El 60% de las contraseñas se descifran en una hora: estudio revela por qué los algoritmos "inteligentes" superan desde hace tiempo a la imaginación humana
Casi una de cada dos contraseñas en Internet hoy puede descifrarse en menos de un minuto. Los especialistas de Kaspersky Lab analizaron 231 millones de contraseñas que se filtraron en la darknet entre 2023 y 2026, y llegaron a la conclusión desalentadora: el 60% de las combinaciones puede romperse en menos de una hora. En los últimos dos años la situación solo ha empeorado, y la potencia de las tarjetas gráficas ha hecho el descifrado aún más rápido y barato.
Para las pruebas, los especialistas usaron una tarjeta gráfica NVIDIA RTX 5090 y contraseñas cifradas con el algoritmo MD5. En comparación con la RTX 4090, la velocidad de búsqueda aumentó un 34% y alcanzó 220 000 millones de hashes por segundo. Se puede alquilar esa capacidad en servicios en la nube por apenas unos dólares la hora, por lo que incluso los ataques complejos dejaron de ser un lujo costoso.
Los servicios modernos normalmente no almacenan las contraseñas en texto claro. En su lugar, el sistema guarda un hash —una secuencia cifrada de caracteres—. Al iniciar sesión, la contraseña se vuelve a convertir en un hash y se compara con el valor guardado. Si un atacante consigue una base de datos de esos hashes, comienza la búsqueda de la contraseña original.
Para el descifrado se emplean varios métodos. La opción más simple es el ataque por fuerza bruta que prueba todas las combinaciones. Otro método se basa en las llamadas tablas rainbow, que ya contienen millones de contraseñas descifradas previamente. Pero los algoritmos «inteligentes» entrenados en grandes bases de filtraciones son los más eficaces. Esos sistemas conocen patrones populares, tienen en cuenta sustituciones de letras por símbolos como «@» o «$» y primero prueban las combinaciones más probables.
Casi la mitad de todas las contraseñas analizadas resultaron tan débiles que pudieron descifrarse en menos de un minuto. Un 12% adicional se descifra en menos de una hora. Solo el 23% de las combinaciones requieren más de un año de búsqueda continua.
Los especialistas señalan como problema principal los hábitos humanos. Los usuarios añaden masivamente a las palabras cifras, años de nacimiento y símbolos sencillos. Más de la mitad de las contraseñas terminan en números, y el 17% comienzan con ellos. En una de cada diez combinaciones aparecen años entre 1990 y 2026. La secuencia más popular volvió a ser «1234».
Incluso los caracteres especiales obligatorios ayudan poco. El símbolo «@» aparece aproximadamente en una de cada diez contraseñas; le siguen el punto y el signo de exclamación. Los algoritmos llevan tiempo teniendo en cuenta esos patrones al realizar las búsquedas. Los especialistas también notaron la influencia de los memes de internet. Entre 2023 y 2026 la palabra Skibidi comenzó a aparecer en las contraseñas 36 veces más. Al mismo tiempo aumentó la popularidad de la palabra «toilet».
Otro problema es que los usuarios no cambian las contraseñas durante años. Más de la mitad de las combinaciones de las filtraciones recientes ya se habían visto antes. El análisis de las fechas dentro de las contraseñas mostró que muchos añaden el año en curso al crear la cuenta y luego usan la misma contraseña durante tres a cinco años.
La situación empeora por la reutilización de las mismas combinaciones en distintos sitios. En ese caso al atacante ni siquiera le hace falta descifrar nada: basta con encontrar la contraseña en una filtración y probarla en otros servicios.
Como medidas de protección, los especialistas recomiendan usar gestores de contraseñas, crear combinaciones largas y aleatorias y no guardar las contraseñas en notas o en el navegador. También se aconseja pasar a llaves de acceso en lugar de las contraseñas tradicionales y activar siempre la autenticación de dos factores mediante aplicaciones autenticadoras, no por SMS.