¿Por qué todavía es posible «proteger» una cuenta en línea con una cadena de seis dígitos?
07 mayo 2026
•
,
4 min. leer
La contraseña más utilizada a nivel mundial es exactamente la que crees que es: ‘123456’. Eso es según NordPassEl último informe anual sobre contraseñas expuestas en violaciones de datos a nivel mundial. Otras opciones demasiado predecibles, como ‘123456789’, ‘12345678’, ‘12345’ y ‘admin’, también demuestran tener poder de permanencia año tras año.
Mi primer instinto es descartar esto como material alarmista, especialmente teniendo en cuenta que la mala higiene de las contraseñas también fue parte de una sesión de participación comunitaria que presenté en la reciente conferencia RSAC. Despotricamos: 4 cosas que deben cambiar en ciberseguridad.
Pero como hoy es el Día Mundial de la Contraseña, tuve que poner esto a prueba: ¿todavía puedo encontrar un sitio web razonablemente convencional que me permita crear una cuenta usando ‘123456’ como contraseña? Lamentablemente, la respuesta es sí.
Hay sitios populares, como ‘evitar‘, que aún permite que esta cadena exacta de seis dígitos se use como contraseña. Puede descartarlo como simplemente un servicio de invitación electrónica, hasta que se dé cuenta de que está compartiendo datos personales en sus invitaciones y potencialmente administra las respuestas de todos sus invitados a través de una cuenta que no es segura. La parte impactante de esta prueba tan cruda es el hallazgo de que Evite era sujeto a una violación de datos en 2019 que afectó la información personal de más de 100 millones de personas. La empresa probablemente debería saber que no debe permitir que sus usuarios tengan contraseñas tan débiles.
La situación no es mucho mejor en servicios aún más populares. Cuando intenté crear una nueva cuenta en Facebook, la plataforma exigió un nivel adicional de complejidad de contraseña. Pero aun así, una cadena tan simple como ‘1234567!’ resultó ser una contraseña permitida. X ofreció una experiencia similar.
Ahora, Facebook, por ejemplo, sí ofrecer algunos consejoscomo: «Evite el uso de palabras comunes como «contraseña».‘ y «Si su contraseña no es lo suficientemente segura, mezcle letras mayúsculas y minúsculas. Hazlo más complejo usando una frase más larga o una serie de palabras que puedas recordar pero que otros no sepan..” Sin embargo, permite ‘1234567!’ para ser usado, sin letras, solo un patrón secuencial con un simple signo de exclamación al final, todo fácilmente adivinable, especialmente mediante scripts automatizados que prueban cuentas en masa para patrones y cadenas de uso común.
Mientras tanto, Diccionario Collinsque alberga contenido mucho menos confidencial, me obligó a crear una contraseña de ocho caracteres que contenga al menos tres de los siguientes: minúsculas (az), mayúsculas (AZ), números (es decir, 0-9) y caracteres especiales (por ejemplo, !@#$%^&*).
Los datos de NordPass sugieren que hay muchos más sitios que establecen políticas de contraseñas limitadas y permiten contraseñas triviales como ‘123456’. Sin embargo, creo que también puede haber elementos heredados en el método utilizado para calcular las contraseñas más comunes. Por ejemplo, si una empresa ha existido durante 10 años y nunca eliminó ninguna cuenta de usuario inactiva, entonces una infracción incluiría información desactualizada de la cuenta inactiva, parte de la cual puede ser de antes Se aplicó cualquier política de contraseña. La motivación detrás de la publicación de datos que acaparan los titulares también es clara: los proveedores que crean la noticia se beneficiarán potencialmente al proporcionar software de gestión de contraseñas para una suscripción.
Rompiendo el ciclo
Ahora bien, ¿cómo resolvemos este bucle interminable de negatividad sobre las contraseñas, junto con la ridícula situación de que las plataformas todavía permiten contraseñas no seguras?
No apoyo la idea de que los legisladores necesiten mimar a los ciudadanos, pero en este caso creo que es hora de que los legisladores den un paso al frente y pongan fin al patrón de empresas que no implementan políticas de autenticación estrictas y permiten a los consumidores elegir la opción fácil. Existe una legislación de privacidad generalizada que establece que las empresas deben proteger nuestros datos personales si los almacenan, utilizando medidas de ciberseguridad razonables y adecuadas. Una parte fundamental de estas medidas es el uso de contraseñas sólidas y complejas y de autenticación multifactor (MFA), como exige cualquier marco de ciberseguridad que se precie. Sin embargo, en muchos casos no existen requisitos de ciberseguridad en materia de autenticación para los servicios de cara al cliente.
Por otro lado, algunas industrias se han visto obligadas a actualizarse a métodos de autenticación modernos. En la industria financiera, por ejemplo, existen varias regulaciones, como la Directiva de Servicios de Pago 2 (PSD2), que exige MFA para pagos electrónicos y acceso a cuentas de pago en línea.
La legislación debería extenderse a todas las industrias: simplemente hacer cumplir MFA para todas las cuentas creadas en línea independientemente del servicio al que se accede, deshacerse del uso obsoleto de contraseñas y pasar a una seguridad más apropiada para la Internet actual.
El obstáculo potencial para exigir este enfoque es la barrera de entrada para las personas que crean cuentas. Las empresas que dependen de la publicidad o la recopilación (y venta) de datos personales para obtener ingresos ejercerán una importante presión contra esta medida, y las empresas con grandes presupuestos exigirán mucho que nada se interponga en el camino de las ganancias, especialmente algo como proteger las cuentas de los clientes exigiendo una contraseña compleja y/o MFA.
Durante la mayor parte de mis más de 30 años de carrera en la industria de la ciberseguridad, la cuestión de las contraseñas débiles ha sido un mensaje básico que se publica todos los días, en muchos eventos y en un día especialmente designado. Existe una forma sencilla y eficaz de resolverlo: exigir contraseñas complejas o, mejor aún, MFA. ¿Podemos detener la conversación sobre «contraseñas débiles» de una vez por todas?
Para generar contraseñas seguras y obtener más información sobre la seguridad de cuentas en línea, visite el sitio web de ESET. generador de contraseñas página.
Acerca del autor
