Contraseñas más fáciles de hackear en celulares y cuentas

En 30 segundos

“123456” sigue siendo la peor: con más de 37,6 millones de brechas, encabeza el ranking mundial de contraseñas más hackeadas en 2026.
El 97% son cortas: casi todas las contraseñas más vulnerables tienen menos de 12 caracteres y se crackean en menos de un segundo.
Argentina tiene patrones propios: nombres, equipos de fútbol como “boca1905” y la palabra “argentina” aparecen constantemente en filtraciones regionales.
El 49% de las brechas involucran contraseñas: casi la mitad de los incidentes de seguridad se originan en credenciales comprometidas o reutilizadas.
Tres acciones te protegen: usá un gestor de contraseñas, activá 2FA y nunca reutilices la misma contraseña en más de un sitio.

Las contraseñas más hackeadas del mundo en 2026: estadísticas que asustan

Cada año, investigadores de ciberseguridad publican listas de las contraseñas más hackeadas y los resultados son siempre los mismos: millones de personas siguen usando combinaciones ridículamente fáciles de adivinar. Según un análisis de Specops Software que examinó más de 6.000 millones de contraseñas comprometidas capturadas de malware infostealer y filtraciones, la contraseña más vulnerable del mundo sigue siendo “123456”, involucrada en más de 37,6 millones de brechas de datos.

Si usás “123456”, “password”, “admin” o cualquier variante numérica simple, este artículo es para vos. Te contamos cuáles son las contraseñas que los hackers descifran en menos de un segundo, por qué la gente sigue eligiéndolas, y lo más importante: cómo proteger tu celular y tus cuentas de verdad.

Top 20 contraseñas más vulnerables del mundo en 2026

Basándonos en datos de NordPass, Specops Software y CyberSecurity News, estas son las 20 contraseñas más hackeadas a nivel global en 2025-2026:

123456 – 37,6 millones de brechas
123456789 – 18,2 millones
password – 9,7 millones
12345678 – 8,4 millones
qwerty – 6,1 millones
111111 – 4,9 millones
12345 – 4,3 millones
abc123 – 3,8 millones
123123 – 3,6 millones
admin – 3,2 millones
password1 – 2,8 millones
1234567890 – 2,5 millones
iloveyou – 2,1 millones
000000 – 1,9 millones
qwerty123 – 1,7 millones
666666 – 1,5 millones
dragon – 1,4 millones
master – 1,3 millones
monkey – 1,2 millones
letmein – 1,1 millones

Un dato alarmante: el 97% de las 100 contraseñas más hackeadas tienen menos de 12 caracteres. El 42% de las credenciales expuestas en filtraciones tenían solo 8-10 caracteres. Estas contraseñas pueden ser descifradas en menos de un segundo mediante ataques de fuerza bruta o diccionarios preconfigurados.

Contraseñas más fáciles de hackear en celulares y cuentas - ilustracion 1

Contraseñas más usadas en Argentina y Latinoamérica

En la región hispanohablante, las contraseñas tienen patrones predecibles:

Nombres propios: “carlos”, “maria”, “alejandro”, “santiago” aparecen constantemente en filtraciones regionales.
Equipos de fútbol: “boca1905”, “river”, “messi10”, “maradona” son extremadamente comunes en Argentina.
Fechas de nacimiento: “15091990”, “01012000” y combinaciones similares.
“argentina”: Una de las contraseñas más usadas en el país, junto con variantes como “argentina1” o “arg2026”.
Palabras en español: “contraseña”, “hola123”, “amor”, “familia” aparecen en miles de filtraciones.

¿Por qué las contraseñas débiles siguen siendo un problema en 2026?

A pesar de décadas de educación sobre ciberseguridad, las estadísticas de 2026 muestran que el problema no mejora:

49% de las brechas de datos involucran contraseñas comprometidas.
81% de los hackeos corporativos se originan en contraseñas débiles o reutilizadas.
48% de las personas admiten reutilizar la misma contraseña en múltiples cuentas.
Solo el 36% de los adultos usa un gestor de contraseñas.
El costo promedio de una brecha de datos por contraseñas comprometidas supera los US$4,5 millones.

Las razones son humanas: la memoria tiene límites, la comodidad gana a la seguridad, y muchas personas subestiman el riesgo hasta que les pasa. El problema se agrava porque el promedio de cuentas por persona creció a más de 100, haciendo imposible memorizar contraseñas únicas y fuertes para cada una.

Contraseñas más fáciles de hackear en celulares y cuentas - ilustracion 2

Cómo crean los hackers sus ataques de contraseñas

Entender los métodos de ataque te ayuda a dimensionar por qué las contraseñas simples son tan peligrosas:

Fuerza bruta: Software que prueba todas las combinaciones posibles. Una contraseña de 6 caracteres se crackea en segundos. Una de 12+ caracteres con símbolos puede tardar miles de años.
Ataques de diccionario: Usan listas de las contraseñas más comunes (como el top 20 de arriba) y las prueban automáticamente. Si tu contraseña está en la lista, cae instantáneamente.
Credential stuffing: Toman contraseñas filtradas de una brecha y las prueban en otros sitios. Si reutilizás contraseña, una filtración en un sitio compromete todos los demás.
Infostealer malware: Software malicioso que captura contraseñas almacenadas en navegadores y apps. Las 6.000 millones de credenciales del estudio de Specops fueron capturadas principalmente por este método.
Phishing: Sitios falsos que imitan bancos, redes sociales o servicios para que ingreses tu contraseña voluntariamente.

Cómo proteger tus cuentas y celular en 2026: guía práctica

Usá un gestor de contraseñas

Esta es la medida más importante. Un gestor como Bitwarden (gratuito y open source), 1Password o el gestor integrado de Google/Apple genera y almacena contraseñas únicas de 20+ caracteres para cada cuenta. Vos solo necesitás recordar una contraseña maestra fuerte. Es la diferencia entre recordar 100 contraseñas (imposible) y recordar una sola.

Activá la autenticación en dos factores (2FA)

La autenticación multifactor puede detener el 96% de los ataques de phishing masivo y el 76% de los ataques dirigidos. Activala en todas tus cuentas importantes: email, banco, redes sociales, hosting. Usá apps como Google Authenticator o Authy en lugar de SMS (que es vulnerable a SIM swapping).

Creá contraseñas fuertes con el método de frase

Si necesitás crear una contraseña memorable, usá el método de frase: combiná 4-5 palabras aleatorias con números y símbolos. Por ejemplo: “Gato-Lunar-Tango-42-Empanada!” es extremadamente difícil de crackear pero fácil de recordar. Tema relacionado: en línea con las recomendaciones de seguridad móvil.

Nunca reutilices contraseñas

Cada cuenta necesita su propia contraseña única. Si reutilizás, una sola filtración compromete todas tus cuentas. Con un gestor de contraseñas, esto es automático.

Contraseñas más fáciles de hackear en celulares y cuentas - ilustracion 3

Revisá si tus contraseñas fueron filtradas

Usá servicios como haveibeenpwned.com para verificar si tu email o contraseñas aparecen en filtraciones conocidas. Si aparecen, cambiá esas contraseñas inmediatamente.

Protegé tu celular

Usá desbloqueo biométrico (huella o Face ID) como método principal.
Configurá un PIN de 6+ dígitos (no “000000” ni “123456”).
Activá el borrado remoto por si lo perdés o te lo roban.
Mantené el sistema operativo actualizado para parchar vulnerabilidades.

Preguntas frecuentes sobre seguridad de contraseñas

¿Cuánto tarda un hacker en crackear mi contraseña?

“123456” se crackea en menos de 1 segundo. Una contraseña de 8 caracteres con letras y números puede tardar horas. Una de 16+ caracteres con símbolos puede tardar miles de años. La longitud es el factor más importante.

¿Los gestores de contraseñas son seguros?

Sí, son la opción más segura disponible. Usan encriptación de grado militar y solo vos tenés la clave maestra. Son infinitamente más seguros que reutilizar “password123” en todos lados.

¿Las passkeys reemplazan a las contraseñas?

Las passkeys (llaves de acceso) están reemplazando gradualmente a las contraseñas en 2026. Apple, Google y Microsoft las soportan. Son más seguras y cómodas, pero todavía no todos los sitios las aceptan. Usá passkeys donde estén disponibles y gestor de contraseñas para el resto.

¿El SMS como 2FA es seguro?

Es mejor que nada, pero vulnerable a ataques de SIM swapping. Preferí apps autenticadoras como Google Authenticator, Authy o llaves físicas como YubiKey para mayor seguridad.

Conclusión: tres acciones que te protegen del 95% de los ataques

En un mundo donde un hacker puede crackear millones de combinaciones por segundo y las brechas de datos son pan de cada día, usar “123456” o el nombre de tu perro no es solo imprudente: es una invitación abierta a que te hackeen.

Instalá un gestor de contraseñas hoy, activá 2FA en tus cuentas importantes y nunca reutilices la misma contraseña en más de un sitio. Son tres acciones simples que te ponen por delante del 95% de los usuarios de internet en materia de ciberseguridad.

Fuentes

Specops Software – Breached Password Report — análisis de más de 6.000 millones de contraseñas comprometidas capturadas de malware infostealer y filtraciones globales.
NordPass – Top 200 Most Common Passwords — ranking anual de las contraseñas más usadas en el mundo, elaborado en colaboración con investigadores independientes.
Have I Been Pwned — servicio gratuito de Troy Hunt para verificar si tus credenciales aparecen en filtraciones de datos conocidas.
CISA – Use Strong Passwords — guía de la Agencia de Ciberseguridad de EE.UU. con recomendaciones oficiales para crear contraseñas seguras.
FIDO Alliance – Passkeys — especificación técnica y estado de adopción de passkeys como reemplazo de contraseñas tradicionales.

Te puede interesar

Cómo funciona el hackeo de contraseñas débiles

Recopilación de filtraciones masivas: Los atacantes descargan bases de datos filtradas de brechas anteriores, que contienen millones de pares usuario-contraseña en texto plano o con hashes débiles.
Ataque de diccionario y fuerza bruta: Usando herramientas automatizadas, prueban primero las contraseñas más comunes (como “123456”, “password” o “qwerty”) y luego combinaciones cortas de caracteres. Las claves de menos de 8 caracteres caen en fracciones de segundo.
Credential stuffing a gran escala: Con las credenciales obtenidas, bots lanzan intentos de login masivos en cientos de servicios distintos, aprovechando que la mayoría de los usuarios reutiliza la misma contraseña en múltiples plataformas.
Acceso y movimiento lateral: Una vez dentro de una cuenta, el atacante busca datos personales, métodos de pago vinculados o acceso a otros servicios conectados (mail, redes sociales, home banking) para ampliar el daño.
Monetización o venta en la dark web: Las cuentas comprometidas se venden en foros clandestinos, se usan para fraude financiero o se explotan para campañas de phishing dirigidas a los contactos de la víctima.

Ejemplo práctico

Martín, desarrollador freelance de Córdoba, usaba la contraseña “martin1990” en su cuenta de Gmail, MercadoLibre, GitHub y el panel de hosting de sus clientes. En marzo de 2026, una filtración masiva de un foro de tecnología expuso su email y contraseña. En menos de 4 horas, atacantes usaron credential stuffing automatizado y accedieron a su cuenta de MercadoLibre, donde hicieron 3 compras por un total de $287.000 ARS antes de que él recibiera la alerta.

Después del incidente, Martín instaló Bitwarden (gestor de contraseñas gratuito) y generó contraseñas únicas de 20 caracteres para cada servicio. Activó 2FA con Google Authenticator en sus 14 cuentas más críticas. El proceso completo le llevó 45 minutos.

Resultado: En los 6 meses siguientes, Bitwarden le bloqueó 2 intentos de autocompletado en sitios de phishing que imitaban la interfaz de MercadoPago. Ninguna de sus cuentas volvió a verse comprometida, incluso cuando su email apareció en otra filtración posterior, porque cada servicio tenía una contraseña distinta y el segundo factor frenó los accesos no autorizados.