‘123456’, ‘admin’ y ‘password’ son las contraseñas que los usuarios eligen con mayor frecuencia para proteger el acceso a sus cuentas en servicios digitales, pero dada la facilidad que ofrecen para adivinarlas, hacen justo lo contrario: poner en riesgo la seguridad de la cuenta.

El portal especializado Comparitech ha reunido las cien contraseñas más utilizadas en 2025, una tabla que han obtenido a partir de los datos agregados de más de 2.000 millones de credenciales de cuentas filtradas en canales delictivos, después de comprobar los que estaban actualizados al presente año.

En su clasificación, ‘123456’ aparece como la contraseña más usada, concretamente, en 7.618.192 cuentas analizadas. Le siguen en orden ‘12345678’, presente en 3.676.487 cuentas, y ‘123456789’, en 2.866.100 cuentas.

A continuación, llega la contraseña ‘admin’, que protege 1.987.808 cuentas. ‘password’ (1.082.010), ‘111111’ (326.154) y ‘admin123’ (306.343), son ejemplos de contraseñas débiles que se encuentran en entre las 20 más frecuentes. En último lugar, en el puesto número cien, se encuentra ‘minecraft’ (69.464).

La clasificación revela el uso de contraseñas débiles, que no suponen ningún reto para los cibercriminales porque pueden adivinarlas con facilidad. Una categoría son aquellas que solo contienen números, que suponen una cuarta parte de las mil contraseñas más comunes, según indican en el portal especializado.

También es frecuente recurrir a palabras comunes y fáciles de recordar, como ocurre con ‘admin’, ‘qwerty’ -que sigue el orden de una fila de teclas del teclado- y ‘password’. Por longitud, las contraseñas más frecuentes tienen ocho caracteres (18%), mientras que las que tienen 15 caracteres solo suponen el 7 por ciento.

En la actualidad, las contraseñas no se ven como una medida de protección eficaz, y se recomienda complementarlas con un segundo factor -un código de un solo uso o una aprobación en el móvil- que evite que su robo permite el acceso a la cuenta de la víctima.

Como alternativa se está promoviendo el uso de las claves de acceso o ‘passkeys’, que solo requiere que el usuario se autentique con el rostro, la huella dactilar o un código PIN. Se basan en el estándar Fast IDentity Online 2 (FIDO2), que asegura el inicio de sesión con una clave criptográfica.

Esta clave es pública en la web y privada en la cuenta de usuario donde se almacenan (cuenta de Microsoft o de Google, por ejemplo), lo que hace que en caso de que la web sufra una brecha de seguridad, la cuenta siga estando a salvo.

Aun así, las contraseñas siguen siendo muy populares, y por ello conviene recodar que deben ser robustas, para poder cumplir su función. Para ello, hay que evitar aquellas que sean muy cortas o que puedan adivinarse con facilidad -como las que se incluyen en la clasificación de Comparitech-,así como aquellas que incluyan información personal.

Conviene que tengan una extensión mínima de ocho caracteres -mejor si son más largas-, que convienen letras en mayúscula y minúscula con números y símbolos, y que sean únicas para cada cuenta. Si cuesta recordarlas, lo mejor es usar un gestor de contraseñas, que las almacena y permite cambiarlas cuando sea necesario.