Rombo
Rombo con líneas discontinuas de color oscuro

Contraseñas más hackeadas: lista y cómo protegernos

Contraseñas más hackeadas y seguridad en hosting para proteger una web

Contraseñas más hackeadas: cuáles son y cómo protegernos

Las contraseñas más hackeadas no suelen ser raras, sofisticadas ni difíciles de imaginar. De hecho, el problema suele estar justo en lo contrario: usamos claves demasiado cómodas, demasiado cortas o demasiado repetidas. Y cuando hablamos de una cuenta de correo, un panel de hosting, WordPress, una tienda online o un área de cliente, una mala contraseña puede convertirse en la puerta de entrada a un problema serio.

La realidad es incómoda: muchas de las contraseñas más usadas siguen siendo combinaciones como 123456, admin, 12345678, password o variantes casi idénticas. Son fáciles de recordar, sí, pero también son fáciles de adivinar, automatizar y probar en masa.

“Según el informe de NordPass, elaborado con NordStellar y especialistas en incidentes de ciberseguridad, se analizaron filtraciones públicas y repositorios de la dark web entre septiembre de 2024 y septiembre de 2025.” — NordPass

Fuente: NordPass

Cuando hablamos de seguridad digital, conviene pensar en las contraseñas como pensamos en las llaves de una oficina. Si usamos una llave genérica, la dejamos debajo del felpudo o la repetimos para todas las puertas, el problema no es solo que alguien pueda entrar: el problema es que puede entrar en más de un sitio.

Por eso, en este artículo vamos a ver cuáles son las contraseñas más hackeadas, por qué se rompen tan rápido, cómo comprobar si una clave ha sido filtrada y qué podemos hacer para proteger nuestras cuentas, nuestra web y nuestro hosting.

Qué son las contraseñas más hackeadas y por qué siguen funcionando

Cuando decimos “contraseñas más hackeadas”, normalmente nos referimos a claves que aparecen con frecuencia en filtraciones, bases de datos expuestas o listas utilizadas por atacantes para probar accesos de forma automática.

No siempre significa que alguien haya “adivinado” manualmente una contraseña. En muchos casos, el proceso es mucho más mecánico:

  • Se filtra una base de datos.
  • Las credenciales acaban en repositorios públicos, privados o en la dark web.
  • Los atacantes prueban esas combinaciones en otros servicios.
  • Si hemos reutilizado la misma contraseña, el acceso puede caer en segundos.

Ese es uno de los grandes riesgos: la reutilización. Si usamos la misma clave para el correo, WordPress, el panel de hosting y una tienda online antigua, basta con que uno de esos servicios sufra una brecha para que el resto quede expuesto.

“NordPass señala que, año tras año, muchos usuarios siguen priorizando la comodidad sobre la seguridad al elegir contraseñas débiles.” — NordPass

Fuente: NordPass

El problema es que estas claves siguen funcionando porque muchas personas buscan rapidez. Queremos entrar en una plataforma, crear una cuenta y no complicarnos. Pero esa comodidad se paga cara cuando la contraseña protege datos personales, facturación, accesos de administrador o información de clientes.

En entornos web, además, el riesgo se multiplica. Una contraseña débil en WordPress, en un FTP, en una cuenta de correo corporativa o en un panel de administración puede permitir cambios no autorizados, envío de spam, instalación de malware o pérdida de reputación del dominio.

Lista de contraseñas más hackeadas que deberíamos evitar

No deberíamos usar nunca contraseñas previsibles, aunque les añadamos un símbolo al final o cambiemos una letra por un número. Los atacantes ya contemplan esas variaciones básicas.

Algunas de las contraseñas más vulnerables que aparecen de forma recurrente en rankings y filtraciones son:

Contraseña Por qué es peligrosa Recomendación
123456
Secuencia numérica básica
Sustituirla de inmediato
admin
Usuario/clave por defecto habitual
No usar nunca como contraseña
12345678
Variante predecible de 123456
Crear una clave larga y única
123456789
Secuencia automática muy común
Evitar cualquier patrón numérico
password
Palabra genérica y conocida
No usar palabras obvias
admin123
Mezcla débil de usuario y números
Evitar combinaciones previsibles
qwerty
Patrón de teclado
No usar recorridos del teclado
111111
Repetición simple
Evitar repeticiones
abc123
Patrón infantil muy usado
Usar frases largas y únicas
Password1
Parece segura, pero es predecible
No confiar en cambios cosméticos

Contraseñas numéricas

Las claves como 123456, 12345678, 12345 o 1234567890 son especialmente peligrosas porque forman parte de cualquier diccionario de ataque. No hace falta que un atacante “piense” en ellas: sus herramientas las prueban automáticamente.

Contraseñas por defecto

admin, root, test, user o combinaciones como admin123 son críticas en servicios técnicos. En hosting, CMS y servidores, dejar credenciales por defecto es una mala práctica que puede abrir la puerta a accesos no autorizados.

Contraseñas con palabras comunes

Tampoco conviene usar palabras como password, nombres propios, equipos de fútbol, ciudades, marcas, mascotas o fechas. Si esos datos pueden aparecer en redes sociales o en información pública, son mucho más fáciles de probar.

Por qué los atacantes pueden romper estas claves en segundos

Muchas contraseñas débiles se rompen rápido porque no hay misterio matemático detrás. Si una contraseña es corta, común o ya aparece en filtraciones, el atacante no necesita probar infinitas combinaciones. Solo necesita comparar con listas conocidas o automatizar intentos.

Ataques de fuerza bruta

En un ataque de fuerza bruta se prueban combinaciones hasta encontrar la correcta. Cuanto más corta y simple sea la contraseña, más fácil será romperla. Una clave de 6 números es muchísimo más débil que una frase larga, aleatoria y única.

Ataques de diccionario

Los ataques de diccionario usan listas de contraseñas comunes, palabras frecuentes y variaciones típicas. Por eso Password1, P@ssw0rd o Verano2026 no son tan buenas como parecen. Aunque incluyan mayúsculas, números o símbolos, siguen patrones previsibles.

Credential stuffing

El credential stuffing ocurre cuando se prueban usuarios y contraseñas filtradas en otros servicios. Es decir, si una contraseña se filtró en una web antigua y la seguimos usando en el correo o en WordPress, el atacante puede reutilizarla.

Aquí es donde debemos ser especialmente estrictos con cuentas críticas. En una web empresarial, el correo asociado al dominio, el panel de hosting y el administrador de WordPress no deberían compartir nunca la misma contraseña.

Cómo saber si una contraseña está filtrada

Para comprobar si una contraseña ha aparecido en filtraciones, podemos usar servicios especializados como Have I Been Pwned, concretamente su herramienta Pwned Passwords. Esta permite verificar si una contraseña ha sido vista antes en brechas conocidas sin enviar la contraseña completa al servicio.

“Have I Been Pwned explica que Pwned Passwords usa k-anonymity: la contraseña se resume localmente y solo se envían los primeros caracteres del hash, no la contraseña completa.” — Have I Been Pwned

Aun así, debemos aplicar una regla prudente: si sospechamos que una contraseña ha sido filtrada, repetida o compartida, no merece la pena conservarla. La cambiamos y listo.

También conviene revisar:

  • Si hemos recibido avisos de inicio de sesión sospechoso.
  • Si hay correos de recuperación que no hemos solicitado.
  • Si aparecen usuarios nuevos en WordPress.
  • Si el correo envía mensajes que no reconocemos.
  • Si el hosting muestra archivos modificados sin intervención nuestra.
  • Si usamos la misma contraseña en varios servicios.

En seguridad, reaccionar rápido reduce mucho el daño. No se trata solo de crear contraseñas fuertes, sino de tener buenos hábitos cuando detectamos una señal extraña.

Qué hacer si usamos una de estas contraseñas

Si usamos una contraseña de la lista, no deberíamos esperar. La solución no es añadir un símbolo al final ni cambiar 123456 por 123456!. Eso sigue siendo débil.

Cambiar la contraseña de inmediato

La nueva contraseña debe ser:

  • Única para cada servicio.
  • Larga.
  • Difícil de adivinar.
  • No basada en datos personales.
  • No reutilizada.
  • Guardada en un gestor fiable.

“INCIBE recomienda que las contraseñas sean robustas, con una longitud adecuada y combinaciones de caracteres, evitando información personal como nombres, cumpleaños o teléfonos.” — INCIBE

Fuente: INCIBE

Activar la autenticación en dos factores

La autenticación en dos factores añade una barrera adicional. Aunque alguien consiga la contraseña, necesitará un segundo factor, como una app de autenticación, una llave física o un código temporal.

“INCIBE define la verificación en dos pasos como una medida adicional a la contraseña para proteger las cuentas frente a accesos no autorizados.” — INCIBE

Fuente: INCIBE

Siempre que sea posible, deberíamos activar 2FA en:

  • Correo electrónico.
  • WordPress.
  • Panel de hosting.
  • Área de cliente.
  • Cuentas bancarias.
  • Redes sociales.
  • Herramientas de trabajo.
  • Servicios cloud.

Usar un gestor de contraseñas

Un gestor de contraseñas nos permite usar claves largas y únicas sin tener que memorizarlas todas. De esta forma, solo necesitamos recordar una contraseña maestra realmente fuerte.

Esto es especialmente importante cuando gestionamos varios accesos: WordPress, correo, base de datos, panel de hosting, FTP/SFTP, CDN, herramientas de analítica y plataformas externas.

Valorar el uso de passkeys

Las passkeys son una alternativa moderna al inicio de sesión tradicional con contraseña. Permiten autenticarnos con el bloqueo del dispositivo, huella, rostro o PIN, y reducen riesgos como la reutilización o el phishing.

“Google presenta las passkeys como una alternativa más segura a las contraseñas, ya que no pueden adivinarse ni reutilizarse.” — Google

Fuente: Google

No todos los servicios las admiten todavía, pero cuando estén disponibles en cuentas críticas, conviene activarlas.

Cómo crear contraseñas seguras para cuentas personales, correo y hosting

Una contraseña segura no tiene por qué ser imposible de recordar, pero sí debe ser difícil de adivinar y única. Lo más recomendable es usar un gestor que genere claves aleatorias. Aun así, si necesitamos crear una manualmente, podemos pensar en frases largas, no evidentes y con cierta variación.

Ejemplo débil:

Madrid2026!

Aunque tenga mayúscula, números y símbolo, incluye una ciudad y un año. Es fácil de predecir.

Ejemplo más resistente:

Nube-cafe-rueda-47-lago!

Es más larga, menos obvia y más difícil de atacar por diccionario simple. Aun así, lo ideal para cuentas críticas sigue siendo una contraseña aleatoria generada por un gestor.

Para cuentas relacionadas con una web o un hosting, deberíamos aplicar una política más estricta:

  • Una contraseña distinta para cada cuenta.
  • Nada de claves compartidas por email o WhatsApp.
  • Accesos individuales para cada usuario.
  • 2FA activado siempre que sea posible.
  • Revisión periódica de usuarios administradores.
  • Eliminación de cuentas antiguas.
  • Cambio inmediato tras la salida de colaboradores.
  • Copias de seguridad actualizadas.
  • Actualizaciones de WordPress, temas y plugins.

La seguridad de una web no depende solo del servidor. También depende de cómo gestionamos las credenciales.

Seguridad de contraseñas en webs, hosting y WordPress

En una web corporativa, las contraseñas protegen mucho más que una cuenta. Protegen la reputación del negocio, el posicionamiento SEO, los datos de clientes, el correo del dominio y la continuidad del proyecto.

Si alguien accede al panel de WordPress con una contraseña débil, puede instalar plugins maliciosos, cambiar enlaces, inyectar spam SEO, redirigir tráfico o crear usuarios ocultos. Si accede al hosting, el impacto puede ser todavía mayor: archivos, bases de datos, cuentas de correo y configuraciones críticas.

Por eso, cuando hablamos de contraseñas inseguras, no hablamos solo de un problema de usuario. Hablamos de infraestructura, prevención y mantenimiento.

En proyectos web deberíamos revisar como mínimo:

  • Contraseñas de administradores de WordPress.
  • Accesos al panel de hosting.
  • Usuarios FTP o SFTP.
  • Cuentas de correo corporativas.
  • Bases de datos.
  • Herramientas externas conectadas.
  • Plugins con acceso a APIs.
  • Cuentas de colaboradores.

Una buena práctica es auditar los accesos cada cierto tiempo. Si hay usuarios que ya no participan en el proyecto, deben eliminarse. Si varias personas comparten la misma cuenta, conviene crear usuarios individuales. Y si una contraseña se ha reutilizado durante años, debemos cambiarla cuanto antes.

Preguntas frecuentes sobre contraseñas más hackeadas

¿Cuál es la contraseña más hackeada?

Una de las contraseñas más repetidas en rankings globales es 123456. También aparecen con mucha frecuencia admin, 12345678, 123456789, password y variantes similares. El problema no es solo que sean populares, sino que ya forman parte de listas usadas en ataques automatizados.

¿Cuáles son las contraseñas más hackeadas en España?

Entre las contraseñas más comunes en España suelen aparecer combinaciones como admin, 123456 y 12345678, según rankings recientes basados en datos filtrados y repositorios de la dark web. Estas claves son especialmente peligrosas porque pueden probarse de forma automática en muy poco tiempo.

¿Qué contraseñas no debemos usar nunca?

No deberíamos usar secuencias numéricas, nombres propios, fechas de nacimiento, equipos de fútbol, ciudades, marcas, palabras como password, patrones de teclado como qwerty ni combinaciones por defecto como admin123.

¿Cómo saber si nuestra contraseña ha sido hackeada?

Podemos comprobar si una contraseña aparece en filtraciones conocidas mediante herramientas como Pwned Passwords de Have I Been Pwned. Si una clave aparece como filtrada, debemos cambiarla inmediatamente y no volver a usarla.

¿Es seguro guardar contraseñas en el navegador?

Puede ser cómodo, pero para cuentas críticas suele ser más recomendable usar un gestor de contraseñas dedicado, protegido con una contraseña maestra robusta y, si es posible, autenticación en dos factores.

¿Qué es mejor: una contraseña complicada o una contraseña larga?

Una contraseña larga y única suele ser mejor que una corta con sustituciones previsibles. Por ejemplo, P@ssw0rd1 parece compleja, pero es muy conocida. En cambio, una frase larga, aleatoria y única puede ser mucho más resistente.

¿Debemos cambiar las contraseñas cada cierto tiempo?

Debemos cambiarlas siempre que sospechemos una filtración, reutilización, acceso sospechoso o salida de una persona con acceso. Cambiarlas sin motivo cada pocos días puede llevarnos a crear patrones débiles. Lo importante es que sean únicas, largas y estén bien protegidas.

¿Qué pasa si usamos la misma contraseña en varias cuentas?

Si una de esas cuentas se filtra, el resto quedan en riesgo. Este es el escenario perfecto para ataques de credential stuffing, donde se prueban credenciales robadas en múltiples servicios.

¿Cómo protegemos el acceso a WordPress?

Debemos usar contraseñas únicas para cada usuario, activar 2FA, limitar cuentas administradoras, mantener WordPress actualizado, revisar plugins, eliminar usuarios antiguos y proteger también el correo asociado al administrador.

¿Qué podemos hacer si una contraseña del hosting ha sido comprometida?

Debemos cambiarla de inmediato, revisar usuarios, comprobar accesos FTP/SFTP, analizar archivos modificados, revisar bases de datos, activar 2FA si está disponible y contactar con el proveedor de hosting para valorar medidas adicionales.

Conclusión final

Las contraseñas más hackeadas no son un misterio: suelen ser las más simples, repetidas y cómodas. 123456, admin, password o 12345678 siguen apareciendo porque muchas personas todavía priorizan la rapidez sobre la seguridad.

Pero protegernos no tiene por qué ser complicado. Podemos mejorar muchísimo nuestra seguridad si usamos contraseñas largas y únicas, activamos la autenticación en dos factores, evitamos reutilizar claves y revisamos los accesos críticos de nuestra web, correo y hosting.

En una web profesional, una contraseña débil no es solo una mala práctica: puede afectar al SEO, a la reputación, a los datos de clientes y a la continuidad del negocio. Por eso debemos tratar las credenciales como parte esencial de la seguridad del proyecto.

¿Queremos proteger mejor nuestra web desde el hosting?

En Bitralix sabemos que la seguridad de una web empieza mucho antes de publicar contenido. Si usamos contraseñas débiles, accesos compartidos o cuentas antiguas sin revisar, dejamos abierta una puerta que no debería existir.

Protege tu web con buenas prácticas de seguridad y hosting seguro en Bitralix
Comparte este artículo
*
*
¿No tienes cuentas? Regístrate ahora
No te pierdas nuestros próximos contenidos

Cada semana compartimos artículos, casos reales, recomendaciones y recursos para ayudarte a optimizar tu infraestructura tecnológica, mejorar la seguridad y tomar mejores decisiones IT.

Déjanos tu correo y te avisaremos cuando publiquemos nuevo contenido.