Empresa2024, Madrid1234, Password123!
Si tu contraseña se parece a alguna de estas, tenemos malas noticias: es hackeable en minutos, a veces segundos.
El patrón que todos usamos
Cuando una empresa obliga a usar "al menos una mayúscula, un número y un símbolo", el 90% de los empleados hace exactamente lo mismo:
- Primera letra mayúscula: Empresa, Madrid, Verano, Futbol
- Números al final: 123, 2024, 2025, año de nacimiento
- Símbolo obvio: ! al final, o nada
Resultado: Empresa2024!, Verano2024, Futbol123!
El problema: Los hackers conocen este patrón perfectamente. No prueban combinaciones aleatorias; prueban primero las que los humanos usamos.
Cómo funcionan los ataques de diccionario
Los atacantes no tecleen contraseñas una a una. Usan programas automatizados con diccionarios de contraseñas: listas de millones de contraseñas comunes y patrones predecibles.
Estos diccionarios incluyen:
- Las 10.000 contraseñas más usadas del mundo
- Palabras comunes en español: empresa, madrid, futbol, verano...
- Años: 2020, 2021, 2022, 2023, 2024, 2025
- Combinaciones: cada palabra + cada año + símbolos comunes
- Variaciones: M4dr1d (a por 4, i por 1), p@ssword, etc.
Un programa puede probar millones de combinaciones por segundo. Tu "Empresa2024!" está entre las primeras 1000 que prueba.
¿Cuánto tarda en descifrarse?
| Contraseña | Tiempo | Por qué |
|---|---|---|
| Empresa2024 | 3 minutos | Palabra común + año actual |
| Madrid1234! | 5 minutos | Ciudad + números secuenciales |
| Verano2024! | 3 minutos | Estación + año |
| M4dr1d2024 | 15 minutos | Variación leetspeak conocida |
| kT#9mP$2vL@8 | 34.000 años | Aleatoria, sin patrón |
Las variaciones "inteligentes" tampoco funcionan
"Ya, pero yo cambio letras por números. M4dr1d en vez de Madrid. Eso es seguro, ¿no?"
No. Las sustituciones típicas están en todos los diccionarios de ataque:
a→4o@e→3i→1o!o→0s→5o$
Cuando el atacante prueba "madrid", también prueba automáticamente: m4drid, madr1d, m@drid, m4dr1d... y todas las combinaciones posibles.
Realidad: Si un humano puede pensar en esa variación, un programa de ataque ya la tiene en su lista.
Qué hacer en su lugar
Opción 1: Contraseñas aleatorias (la mejor)
Usa un gestor de contraseñas como Bitwarden o 1Password para generar contraseñas completamente aleatorias:
kT#9mP$2vL@8nQ&4xR
Imposible de recordar, pero el gestor la recuerda por ti. Tú solo necesitas una contraseña maestra.
Opción 2: Frases de contraseña (passphrase)
Si necesitas algo memorable, usa una frase de varias palabras sin relación lógica:
gato-lampara-tren-azul-17
Es fácil de recordar, tiene 25 caracteres, y no sigue ningún patrón predecible. Tardaría siglos en descifrarse por fuerza bruta.
Lo que NO debes hacer
- ❌
Palabra + año(Empresa2024) - ❌
Nombre + fecha de nacimiento(Juan1985) - ❌
Palabra con sustituciones obvias(P@ssw0rd) - ❌
Secuencias de teclado(Qwerty123) - ❌
La misma contraseña en todas partes
Resumen
El patrón Mayúscula + palabra + números es el más común del mundo. Los atacantes lo saben y lo explotan. No importa qué palabra uses: si sigue el patrón, es vulnerable.
La solución: Usa un gestor de contraseñas con contraseñas aleatorias, o al menos frases largas sin patrón predecible.
Evalua la concienciacion de tu equipo
Herramienta gratuita para cumplir ISO 27001 y ENS
- Test de concienciacion para tus empleados
- Graficos de resultados por departamento
- Informe descargable para auditorias
Sin compromiso · Configuracion en 5 minutos · Datos 100% seguros
Artículos relacionados: