Imagina que alguien roba la base de datos de una app que usas. No tu contraseña en texto, sino su versión cifrada. Ahora imagina que esa persona enciende una tarjeta gráfica para videojuegos —la misma que usa para jugar los fines de semana— y empieza a adivinar.
No una por una. 219,500 millones de intentos por segundo.
Eso es exactamente lo que ocurre hoy. Y los números lo confirman.
Lo que dice la investigación
En mayo de 2026, con motivo del Día Mundial de la Contraseña, la firma de ciberseguridad Kaspersky publicó uno de los análisis de contraseñas más grandes hasta la fecha: revisaron 231 millones de contraseñas reales filtradas en la dark web entre 2023 y 2026.
Los resultados son difíciles de ignorar:
- El 48% de las contraseñas analizadas se descifró en menos de 60 segundos.
- El 60% cayó en menos de una hora.
- El 68% no sobrevivió ni un día completo.
Todo esto con una sola GPU de consumo —la NVIDIA RTX 5090— sin necesidad de infraestructura especializada. (Kaspersky Digital Footprint Intelligence, mayo 2026)
Y si alguien no tiene ese hardware, no importa demasiado: los servicios de cómputo en la nube permiten rentar esa misma potencia por unos pocos dólares la hora.
¿Por qué es tan fácil romperlas?
El problema tiene dos caras: el algoritmo que usan los sitios web para guardar tu contraseña, y los patrones que los humanos seguimos al crearlas.
El algoritmo: MD5, un error que persiste
Muchos sitios web todavía almacenan contraseñas usando un algoritmo llamado MD5. Fue diseñado para ser rápido, lo que tiene sentido para verificar archivos, pero es catastrófico para proteger contraseñas: cuanto más rápido procesa, más intentos por segundo puede hacer un atacante.
«Las contraseñas protegidas únicamente por algoritmos de hash rápidos como MD5 ya no son seguras si los atacantes las obtienen en una filtración de datos.» — Kaspersky Research, mayo 2026
Los algoritmos modernos como bcrypt y Argon2 hacen lo contrario: ralentizan deliberadamente el proceso para que una GPU tarde años en hacer lo que con MD5 tarda minutos. El problema es que tú, como usuario, no puedes elegir qué algoritmo usa el sitio donde tienes cuenta.
Lo que sí puedes controlar es que tu contraseña sea tan fuerte que ningún hardware razonable pueda adivinarla, sin importar el algoritmo.
Los patrones humanos: el otro problema
Kaspersky también encontró algo revelador al analizar esos 231 millones de contraseñas:
- El 53% termina con uno o más dígitos.
- El 17% empieza con un número.
- El 12% incluye una secuencia tipo año (entre 1950 y 2030).
- La secuencia «1234» sigue siendo el sufijo más común.
Los atacantes ya saben esto. Sus herramientas no prueban combinaciones al azar: empiezan por los patrones más usados. Eso reduce el tiempo de cracking de horas a segundos.
Los errores más comunes (con ejemplos reales)
Aquí están las contraseñas que creemos que son buenas pero que en realidad se descifran rápido:
| Contraseña | ¿Por qué falla? |
|---|---|
Verano2024! | Palabra común + año + símbolo al final. Está en los diccionarios de ataque. |
MiPerro_Bobby | Nombre propio + mascota. Altamente predecible. |
P@ssw0rd | Sustituciones clásicas (a→@, o→0). Los atacantes las prueban primero. |
qwerty123 | Patrón de teclado. Es de las primeras que se intentan. |
Juan1985# | Nombre + año de nacimiento. Datos personales que suelen estar disponibles. |
¿Reconoces alguna de tus contraseñas actuales en esa lista? No estás solo. El estudio de Kaspersky confirma que la mayoría de las personas sigue estos mismos patrones.
Lo que recomienda la ciencia
El Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST), la referencia mundial en seguridad digital, actualizó en 2025 sus directrices oficiales (SP 800-63B, Revisión 4) con un cambio de enfoque radical:
La longitud importa más que la complejidad.
Sus recomendaciones actuales son claras: si una contraseña es tu único método de acceso, debe tener mínimo 15 caracteres. Y los sistemas deberían permitir hasta 64 caracteres para quienes usen frases largas. (NIST SP 800-63B, julio 2025)
Además, el propio NIST explica en su sitio oficial:
«A 100 mil millones de intentos por segundo, le tomaría a una computadora más de quinientos años adivinar todas las combinaciones posibles de 15 letras minúsculas.» — NIST, nist.gov
Y aquí viene el cambio más sorprendente de las nuevas directrices: NIST ya no recomienda forzar el uso de mayúsculas, números y símbolos, porque en la práctica eso produce contraseñas predecibles como Password123!. La complejidad forzada genera los patrones que los atacantes ya conocen de memoria.
La solución: la frase de contraseña (passphrase)
La estrategia más efectiva hoy —y con mejor proyección hacia el futuro— es construir una passphrase: una serie de palabras aleatorias y no relacionadas entre sí.
¿Por qué funciona?
Una contraseña de 8 caracteres «compleja» tiene alrededor de 6.6 billones de combinaciones posibles. Una GPU moderna las agota en segundos. Pero una passphrase de 4 palabras aleatorias tiene un espacio de búsqueda de varios cuatrillones. La diferencia no es lineal; es astronómica.
¿Cómo se ve una buena passphrase?
La clave es que las palabras sean aleatorias y sin conexión lógica entre ellas. No una frase que tenga sentido, porque eso la hace predecible.
❌ Mal ejemplo — frase con sentido:
miperrocomemucho(Fácil de recordar, pero sigue patrones humanos)
❌ Mal ejemplo — complejidad falsa:
M1P3rr0C0m3!(Se ve compleja pero tiene sustituciones predecibles)
✅ Buen ejemplo — palabras aleatorias:
nube-cascada-fósil-bisonte(4 palabras sin relación, 26 caracteres, fácil de recordar con práctica)
✅ Mejor ejemplo — passphrase + variación no predecible:
nube-CASCADA-fósil-74-bisonte(Mayúscula aleatoria + número corto añaden entropía genuina)
✅ Ejemplo con número y símbolo de forma natural:
trueno-mapa-oxígeno-51!(22 caracteres, variado, sin patrones obvios)
La regla de longitud en números
Para que tengas una referencia práctica sobre cuánto tiempo le toma a un atacante descifrar una contraseña según su longitud:
| Longitud | Ejemplo | Tiempo estimado (fuerza bruta) |
|---|---|---|
| 8 caracteres | Sol2024! | Segundos a minutos |
| 12 caracteres | Playa-Coco-12 | Horas (si sigue patrones) |
| 15 caracteres | nube-río-fósil | Cientos de años* |
| 20+ caracteres | trueno-mapa-oxígeno-51 | Millones de años* |
*Con algoritmos modernos como bcrypt/Argon2 en el servidor. Con MD5, los tiempos se reducen significativamente, de ahí la importancia de que los sitios actualicen sus sistemas.
Tres reglas para resumirlo todo
1. Longitud sobre complejidad. Quince caracteres o más. Una passphrase de cuatro palabras aleatorias bate sistemáticamente a P@ssw0rd123.
2. Aleatoriedad sobre memorabilidad. Si la contraseña tiene sentido para ti, probablemente tiene sentido para un algoritmo también. Las palabras deben ser elegidas al azar, no por asociación personal.
3. Una contraseña única por sitio. Si una base de datos se filtra con tu contraseña, que solo afecte a esa cuenta. Reutilizar contraseñas convierte una filtración en una catástrofe.
El aliado que nadie usa: el gestor de contraseñas
Seamos honestos: nadie puede recordar 50 contraseñas únicas y largas. Para eso existen los gestores de contraseñascomo Bitwarden (gratuito y de código abierto), 1Password o KeePass.
Funcionan así: tú recuerdas una sola contraseña maestra —una passphrase larga y sólida—, y el gestor genera y almacena contraseñas únicas y aleatorias para cada sitio. El propio NIST recomienda su uso en sus directrices más recientes.
Con un gestor, una contraseña como esta es perfectamente usable aunque no la recuerdes:
xK9#mQ2$pL7@nR4!vB6Porque nunca tendrás que escribirla manualmente.
Un paso más: la autenticación de dos factores (2FA)
Incluso la mejor contraseña puede verse comprometida mediante phishing —cuando alguien te engaña para que la escribas en un sitio falso. Por eso el propio NIST indica que el segundo factor de autenticación es tan importante como la contraseña misma.
Activa el 2FA en tus cuentas más importantes: correo electrónico, banco, redes sociales. Con él, aunque alguien obtenga tu contraseña, necesitará también tu teléfono para entrar.
En resumen
La amenaza es real y está creciendo. Una GPU de videojuegos puede descifrar el 60% de las contraseñas protegidas con algoritmos obsoletos en menos de una hora, y tú no sabes qué algoritmo usa cada sitio donde tienes cuenta.
Lo que sí puedes controlar:
- Usa passphrases de 15 caracteres o más con palabras aleatorias y sin relación entre sí.
- No repitas contraseñas entre sitios diferentes.
- Usa un gestor de contraseñas para no tener que recordarlas todas.
- Activa el 2FA donde sea posible.
Una contraseña como nube-CASCADA-fósil-74-bisonte no solo es segura hoy. Con los algoritmos correctos del lado del servidor, seguirá siéndolo cuando lleguen las GPUs de la siguiente generación.
Fuentes
- Kaspersky Digital Footprint Intelligence. «More than 50% of leaked passwords end with a number.» Mayo 2026. kaspersky.com
- NIST. «How Do I Create a Good Password?» Agosto 2025. nist.gov
- NIST Special Publication 800-63B, Revisión 4. Julio 2025. pages.nist.gov
- TechSpot. «Kaspersky warns that passwords hashed with MD5 algorithm can be cracked in minutes using a GPU.»Mayo 2026. techspot.com
- The HIPAA Journal. «Updated NIST Password Guidelines Replace Complexity with Password Length.» 2024. hipaajournal.com
