Es la escena típica frente al ordenador o el móvil. Creas una cuenta nueva y, en lugar de inventar una contraseña distinta, coges la de siempre y le añades un número o una letra al final. De «admin» pasas a «admin1» y asunto resuelto, ¿quién no lo ha hecho alguna vez?
Suena cómodo. Pero, según una encuesta reciente de NordPass, este truco abre un efecto dominó que puede exponer desde tus redes sociales hasta tu banca online. Como resume Karolis Arbaciauskas, jefe de producto de NordPass, «una sola contraseña comprometida puede abrir la puerta a toda la vida digital de una persona».
Contraseñas casi iguales, mismo problema
Los expertos llaman a esto reutilización de contraseñas con pequeñas variaciones. En vez de crear claves únicas para cada servicio, las personas repiten la misma base y solo cambian un detalle mínimo.
Para un atacante esto es oro. Si una de esas contraseñas se filtra en una brecha de datos, probar versiones casi idénticas en otros servicios es cuestión de segundos. Al final del día, lo que se ve como un pequeño cambio se convierte en una llave maestra para correos, redes y hasta cuentas corporativas.
Qué revela la encuesta de NordPass
La encuesta de NordPass sobre reutilización de contraseñas señala que el 62 % de los usuarios repite sus claves en varias cuentas online. De media, cada persona reutiliza la misma contraseña en cinco servicios distintos y alrededor de una quinta parte lo hace en diez o más.
Entre quienes admiten reutilizar contraseñas, el 68 % reconoce que solo hace ajustes ligeros. Lo más habitual es añadir o modificar un número, un símbolo o una letra. Arbaciauskas avisa de que este comportamiento relajado puede traducirse en robo de datos o en el vaciado de cuentas bancarias.
En el entorno corporativo el riesgo crece todavía más. Este patrón casi nunca rompe las políticas básicas de contraseñas y puede pasar desapercibido para los administradores. Por eso se convierte, según el equipo de NordPass, en una puerta de entrada perfecta para cibercriminales que buscan atacar a empresas.
Las contraseñas más comunes son variaciones mínimas
El problema se aprecia también en la lista de las 200 contraseñas más usadas en 2025. De esas 200, 119 son solo variaciones mínimas de otras ya conocidas, lo que deja claro que la creatividad no es precisamente el punto fuerte cuando elegimos claves.
Los investigadores agrupan estas variaciones en siete familias. Hay secuencias numéricas como 12345 o 1234567, versiones de «admin» como admin o Admin123, y derivados de «password» como password o p@ssw0rd. También aparecen patrones del teclado como qwerty123, combinaciones repetitivas como 11111111 o aabb1122, palabras comunes y contraseñas a las que se añade una letra o un número al principio o al final, como Aa123456 o 12345678a.
Las familias más numerosas son las secuencias numéricas, los patrones del teclado y los patrones repetitivos. Desde fuera suenan diferentes, pero para un programa automático que prueba millones de combinaciones son variaciones muy fáciles de adivinar.
Demasiadas cuentas, pocas contraseñas en la cabeza
¿Por qué seguimos haciendo algo que sabemos que es inseguro? Un tercio de las personas encuestadas dice que no le queda otra porque tiene demasiadas cuentas que gestionar con contraseñas distintas.
Arbaciauskas calcula que hoy una persona promedio acumula alrededor de 170 cuentas digitales a lo largo de los años. Recordar una clave única para cada servicio es prácticamente imposible sin ayuda. Por eso, alrededor de una cuarta parte de los usuarios confiesa que crear y gestionar tantas contraseñas les resulta incómodo.
Más preocupante es que un 10 % aún piensa que reutilizar contraseñas no supone un riesgo grave. Esa sensación de falsa seguridad es el caldo de cultivo perfecto para el robo de identidad, el fraude con préstamos o los ataques de ransomware en empresas.
Cómo romper el efecto dominó de las contraseñas
La buena noticia es que la higiene digital se puede mejorar con algunos hábitos sencillos. Uno de los más efectivos es activar siempre la autenticación multifactor, que añade un código único al iniciar sesión y pone una barrera extra incluso si alguien roba la contraseña.
También ayudan los gestores de contraseñas, aplicaciones que generan claves largas y aleatorias y las guardan de forma cifrada. En la práctica eso significa que tú solo recuerdas una contraseña maestra y el gestor se encarga del resto, sin que tengas que tirar de la misma combinación una y otra vez.
Cada vez más servicios empiezan a ofrecer passkeys, un sistema que combina criptografía y biometría para que puedas entrar con el rostro, la huella o un PIN del dispositivo sin escribir una contraseña tradicional. Cuando esta opción no está disponible, la recomendación general es mantener contraseñas únicas y largas y añadir siempre que se pueda un segundo paso de verificación.
La encuesta principal se ha publicado en NordPass.
