pruebe en múltiples servicios.
Fechas, números repetidos y “12345”: los viejos hábitos que nunca se fueron
Una parte importante del problema está en los patrones que usan los propios usuarios. Kaspersky detectó que el 10% de las contraseñas filtradas contiene un número que coincide con fechas entre 1990 y 2025, uno de los atajos más comunes y previsibles. También aparece un dato llamativo: 0,5% de las claves terminan en “2024”, lo que equivale a una de cada 200 combinaciones.
La secuencia “12345” continúa encabezando la lista de contraseñas más comunes, seguida por términos como “love”, nombres propios y nombres de países. Estos patrones reducen de forma drástica la resistencia criptográfica y permiten que herramientas de fuerza bruta prueben millones de variantes por segundo con un nivel mínimo de esfuerzo.
Una filtración puede abrir muchas puertas
El impacto de estas fugas va mucho más allá de una simple contraseña perdida. Cuando una clave queda expuesta, los atacantes pueden usarla para acceder a correos electrónicos, redes sociales, servicios financieros o cuentas laborales sin que el usuario lo advierta. Y como gran parte de las personas repite la misma combinación en plataformas distintas, una sola filtración puede desencadenar accesos indebidos en cadena.
Kaspersky recuerda que los ciberdelincuentes no necesitan sofisticación extrema: basta con aprovechar listas filtradas y herramientas de automatización capaces de probar combinaciones a una velocidad que ningún humano podría igualar. El resultado puede traducirse en robo de información, fraude, suplantación de identidad o directamente la pérdida total de acceso a servicios esenciales.
Por qué las contraseñas están perdiendo terreno
El informe subraya que la autenticación basada exclusivamente en contraseñas ya no alcanza el nivel de seguridad que exige el ecosistema digital actual, especialmente cuando la mayoría de los usuarios no cambia sus claves o utiliza patrones predecibles. La industria, sin embargo, viene impulsando una alternativa mucho más robusta: los passkeys.
Los passkeys permiten iniciar sesión sin recordar ni escribir contraseñas. Se basan en un par de claves criptográficas y, en muchos casos, en biometría del dispositivo (huella o rostro). Como están asociadas a un servicio específico y no se comparten entre plataformas, resultan inmunes a ataques de phishing, relleno de credenciales o filtraciones masivas.
El análisis de Kaspersky: “Un solo descuido puede abrir muchas cuentas”
Para Fabiano Tricarico, Director de Productos para el Consumidor en América Latina de Kaspersky, la evidencia es clara: la gestión manual de contraseñas está colapsada. “Los resultados que vemos año tras año muestran un patrón preocupante: muchas personas siguen utilizando contraseñas débiles, predecibles o directamente recicladas de filtraciones anteriores. Esto significa que un solo descuido puede abrir el acceso a múltiples cuentas personales, laborales o financieras”, explicó. “Gestionar decenas de claves, cambiarlas con frecuencia y recordar cuáles corresponden a cada servicio se ha vuelto una carga difícil de sostener. Ese desgaste diario amplifica el riesgo y deja a millones expuestos sin darse cuenta”.
Cómo protegerse hoy: las recomendaciones clave
Kaspersky plantea una serie de prácticas mínimas para reducir riesgos mientras los sistemas migran hacia alternativas más seguras:
- Usar contraseñas largas y únicas en cada servicio, de al menos 12 caracteres combinando letras, números y símbolos.
- Activar la verificación en dos pasos (2FA) para agregar una segunda capa de protección incluso si la contraseña se filtra.
- Evitar enlaces sospechosos en correos o SMS y acceder siempre desde sitios oficiales.
- Mantener dispositivos y apps actualizados, ya que muchas actualizaciones corrigen vulnerabilidades críticas.