Si usas una de estas contraseñas, deberías cambiarla hoy mismo

• Nacho Grosso @grosso_nacho
• Cádiz (1973) Redactor y editor especializado en tecnología. Escribiendo profesionalmente desde 2017 para medios de difusión y blogs en español.
• • 16/05/2026 21:15
  • Actualizado: 16/05/2026 21:15

Las contraseñas a veces parecen personales, fáciles de recordar y hasta ingeniosas. El problema es que muchas de ellas ya aparecen en bases de datos procedentes de filtraciones, lo que permite a los atacantes probarlas de forma automática en otros servicios. Ya no hablamos solo de “123456” o “password”, sino también de nombres, años, equipos de fútbol, personajes, animales, objetos cotidianos y palabras que millones de usuarios siguen utilizando como contraseña exacta.

Un análisis de Email Audit Engine, realizado sobre datos de contraseñas expuestas en Have I Been Pwned, deja la conclusión de que buena parte del riesgo está en elegir claves demasiado humanas. Es decir, palabras que tienen sentido para nosotros, pero que también son fáciles de incorporar a listas de ataque.

Las contraseñas más repetidas siguen siendo las de siempre

La contraseña “123456” aparece casi 210 millones de veces en el análisis, concretamente 209.972.844 registros. Le siguen “123456789”, con más de 80 millones de apariciones, y “12345678”, con más de 70 millones. También figuran entre las más usadas “password”, con 52.256.179 casos, y “admin”, con 42.085.691.

Todavía hay demasiadas cuentas protegidas con combinaciones que un atacante probaría en los primeros segundos. No hace falta que alguien conozca tus gustos, tu ciudad o tu fecha de nacimiento. Si usas una clave de este tipo, basta con que aparezca en una lista de contraseñas filtradas.

El peligro de usar nombres, equipos o personajes

El estudio también muestra que los nombres propios siguen siendo muy habituales. “Daniel” aparece como contraseña exacta 2.533.375 veces, por delante de “Michael”, “Jessica”, “Thomas”, “Michelle” o “Ashley”. Aunque parezca un recurso más personal que una secuencia numérica, en seguridad ocurre justo lo contrario: un nombre común es fácil de probar.

Lo mismo sucede con las aficiones. “Liverpool” aparece 1.789.470 veces como contraseña, “Barcelona” supera los 1,2 millones y también destacan “Juventus”, “Chelsea”, “Arsenal” o “Real Madrid”. Entre los deportes, “football” aparece más de 2,6 millones de veces, seguido de “baseball” y “soccer”.

El patrón se repite con la cultura popular. “Superman” supera los 2,1 millones de apariciones, “Naruto” aparece más de 1,6 millones y “Batman” más de 1,3 millones. También se repiten “Snoopy”, “Spider-Man”, “Mickey” o “Garfield”. Puede parecer una contraseña simpática, pero no deja de ser una palabra común dentro de una categoría que los atacantes conocen perfectamente.

Animales, objetos y años tampoco son buena idea

Otro bloque llamativo es el de animales y objetos. “Dragon” aparece más de 4,4 millones de veces como contraseña exacta, “Monkey” casi 4 millones y “Butterfly” más de 1,1 millones. Entre los objetos, “Computer” aparece 2.422.759 veces, seguido de “Diamond”, “Silver”, “Money”, “Guitar” o “Hammer”.

Los años tampoco se libran. “2020” aparece 1.441.965 veces, mientras que “1990”, “2021”, “2000”, “2002” o “1994” también figuran entre los más repetidos. En muchos casos, estos años pueden estar relacionados con fechas de nacimiento, aniversarios o el año en el que se creó una cuenta. Añadir un número al final de una palabra tampoco convierte una contraseña débil en segura.

Por qué reutilizar contraseñas es tan peligroso

El mayor problema no es solo tener una contraseña mala, sino utilizarla en varios sitios. Si una tienda online, una app antigua o una web en la que apenas entras sufre una filtración, esa contraseña puede acabar en manos de ciberdelincuentes. Después, los atacantes prueban esas mismas credenciales en servicios mucho más importantes, correo electrónico, redes sociales, plataformas de compra, bancos o herramientas de trabajo.

El correo electrónico es especialmente delicado, porque suele funcionar como llave de recuperación para casi todo lo demás. Si alguien accede a tu bandeja de entrada, puede intentar restablecer contraseñas de otras cuentas y tomar el control de servicios que quizá ni recuerdas haber vinculado.

Qué hacer para proteger tus cuentas

La recomendación más importante es usar una contraseña única para cada servicio. No debe estar relacionada con tu nombre, tu equipo, tu mascota, tu fecha de nacimiento, tu personaje favorito ni ninguna palabra que pueda asociarse contigo. Lo ideal es que sea larga, aleatoria y generada por un gestor de contraseñas.

También conviene activar la verificación en dos pasos siempre que sea posible. Esta capa extra no elimina el riesgo, pero dificulta mucho el acceso aunque la contraseña haya quedado expuesta. Mejor todavía si se usa una aplicación de autenticación o una llave de seguridad en lugar de depender solo de SMS.

Después de cambiar una contraseña importante, revisa también los métodos de recuperación. Comprueba que no haya un correo alternativo desconocido, un teléfono que no reconozcas, dispositivos conectados que no sean tuyos o reglas de reenvío extrañas en tu email. Cambiar la clave es necesario, pero no siempre suficiente si alguien ya ha dejado una puerta abierta.

Que tu contraseña no diga nada de ti

Una buena contraseña no tiene por qué ser fácil de recordar si utilizas un gestor. De hecho, cuanto menos se parezca a una palabra normal, mejor. La clave está en dejar de pensar en contraseñas como frases personales y empezar a tratarlas como lo que son: cerraduras digitales.

Si tu contraseña actual es, por ejemplo, un nombre, un año, un equipo, una palabra conocida o una combinación corta con números, lo prudente es cambiarla cuanto antes. No porque alguien tenga que adivinarla, sino porque probablemente ya existe una lista en la que alguien la está probando.