Investigación de NordPass: la contraseña más frecuente de las empresas en España es “123456”

¿Cuáles son las contraseñas inseguras que más veces usan las empresas españolas?

En las empresas españolas, sean grandes o pequeñas, las contraseñas más frecuentes según una investigación de NordPass son: 

1. 1.123456
2. 2.12345
3. 3.123456789
4. 4.España
5. 5.12345678
6. 6.1234567
7. 7.1234567890
8. 8.ESPAÑA
9. 9.Espana
10. 10.111111
11. 11.password
12. 12.maria
13. 13.españa
14. 14.Espa
15. 15.000000
16. 16.teamo
17. 17.Spain
18. 18.qwerty
19. 19.carlos
20. 20.barcelona

Todas estas claves secretas son inseguras porque están compuestas por simples letras o combinaciones de números fáciles de adivinar. Sin embargo, las conclusiones de los investigadores de NordPass hacen ver que esta mala práctica no es exclusiva de los españoles. Empresas de todo el mundo están cometiendo el mismo error: proteger sus ordenadores y perfiles profesionales con contraseñas inseguras.

La investigación top 20 contraseñas inseguras en empresas (2025)

La investigación top 20 contraseñas de las empresas (2025), realizada por NordPass, revela que las claves corporativas son sorprendentemente predecibles en todos los sectores, lo que convierte a las compañías en un blanco fácil para los ciberdelincuentes.

NordPass, en colaboración con NordStellar, ha analizado el uso de contraseñas en 11 sectores y descubrió una realidad preocupante: los empleados siguen utilizando contraseñas débiles y fáciles de descifrar que dejan a las empresas expuestas. Desde la sanidad a las finanzas, hasta llegar a Tech y la educación, las corporaciones siguen confiando en contraseñas que los hackers pueden adivinar en cuestión de segundos.

«Es sorprendente ver que, a pesar de las advertencias durante años, las empresas siguen utilizando contraseñas débiles que son increíblemente fáciles de adivinar. Los ciberdelincuentes no necesitan herramientas sofisticadas para entrar en las cuentas de una compañía cuando los empleados utilizan "contraseña" o sus propios nombres para proteger datos sensibles», afirma Karolis Arbaciauskas, responsable de producto empresarial de NordPass.

La falta de estudios o la brecha generacional no explican este mal hábito. Esta tendencia se observa tanto en altos cargos como en puestos menos cualificados, por lo que muchos trabajadores todavía no son conscientes de la importancia de las contraseñas seguras. Esta es la primera barrera con la que se encuentran los hackers. Además, no solo guardan sus credenciales personales y profesionales, sino también la de su cartera de clientes.

Los españoles no son los únicos. En todo el mundo se comente el mismo error: proteger la información confidencial de la empresa con una clave secreta que cualquier ataque de fuerza bruta es capaz de adivinar. No se recomienda teclear nombres propios, el lugar de residencia o el equipo de fútbol más popular del país. Tampoco tus apellidos, animal favorito o la localidad en la que te quieres jubilar. Las claves más seguras son impersonales y compuestas por números, letras y caracteres especiales.

Ahora que sabemos la teoría, enfrentemos la realidad. Jefes y empleados de todo el mundo establecen contraseñas profesionales con nombres propios, direcciones de correo electrónico o secuencias de números simples (fechas de nacimiento, año de incorporación o las cifras del 1 al 9).

Distintos sectores y países, pero los mismos errores al elegir una contraseña

La investigación descubrió que en todos los sectores analizados, los empleados tienden a utilizar las mismas contraseñas débiles, especialmente secuencias numéricas simples como "123456" y "123456789". 

Esta tendencia no se limita a un sector concreto. Ya sea en el comercio minorista, la automoción o la hostelería, las claves más utilizadas no cambian, lo que pone de manifiesto un problema sistémico en la cultura de seguridad de las empresas. Alemania, con 580.000 filtraciones, es el país donde se han registrado más filtraciones de claves secretas, pero le siguen EE. UU. y China. España tampoco queda al margen.

Nombres como "Juan", "Isabel" y "Alejandro" son el PIN de una carpeta privada que contiene información confidencial de empleados y clientes. Basta con hacer un puzzle como el siguiente y una consulta al INE:

• Nombres masculinos más frecuentes en España: Antonio, Manuel, José, Francisco.
• Nombres femeninos más frecuentes en España: María Carmen, María, Carmen, Ana María.
• Apellidos más frecuentes en España: García, Rodríguez, González, Fernández, López.
• Nombres para recién nacidos más frecuentes (2024-2025) en España: Hugo, Mateo, Martín, Sofía, Lucía, Martina.

Detrás de un PIN fácil de adivinar, como “CarmenGarcía”, hay historiales médicos, nóminas, direcciones postal… Información que jamás debería de terminar en la dark web.

Además, el informe de NordPass reveló que los empleados suelen utilizar las direcciones de correo electrónico de su empresa como contraseñas, una práctica increíblemente arriesgada que proporciona a los hackers la mitad de las credenciales de inicio de sesión necesarias para acceder a datos confidenciales. Las multinacionales invierten una gran parte de sus fondos en herramientas de seguridad complejas y en campañas de ciberseguridad, pero no aplican políticas estrictas a la hora de elegir sus contraseñas.

«Las contraseñas son la primera línea de defensa y, sin embargo, siguen siendo el eslabón más débil de la seguridad corporativa. Los ciberdelincuentes no necesitan técnicas sofisticadas cuando las empresas les ofrecen puntos de entrada fáciles. Hasta que las compañías no empiecen a dar prioridad a la seguridad de las contraseñas, seguirán siendo vulnerables a los ataques», afirma Arbaciauskas.

Configurar contraseñas inseguras en una empresa es un problema mundial

La investigación de NordPass analizó las contraseñas corporativas más utilizadas en 44 países, en la que se revelaron que los hábitos de claves secretas débiles no se limitan a una sola región. En todos los lugares que formaron parte del estudio, las credenciales predecibles (como secuencias numéricas simples, palabras comunes e incluso términos relacionados con la empresa) dejan a las empresas vulnerables a las ciberamenazas.

Los expertos también observaron una tendencia preocupante: contraseñas predeterminadas como "newmember", "admin", "newuser" y "welcome" se utilizan con frecuencia para las cuentas empresariales. Además, los marcadores de posición temporales como "newpass" y "temppass", que están pensados para ser cambiados, a menudo permanecen en uso, lo cual crea una puerta abierta para los ciberdelincuentes.

Las contraseñas fáciles de recordar provocan filtraciones de datos

Los ciberataques a las empresas españolas están en auge, ¿se lo vamos a poner fácil? Una clave secreta debe ser eso, una combinación imposible de adivinar. Imprescindible dar con una contraseña potente, compuesta por letras, números y caracteres especiales. 

Para evitar casos como la filtración de datos en la UCM, por ejemplo, además de elegir una contraseña segura, ten en cuenta los siguientes consejos:

• No uses siempre la misma contraseña. Los empleados suelen teclear las mismas claves secretas en varias cuentas, lo que facilita el acceso a los hackers.
• Hábitos arriesgados a la hora de compartir contraseñas. Compartir claves a través del correo electrónico o de aplicaciones de mensajería aumenta la probabilidad de que se produzcan infracciones. Empieza a usar un gestor de contraseñas.
• Error humano. Muchas infracciones se producen por simples despistes, lo que pone de manifiesto la necesidad de mejorar la formación en materia de ciberseguridad.
• Falta de infraestructura segura. Las empresas sin políticas de seguridad sólidas son objetivos prioritarios para los ciberdelincuentes.

Según Arbaciauskas, las empresas deben dar prioridad a la ciberseguridad aplicando planes de formación de los empleados y soluciones de seguridad de red como las VPN para empresas, así como otras medidas de ciberseguridad. 

La autenticación multifactor (MFA) añade una capa de defensa adicional, lo cual reduce las probabilidades de que ocurra un acceso no autorizado. Una gestión deficiente de las contraseñas sigue siendo una de las principales vulnerabilidades, y muchas de las infracciones se deben a credenciales comprometidas. Arbaciauskas recomienda utilizar gestores de contraseñas para almacenar de forma segura las claves de acceso (adoptadas por líderes del sector como Google y Apple), ya que son la alternativa más segura a las contraseñas tradicionales.