Tal como lo precisó NordPass en su quinto estudio anual, ‘123456’ es la contraseña más común en 2023. Además de las contraseñas más comunes en 35 países distintos, este año el estudio exploró qué contraseñas usa la gente para distintos servicios, y si varían o no.
En ese sentido, entre las 20 contraseñas más comunes de la siguiente lista se encuentran las de siempre, más algunas recién llegadas:
123456
admin
12345678
123456789
1234
12345
password
123
Aa123456
1234567890
UNKNOWN
1234567
123123
111111
Password
12345678910
000000
admin123
********
user
Aunque las contraseñas varían mucho de un país a otro, hay algunas tendencias globales claras.
El estudio concluye que la gente usa las contraseñas más débiles para sus cuentas de streaming. En contraste, las contraseñas más robustas se emplean en las cuentas financieras.
Este año, a los usuarios de internet les encantaron las contraseñas asociadas con juegos online o ficciones. Por ejemplo, ‘Aladdin66’ es una de las 20 contraseñas más populares en Taiwán, igual que ‘Supermario12’ en Austria. Por su parte, la contraseña ‘gtasanadreas123’ se ha popularizado en México.
Las palabras que hacen referencia a lugares geográficos también han terminado entre las contraseñas de la gente. Los usuarios de internet suelen optar por nombres de países o de ciudades, como ‘Schweiz15’ y ‘barcelona’.
Casi un tercio (31 %) de las contraseñas más populares del mundo consiste puramente en secuencias numéricas, como la ganadora de este año: ‘123456’.
En lugar de mejorar los hábitos de creación de contraseñas, los usuarios de internet han optado por otra dirección al ceñirse a las contraseñas predefinidas. Invisible el año pasado, la palabra ‘admin’ ha entrado por la puerta grande en la lista mundial de este año, donde se ha afianzado en la segunda posición.
El estudio también reveló qué tipo de contraseñas usa la gente en distintas plataformas, y sus diversos grados de robustez.
Las contraseñas más débiles se usan para proteger las cuentas de streaming. Según Tomas Smalakys, director de tecnología (CTO) de NordPass, esto podría responder a que la gente gestiona cuentas compartidas, y, por comodidad, opta por las contraseñas fáciles de recordar.
Como es lógico, la gente pone más cuidado en las cuentas directamente vinculadas con su dinero. Por eso, las contraseñas más seguras se usan en los servicios financieros.
Los hackers atacan las contraseñas almacenadas en los navegadores
Para averiguar qué contraseñas usan los usuarios en distintas plataformas, el equipo de investigación analizó una base de datos de 6,6 TB de contraseñas expuestas por diversos malwares ‘stealer’, que los especialistas consideran una enorme amenaza para la ciberseguridad de la gente.
Los ataques de malware son especialmente peligrosos, porque estos registros contienen una gran cantidad de información sobre sus víctimas. Por ejemplo, el malware puede robar información guardada en tus navegadores, como contraseñas y otras credenciales, cookies de la web de origen, o datos de autorrelleno. Además, también puede robar archivos del ordenador de su víctima, así como detalles del sistema como la versión del SO o la dirección IP.
“Lo más aterrador es que quizá las víctimas ni siquiera se den cuenta de que su ordenador está infectado. Los malos actores tienden a ocultar el malware en correos electrónicos de phishing bien elaborados, imitando a una organización legítima, como tu banco o tu empresa” dice Smalakys.
El futuro de las contraseñas
En los cinco años en que NordPass lleva realizando este estudio, ‘123456’ ha sido la contraseña más utilizada en cuatro ocasiones. Según Smalakys, esto es una clara señal de que hace falta un cambio en nuestros métodos de autentificación.
Las passkeys son una nueva forma de autentificación. La esencia de esta tecnología consiste en que el usuario no necesita introducir una contraseña: todo se hace de forma automática. Al entrar en una web que admite passkeys, el dispositivo del usuario genera un par de claves vinculadas entre sí: una pública y una privada. La clave privada se guarda en el dispositivo, y la clave pública en el servidor de la web. Ninguna funciona sin la otra. Si el usuario se identifica con éxito usando sus datos biométricos, las passkeys encajan, y se inicia sesión con éxito.
“Esta tecnología nos ayudará a eliminar esas contraseñas pésimas, así que los usuarios estarán más seguros. Sin embargo, como ocurre con todas las innovaciones, no adoptaremos la verificación sin contraseñas de la noche a la mañana. Al ser uno de los primeros gestores de contraseñas que ofrecemos esta tecnología, vemos que los usuarios tienen cada vez más curiosidad por probarla. Sin embargo, aún queda mucho trabajo por hacer, y la seguridad de las contraseñas sigue siendo un problema a día de hoy”, dice Smalakys.
Consejos para una gestión segura de nuestras credenciales
Aunque las passkeys siguen extendiéndose poco a poco, la higiene de las contraseñas y la ciberseguridad continúan teniendo una gran importancia.
Crea contraseñas largas y complejas. “123456 simplemente ya no sirve”, dice Smalakys. Las contraseñas fáciles de adivinar equivalen básicamente a dejar las puertas de casa abiertas, así que lo aconsejable es usar contraseñas aleatorias de 20 caracteres que contengan letras mayúsculas y minúsculas, símbolos y números.
Evita guardar tus secretos en tu navegador, y empieza a usar un gestor de contraseñas. Con los ataques de malware ‘stealer’ orientados al robo de credenciales en los navegadores, los softwares de gestión de contraseñas de terceros están considerados como una opción más segura para el almacenamiento de las claves.
Empieza a usar passkeys. Cada vez son más las webs que ofrecen la opción de acceder a las cuentas mediante passkeys en lugar de contraseñas. Aunque las passkeys todavía no sustituirán por completo a las contraseñas, son definitivamente el futuro de la autentificación.
Mantente alerta. Para protegerte frente al malware ‘stealer’, debes tener mucho cuidado con todo lo que descargas en tu ordenador. Este malware suele distribuirse a través de correos electrónicos de phishing, así que aprende a reconocerlos.
Metodología de investigación: La lista de contraseñas fue recopilada en colaboración con investigadores independientes especializados en el estudio de incidentes de ciberseguridad. Evaluaron una base de datos de 4,3 TB extraída de diversas fuentes de acceso público, incluyendo la dark web. NordPass no adquirió ni compró datos personales para realizar este estudio.
El equipo de investigación clasificó los datos en varias columnas, lo que le permitió realizar un análisis estadístico en función de distintos países. Este equipo de investigación solo transfirió a NordPass información estadística, sin hacer referencia a los datos personales de ningún usuario de internet.
Además, investigadores externos analizaron otra base de datos con 6,6 TB de contraseñas. Estas claves fueron robadas por varios malwares ‘stealer’, como Redline, Vidar, Taurus, Raccoon, Azorult y Cryptbot. Los registros de malware incluyen no solo las contraseñas, sino también sus webs de origen. El estudio clasificó las contraseñas más populares por tipo de plataforma, y después se compartieron los datos estadísticos agregados con NordPass.
Fuente: Ambito