Gmail, Outlook, Apple, Linux… ningún sistema está realmente a salvo cuando tu contraseña es el eslabón más débil. Un nuevo estudio acaba de revelar una estadística alarmante: el 98.5 % de las contraseñas analizadas no pasan una simple prueba de seguridad. ¿El resultado? Casi todas podrían ser hackeadas en segundos.
La investigación analizó 10 millones de contraseñas reales que fueron filtradas previamente, y los datos son claros: solo el 1.5 % de ellas eran lo suficientemente fuertes para resistir un ataque automatizado. El resto, casi 9.85 millones, eran demasiado cortas, simples, predecibles o reutilizadas. En otras palabras, perfectas para ser explotadas.
¿Qué es la prueba de hackeo de contraseñas y por qué es tan importante?
La prueba, diseñada por el equipo de seguridad de Specops, es directa pero brutal:
✅ La contraseña debe tener al menos 15 caracteres.
✅ Debe incluir mínimo dos tipos de caracteres distintos (mayúsculas, minúsculas, números, símbolos).
✅ Debe ser única, es decir, no haber sido usada antes ni estar en bases de datos filtradas.
Este estándar es considerado el mínimo aceptable. Según los expertos, cada carácter extra multiplica exponencialmente la complejidad de la contraseña. Incluso para sistemas automatizados con GPUs capaces de hacer billones de intentos por segundo, superar los 15 caracteres con mezcla de símbolos lleva el tiempo de crackeo de horas a siglos.
El problema es que la mayoría de los usuarios no siguen estas prácticas. El informe afirma que, pese a años de advertencias, las personas siguen usando combinaciones débiles como “Password123” o “qwerty2024”.
¿Por qué esto es tan grave?
Porque hoy ya no se necesitan hackers expertos para acceder a tus cuentas. Herramientas automatizadas y listas de contraseñas filtradas hacen todo el trabajo sucio. Una vez que un atacante accede a una cuenta, puede moverse dentro de tu red, escalar privilegios y robar datos sin ser detectado.
Darren James, gerente de producto en Specops, lo resume así:
“Pese al entrenamiento, muchos usuarios aún eligen contraseñas que pueden ser adivinadas en segundos.”
¿Qué puedes hacer hoy mismo?
Si tu contraseña no pasa esta prueba, es hora de actuar. Aquí algunas recomendaciones clave:
🔐 Cambia tus contraseñas débiles ahora mismo. Prioriza cuentas sensibles como email, banca en línea y redes sociales.
🔐 Usa contraseñas de 15+ caracteres, combinando letras, números y símbolos.
🔐 Evita reutilizar contraseñas. Si una se filtra, pueden entrar a varias cuentas.
🔐 Activa la autenticación en dos pasos (2FA). Incluso si adivinan tu contraseña, no podrán acceder sin tu segundo factor.
🔐 Considera usar un administrador de contraseñas como NordPass o Bitwarden para generar y guardar claves únicas y robustas.
🔐 Mejor aún: cambia a passkeys. Google, Apple y Microsoft ya están promoviendo esta tecnología que elimina por completo el uso de contraseñas tradicionales y usa claves cifradas vinculadas a tu dispositivo.
Si no pasa la prueba, cámbiala ya
El informe de Specops es una señal de alarma: los atacantes no tienen que esforzarse cuando tú les das la llave. Y si crees que no serás objetivo, recuerda: no necesitas ser famoso para ser víctima de un robo de identidad o una filtración masiva.
Así que hazte la pregunta: ¿Tu contraseña pasaría esta prueba de hackeo? Si dudas… probablemente no.