La mitad de las contraseñas filtradas en 2025 ya estaban comprometidas: hora de aceptar que el modelo se agotó

En 2025, más de la mitad de las contraseñas que circularon en nuevas filtraciones masivas no eran realmente “nuevas”. Según un análisis reciente de Kaspersky, el 54 % de las claves expuestas ese año ya había aparecido en fugas anteriores. En la práctica, esto significa que millones de personas siguen utilizando contraseñas que los atacantes conocen desde hace años.

La conclusión incómoda es clara: el modelo basado en contraseñas ha dejado de ser una solución razonable de seguridad, especialmente cuando depende de que cada usuario recuerde decenas de claves, las renueve con frecuencia y evite caer en patrones previsibles.

Patrones que se repiten: fechas, “12345” y palabras obvias

Kaspersky revisó las principales filtraciones de contraseñas entre 2023 y 2025 y encontró un catálogo de patrones que se repiten con obstinación:

• El 10 % de las contraseñas analizadas incluye un número similar a una fecha entre 1990 y 2025.
• El 0.5 % de todas las claves termina exactamente en “2024”; es decir, una de cada 200 contraseñas filtradas usa ese patrón.
• La combinación más común sigue siendo “12345”, reduciendo la resistencia criptográfica a casi nada.
• Son muy frecuentes componentes como la palabra “love”, nombres de personas y nombres de países.

A esto se suma un problema más estructural: la mayoría de las contraseñas filtradas permanecen sin cambios durante años. El estudio calcula que la vida media de una clave presente en estas filtraciones es de entre 3.5 y 4 años. En ese periodo, esas contraseñas se reutilizan una y otra vez en distintos servicios.

Para los atacantes, este comportamiento es oro puro. No solo porque reduce el espacio de búsqueda —gracias a patrones fáciles de adivinar—, sino porque multiplica el impacto de cada filtración: una clave expuesta puede abrir la puerta a correo, redes sociales, banca en línea, servicios de trabajo y más.

Un modelo que choca con los límites humanos

“Los resultados que vemos año tras año muestran un patrón preocupante: muchas personas siguen utilizando contraseñas débiles, predecibles o directamente recicladas de filtraciones anteriores”, advierte Fabiano Tricarico, director de Productos para el Consumidor en América Latina de Kaspersky. “La realidad es que gestionar decenas de claves, cambiarlas con frecuencia y recordar cuáles corresponden a cada servicio se ha vuelto una carga difícil de sostener para cualquier usuario.”

Detrás de esta constatación hay un punto clave para cualquier responsable de seguridad o de experiencia de usuario:

• El modelo de contraseñas exige a las personas una disciplina que no es realista a gran escala.
• Esa sobrecarga cognitiva empuja a atajos: repetir claves, usar patrones sencillos, no cambiar contraseñas tras una filtración.
• La industria ha intentado compensarlo con reglas (mínimo de caracteres, símbolos, renovaciones periódicas), pero muchas veces solo incrementa la frustración sin mejorar la seguridad real.

Mientras tanto, las herramientas de ataque se han vuelto más potentes. Hoy es trivial para un ciberdelincuente probar millones de combinaciones por segundo, explotar diccionarios de contraseñas filtradas y automatizar el relleno de credenciales en cientos de servicios distintos.

El resultado: la autenticación basada exclusivamente en contraseñas es cada vez más frágil.

Del parche al cambio de modelo: la apuesta por passkeys

Ante esta realidad, la respuesta no puede limitarse a “elige una contraseña más larga y cámbiala más seguido”. La industria está avanzando hacia modelos alternativos, y uno de los más relevantes son las passkeys: un mecanismo de inicio de sesión sin contraseña, basado en criptografía y, en muchos casos, en biometría.

• elimina la necesidad de memorizar una clave;
• se basa en un par de claves criptográficas (una pública y una privada);
• puede validarse con datos biométricos del dispositivo (huella, rostro) o un PIN local;
• se genera para una cuenta específica en un servicio concreto;
• se almacena de forma segura en el dispositivo del usuario o en un gestor de contraseñas compatible.

A diferencia de las contraseñas clásicas, las passkeys son:

• inmunes al phishing: aunque el usuario caiga en una página falsa, la passkey no se comparte de la misma forma que una contraseña;
• resistentes al relleno de credenciales: no existen “listas” de passkeys reutilizables entre servicios;
• menos atractivas para las filtraciones masivas: aunque una base de datos se vea comprometida, la clave privada nunca sale del dispositivo del usuario.

Desde la perspectiva de experiencia de usuario, además, reducen fricción: iniciar sesión con una huella o reconocimiento facial suele ser más rápido que escribir una contraseña compleja en un teclado pequeño o en un entorno de alta presión.

Qué implica esto para usuarios y empresas

Para personas y organizaciones, el mensaje que deja el estudio de Kaspersky es doble:

1. Mientras sigan existiendo contraseñas, hay que elevar el estándar mínimo.
   • usar contraseñas largas (al menos 12 caracteres) y distintas para cada servicio;
   • apoyarse en gestores de contraseñas para no depender de la memoria;
   • activar siempre la verificación en dos pasos (2FA) como segunda barrera: aunque alguien robe la clave, necesitará un código adicional;
   • desconfiar de enlaces o mensajes que pidan “verificar la cuenta” o “actualizar la contraseña” y, en cambio, entrar directamente al sitio oficial desde el navegador;
   • mantener aplicaciones y dispositivos actualizados para cerrar vulnerabilidades conocidas.
2. A mediano plazo, la estrategia debe migrar hacia modelos sin contraseña.
   • empezar a habilitar passkeys en los servicios que ya las soportan (banca, correo, plataformas de gran consumo);
   • integrar passkeys en gestores de contraseñas para sincronizarlas de forma segura entre dispositivos;
   • desde el lado empresarial, planear la adopción de passkeys como parte de una estrategia de autenticación moderna, junto con 2FA y gestión centralizada de identidades.

Kaspersky menciona que ya es posible crear y guardar passkeys en su propio gestor de contraseñas, que las sincroniza entre dispositivos. Es un ejemplo concreto de cómo los proveedores de seguridad están incorporando este modelo en sus productos.

El futuro de la autenticación: menos memoria, más diseño

Para la audiencia de Neurona, la lección de fondo va más allá de un listado de buenas prácticas. El estudio es otro recordatorio de que la seguridad no puede seguir dependiendo de la memoria humana como capa principal.

Los sistemas que se diseñen en los próximos años tendrán que asumir que:

• las personas equivocan, repiten y olvidan;
• los atacantes seguirán mejorando sus herramientas de automatización;
• y que cada nuevo servicio que exige “otra contraseña más” está contribuyendo al desgaste que termina abriendo puertas.

La transición hacia passkeys y otros mecanismos sin contraseña no será inmediata; convivirá durante un tiempo con el modelo actual. Pero cuanto antes se entienda que el problema es estructural —no solo educativo—, antes se podrán tomar decisiones que reduzcan la superficie de ataque sin cargar aún más responsabilidades sobre el usuario.

En ciberseguridad, a veces el verdadero cambio no es pedir más esfuerzo, sino rediseñar el sistema para que el esfuerzo humano deje de ser el eslabón más débil de la cadena.