¿Son realmente seguras tus contraseñas? Lo que la mayoría de la gente hace mal
Empecemos con una pregunta incómoda: ¿cuántas de tus cuentas en línea comparten la misma contraseña?
Si la respuesta es más de una, no estás solo. Los estudios muestran consistentemente que la persona promedio reutiliza contraseñas en al menos cinco cuentas. Mucha gente usa la misma contraseña, o variaciones menores de ella, en docenas de servicios. Este es uno de los mayores riesgos de seguridad que la mayoría de la gente enfrenta en línea, y es completamente prevenible.
El verdadero peligro: filtraciones de datos y relleno de credenciales
La mayoría de la gente piensa que el hackeo es alguien que los ataca específicamente, adivinando su contraseña o forzando el acceso a su cuenta. La realidad es muy diferente.
La gran mayoría de los compromisos de cuentas ocurren a través de filtraciones de datos. Una empresa donde tienes una cuenta es hackeada. Su base de datos de nombres de usuario y contraseñas es robada y publicada en línea o vendida en la dark web. Esto le sucede a grandes empresas con una regularidad alarmante.
Aquí es donde la reutilización de contraseñas se vuelve catastrófica. Los atacantes toman las combinaciones de correo y contraseña filtradas y automáticamente las prueban en cientos de otros servicios: Gmail, Amazon, sitios bancarios, redes sociales. Esto se llama relleno de credenciales (credential stuffing), y funciona porque mucha gente usa la misma contraseña en todas partes.
Advertencia Si usaste la misma contraseña para un pequeño foro en línea que fue hackeado y para tu cuenta de correo principal, un atacante que obtenga la base de datos del foro ahora tiene acceso a tu correo. Desde tu correo, puede restablecer contraseñas en prácticamente todas tus demás cuentas.
Los errores de contraseña más comunes
1. Reutilizar contraseñas
Este es el pecado capital de la seguridad de contraseñas. Cuando reutilizas una contraseña, una filtración en un servicio compromete todos los servicios donde usaste esa contraseña.
2. Usar contraseñas débiles
A pesar de años de campañas de concientización, las contraseñas más comunes siguen siendo sorprendentemente simples. "123456", "password", "qwerty" y "admin" encabezan consistentemente las listas. Estas se pueden descifrar en menos de un segundo.
3. Patrones predecibles
Mucha gente piensa que está siendo astuta con patrones como:
- Añadir "1" o "!" al final de una palabra común
- Poner en mayúscula solo la primera letra
- Usar una contraseña base con el nombre del sitio añadido (ej., "MiContraseña-facebook")
- Sustituir letras por números ("c0ntr@s3ña")
Los atacantes conocen todos estos patrones. Sus herramientas están específicamente diseñadas para probar estas variaciones. Una contraseña que parece compleja para un humano puede ser trivial para una herramienta automatizada de descifrado.
4. Usar información personal
Nombres de mascotas, cumpleaños, aniversarios, nombres de hijos, equipos deportivos favoritos. Toda esta información a menudo está disponible públicamente en redes sociales. Si tu contraseña es "pelusa2019" y tu Instagram está lleno de fotos de gatos con #PelusaElGato, no eres tan seguro como crees.
5. Nunca cambiar contraseñas comprometidas
Incluso después de ser notificados de una filtración, muchas personas no cambian sus contraseñas. Esto da a los atacantes una ventana extendida para explotar las credenciales filtradas.
¿Sabías que? La mayor filtración de datos conocida expuso más de 3.200 millones de combinaciones de correo y contraseña en una sola filtración. Hay una probabilidad significativa de que al menos una de tus contraseñas haya sido expuesta en una filtración pasada, incluso si nunca te notificaron.
¿Qué hace fuerte a una contraseña?
Una contraseña fuerte tiene tres propiedades clave:
- Longitud. Este es el factor más importante. Una contraseña de 16 caracteres es exponencialmente más difícil de descifrar que una de 8 caracteres, independientemente de la complejidad.
- Aleatoriedad. No debe contener palabras del diccionario, nombres, fechas ni patrones reconocibles.
- Unicidad. Debe usarse para una sola cuenta y nada más.
Así es como la longitud de la contraseña afecta el tiempo de descifrado para una contraseña aleatoria:
| Longitud | Solo minúsculas | Mayúsculas + números + símbolos |
|---|---|---|
| 6 caracteres | Instantáneo | ~5 segundos |
| 8 caracteres | ~2 minutos | ~8 horas |
| 12 caracteres | ~200 años | ~34.000 años |
| 16 caracteres | ~3 millones de años | Efectivamente indescifrable |
La conclusión es clara: la longitud supera a la complejidad. Una contraseña aleatoria de 16 caracteres con solo minúsculas es mucho más fuerte que una contraseña de 8 caracteres con mayúsculas, números y símbolos.
La solución: gestores de contraseñas y contraseñas únicas
La forma más práctica de usar contraseñas fuertes y únicas para cada cuenta es usar un gestor de contraseñas. Un gestor almacena todas tus contraseñas en una bóveda cifrada, protegida por una única contraseña maestra. Solo necesitas recordar una contraseña; el gestor se encarga del resto.
Los gestores de contraseñas populares incluyen Bitwarden (gratuito y de código abierto), 1Password y KeePass. La mayoría de los navegadores también tienen gestores de contraseñas integrados que funcionan razonablemente bien.
Cómo funciona un gestor de contraseñas
- Cuando creas una cuenta o cambias una contraseña, el gestor genera una contraseña larga y aleatoria.
- La contraseña se guarda en tu bóveda cifrada.
- Cuando visitas un sitio web, el gestor autocompleta las credenciales.
- Nunca necesitas recordar, escribir ni siquiera ver las contraseñas individuales.
Actúa hoy: dos pasos que puedes dar ahora mismo
No necesitas reformar toda tu vida digital de una sola vez. Empieza con estas dos acciones concretas.
Paso 1: Verifica si tus contraseñas han sido filtradas
Antes que nada, averigua si tus contraseñas existentes ya han sido expuestas en filtraciones de datos conocidas. Esto te dice qué cuentas están en riesgo inmediato.
Consejo Puedes verificar si tus contraseñas aparecen en bases de datos de filtraciones conocidas ahora mismo, gratis: Verificar si tu contraseña ha sido filtrada. La verificación se realiza de forma segura — tu contraseña completa nunca se envía a ningún lugar.
Paso 2: Genera contraseñas fuertes para tus cuentas más importantes
Empieza con las cuentas que más importan: tu correo principal, tu banco y cualquier cuenta que almacene información de pago. Reemplaza esas contraseñas con contraseñas fuertes generadas aleatoriamente.
Consejo Usa nuestro generador de contraseñas gratuito para crear contraseñas fuertes y únicas al instante: Generar una contraseña segura. Puedes personalizar la longitud y los tipos de caracteres para cumplir los requisitos de cualquier sitio.
Más allá de las contraseñas: activa la autenticación de dos factores
Incluso la contraseña más fuerte no es suficiente si el servicio que la almacena sufre una filtración. La autenticación de dos factores (2FA) añade una segunda capa de protección: después de ingresar tu contraseña, también debes proporcionar un código de tu teléfono, una aplicación de autenticación o una llave de seguridad física.
Con 2FA activada, una contraseña filtrada por sí sola no es suficiente para que un atacante acceda a tu cuenta. Actívala en cada cuenta que la ofrezca, especialmente correo, banca y redes sociales.
Advertencia La 2FA basada en SMS (códigos enviados por mensaje de texto) es mejor que nada pero es vulnerable a ataques de intercambio de SIM. Las aplicaciones de autenticación (Google Authenticator, Authy) o llaves de hardware (YubiKey) son significativamente más seguras.
Construyendo mejores hábitos
La seguridad de contraseñas no es una solución de una sola vez. Es una práctica continua:
- Usa un gestor de contraseñas para todas las cuentas.
- Genera una contraseña única para cada cuenta nueva.
- Activa 2FA donde esté disponible.
- Verifica filtraciones periódicamente, al menos una o dos veces al año.
- Cambia las contraseñas comprometidas inmediatamente cuando te notifiquen de una filtración.
Empieza a proteger tus cuentas hoy:
Ambas herramientas son gratuitas, funcionan en tu navegador y nunca envían tus datos a ningún lugar.