La secuencia numérica “123456” se mantiene como la contraseña estrella en todo el mundo, pese a años de advertencias por parte de empresas de ciberseguridad, administraciones públicas y expertos independientes. Informes recientes apuntan a que, en pleno auge de los ataques digitales, millones de personas siguen confiando sus cuentas a una clave que cualquier atacante puede probar en cuestión de segundos.
Firmas especializadas como NordPass, Comparitech y ESET han puesto el foco en este fenómeno al actualizar sus listados de claves más comunes. Los datos muestran que no solo “123456” encabeza el ranking global en 2025, sino que una de cada cuatro de las 1.000 contraseñas más habituales está compuesta únicamente por números, las llamadas claves numéricas, lo que deja el camino despejado a ataques de fuerza bruta y robos de datos tanto en cuentas personales como en entornos corporativos.
123456, la clave más repetida en 2025 según los expertos
Los análisis publicados por NordPass y Comparitech coinciden en que “123456” vuelve a ocupar el primer puesto en la lista de contraseñas más usadas a escala mundial. Junto a esta secuencia se repiten combinaciones como “12345”, “12345678”, “123456789” o “1234567890”, además de términos genéricos como “password” o “Contraseña”, todo ello presente en perfiles de usuarios de edades y regiones muy distintas.
Comparitech destaca un dato especialmente preocupante: el 25 % de las 1.000 credenciales más comunes está formado solo por números. Es decir, buena parte de la población sigue apostando por claves extremadamente predecibles, que suelen ser las primeras que prueban los ciberdelincuentes al intentar acceder a una cuenta o a un servicio online.
Desde la compañía de ciberseguridad ESET, con presencia en Europa y Latinoamérica, recuerdan que usar una clave tan simple es comparable a cerrar la puerta de casa con una tira de papel. Aunque la metáfora pueda sonar exagerada, los datos que manejan docentes, fuerzas de seguridad e investigadores apuntan a que la mayoría de intrusiones exitosas comienzan precisamente con credenciales fáciles de adivinar.
Los listados difundidos por ESET a partir de estos informes ponen de relieve que las mismas secuencias se repiten una y otra vez. Tanto en cuentas personales como en perfiles vinculados a aplicaciones, correo electrónico o redes sociales, aparecen combinaciones como “12345”, “123456”, “12345678”, “123456789” y “1234567890”, además de variaciones sencillas de la palabra “password” o su equivalente en distintos idiomas.
Este patrón no es nuevo: “123456” encabeza rankings de contraseñas desde hace años, pero el hecho de que continúe en lo más alto en 2025 muestra que las campañas de concienciación todavía no han cambiado los hábitos de buena parte de los usuarios.
Un problema que no entiende de edades ni de fronteras
Uno de los puntos que más preocupa a los especialistas es que la debilidad de las contraseñas no está ligada a una franja de edad concreta. Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, subraya que el uso de claves como “123456” o “password” se repite tanto entre nativos digitales como entre personas mayores que utilizan internet con menos frecuencia.
Según explican desde ESET, en todos los grupos generacionales analizados aparece “123456” en los primeros puestos de las listas de claves más empleadas para entrar en redes sociales, servicios de mensajería, cuentas de correo o plataformas de entretenimiento. Este comportamiento, lejos de limitarse a un sector concreto de la población, se ha consolidado como una costumbre transversal.
A la falta de cultura de ciberseguridad se suma, en muchas regiones, el cansancio de gestionar múltiples accesos. Los estudios citan que un usuario medio puede acumular decenas o incluso más de un centenar de cuentas con contraseña, y a menudo desconoce dónde se guardan las contraseñas, lo que lleva a reutilizar la misma clave simple una y otra vez, con el consiguiente riesgo en caso de filtración.
En el contexto europeo, los expertos señalan que el panorama es similar: mientras que “123456” domina el ranking global, la palabra “admin” se coloca entre las más repetidas en países como España y buena parte del continente, sobre todo en accesos por defecto a paneles de administración y servicios técnicos. Solo un pequeño grupo de países se desvía de esta tendencia, sustituyendo estas claves básicas por otras igual de poco seguras, como variaciones de “Contraseña1234” o términos fácilmente deducibles.
Aunque el foco de muchos informes se sitúa en América Latina, donde el auge de las ciberamenazas coincide con una adopción rápida de servicios digitales, la problemática es global. Los patrones de uso de contraseñas débiles se repiten tanto en Europa como en otras regiones, lo que evidencia que la comodidad sigue pesando más que la protección de la información.
Impacto en empresas e instituciones: del usuario al entorno corporativo
El mal hábito de confiar en “123456” o en secuencias similares no se limita a las cuentas personales. Los informes de NordPass y ESET insisten en que las contraseñas excesivamente sencillas abundan también en el entorno empresarial, pese a que las consecuencias económicas y reputacionales puedan ser mucho más graves.
Según los datos citados por estos analistas, las tres contraseñas corporativas más utilizadas en 2025 están compuestas únicamente por números. Son combinaciones casi idénticas a las que usan los particulares, aplicadas a servicios internos, paneles de administración, accesos remotos y aplicaciones de uso diario dentro de organizaciones de sectores tan sensibles como la salud, la educación, las finanzas o la tecnología.
La compañía Verizon, en sus estudios sobre brechas de seguridad, estima que alrededor del 70 % de las filtraciones de datos en empresas tiene su origen en credenciales débiles o mal gestionadas por parte de empleados y directivos. Cuando una misma clave sencilla se reutiliza para varios servicios, una única intrusión puede abrir la puerta a todo un ecosistema de sistemas y bases de datos.
Desde ESET advierten de que este tipo de incidentes no solo pone en juego la información personal de trabajadores y clientes, sino que puede desencadenar pérdidas económicas importantes, paradas de actividad y daños duraderos en la imagen pública de la organización. A pesar de ello, las auditorías internas siguen detectando contraseñas tan previsibles como “123456”, “admin” o el nombre de la propia empresa en puestos críticos.
Un caso muy citado por los expertos, a modo de ejemplo, es el de un museo de referencia internacional como el Louvre de París, donde una clave tan obvia como “Louvre” permitió comprometer su sistema de seguridad. Aunque se trate de un escenario extremo, ilustra hasta qué punto una contraseña evidente puede tirar por tierra inversiones millonarias en cámaras, alarmas y dispositivos físicos.
Por qué 123456 y las claves numéricas son tan peligrosas
La razón por la que “123456” resulta tan atractiva para muchos usuarios es la misma que la convierte en un blanco fácil: es corta, fácil de recordar y extremadamente predecible. Cualquier atacante que intente acceder a una cuenta probará en primer lugar este tipo de combinaciones, ayudado por herramientas automatizadas capaces de lanzar millones de intentos en muy poco tiempo.
Los ataques conocidos como de fuerza bruta o de diccionario se alimentan precisamente de estos listados de contraseñas más empleadas. Si una clave está en los primeros puestos de los rankings de uso, también lo estará entre los primeros intentos de un software malicioso programado para probar accesos de forma masiva.
Los expertos de ESET y otras firmas explican que, en la práctica, claves como “123456”, “123456789” o “password” pueden caer en menos de un segundo cuando se prueba su resistencia con herramientas específicas. Esto significa que, en la mayoría de servicios, basta muy poco tiempo para que un atacante supere esa primera barrera, sobre todo si el sistema no cuenta con mecanismos adicionales como la verificación en dos pasos.
El problema se amplifica cuando los usuarios reutilizan la misma contraseña en diferentes plataformas. Una filtración en un servicio aparentemente menor —por ejemplo, una tienda en línea poco conocida— puede acabar abriendo el acceso a cuentas de correo, redes sociales o incluso banca electrónica si se mantiene la misma combinación en todas ellas.
Los listados publicados por NordPass y Comparitech sirven también como recordatorio de lo que no debe hacerse: cualquier combinación que ocupe puestos altos en estos rankings debería descartarse de inmediato. Si aparece en estas listas, es porque millones de personas ya la han elegido, y por tanto será una de las primeras que se probarán en cualquier intento de intrusión.
Recomendaciones básicas para dejar atrás 123456
Ante este panorama, las empresas de ciberseguridad insisten en una serie de pautas sencillas para mejorar de forma notable el nivel de protección de las cuentas. Son principios conocidos, pero todavía poco aplicados en el día a día de la mayoría de usuarios.
En primer lugar, se recomienda dar prioridad a la longitud de la contraseña. Cuantos más caracteres incluya, más difícil será que un ataque de fuerza bruta logre adivinarla. Los especialistas hablan de un mínimo razonable de 12 caracteres, aunque en muchos servicios ya se aconseja ir más allá cuando sea posible.
El segundo elemento clave es la complejidad. Una buena contraseña debe combinar letras mayúsculas y minúsculas, números y símbolos especiales, e incluso técnicas como usar la letra n para aumentar su resistencia frente a intentos automatizados.
También resulta esencial la aleatoriedad. Los expertos recomiendan evitar patrones claros, secuencias numéricas (como “123456”), palabras del diccionario o referencias directas a la persona (nombre, apellidos, apodos, equipo de fútbol, etc.). Cuanto menos sentido aparente tenga la contraseña, más complicado será para un atacante o para un programa automatizado acertarla.
Otro punto que suele pasarse por alto es la diversidad de credenciales. Utilizar la misma contraseña en varias plataformas multiplica el daño potencial de cualquier fuga de datos. Lo ideal es contar con combinaciones distintas para cada servicio importante: correo electrónico, banca en línea, redes sociales y herramientas de trabajo deberían estar protegidos de forma independiente.
Para muchos usuarios, recordar múltiples combinaciones complejas sin recurrir a “123456” o derivadas puede parecer misión imposible. Por ello, ESET y otras firmas aconsejan el uso de gestores o generadores de contraseñas, herramientas que crean claves robustas de manera automática y las almacenan de forma cifrada, de modo que solo sea necesario memorizar una clave maestra.
Junto a estas recomendaciones, los especialistas señalan que activar la autenticación en dos pasos siempre que esté disponible añade una segunda capa de seguridad, de forma que incluso si una contraseña se ve comprometida, el atacante necesitará un código adicional enviado al móvil u otro dispositivo para poder acceder.
El hecho de que “123456” continúe en lo más alto de las listas muestra hasta qué punto los malos hábitos se resisten a desaparecer. Cambiar una secuencia tan cómoda por una clave más robusta puede resultar pesado al principio, pero es una de las medidas más simples y efectivas para reducir el riesgo de robo de cuentas, filtraciones de datos y ataques a empresas e instituciones. Dejar atrás este tipo de combinaciones numéricas básicas es, en la práctica, un primer paso imprescindible para moverse con algo más de tranquilidad en un entorno digital cada vez más expuesto.
