El estudio abarcó 11 sectores distintos y reveló que, sin importar la industria, los empleados continúan eligiendo contraseñas fáciles de adivinar, como “123456” o incluso su propio nombre.

Desde la salud hasta las finanzas, pasando por el ámbito tecnológico y educativo, la mayoría de las claves de acceso utilizadas podrían ser descifradas en segundos por cualquier atacante con conocimientos básicos.

“El hecho de que se sigan utilizando contraseñas como ‘contraseña’ o nombres propios demuestra que las empresas todavía subestiman los riesgos. No hace falta que un hacker sea un genio para acceder a datos sensibles si la seguridad más básica no está garantizada”, advirtió Karolis Arbaciauskas, responsable de producto empresarial de NordPass.

Mismo problema, distintos rubros

La investigación detectó patrones comunes en todos los sectores analizados. Las contraseñas más frecuentes siguen siendo secuencias numéricas simples como “123456789” y combinaciones básicas como “qwerty123”, utilizadas tanto en retail como en automotrices o el rubro hotelero.

Este comportamiento revela una falla estructural en la cultura de seguridad informática de las organizaciones.

Un dato particularmente inquietante fue el uso recurrente de nombres propios como contraseñas, lo que facilita los ataques de fuerza bruta. También es frecuente que los empleados usen como clave sus propias direcciones de correo electrónico, una práctica que entrega la mitad de la información de acceso a cualquier atacante.

“Las contraseñas deberían ser la primera barrera de protección, pero siguen siendo el punto más débil. Mientras las empresas gastan en tecnología avanzada, dejan abierta la puerta por descuido”, remarcó Arbaciauskas.

Un problema global

El informe de NordPass analizó credenciales en 44 países y confirmó que el problema no es exclusivo de una región. Las contraseñas simples, predecibles y vinculadas a nombres, números o términos genéricos se repiten en todas partes, dejando a empresas de todo el mundo expuestas a ataques cada vez más frecuentes y sofisticados.

Además, es común encontrar cuentas protegidas con contraseñas por defecto como “admin”, “welcome” o “newuser”, pensadas solo para uso temporal pero que terminan en uso prolongado. Claves como “temppass” o “newpass” también suelen permanecer activas más de lo debido.

El ranking de las 20 contraseñas más utilizadas en entornos corporativos confirma el descuido:

1. 123456

2. 123456789

3. 12345678

4. secret

5. password

6. qwerty123

7. qwerty1

8. 111111

9. 123123

10. 1234567890

11. qwerty

12. 1234567

13. 11111111

14. abc123

15. iloveyou

16. 123123123

17. 000000

18. 00000000

19. a123456

20. password1

Vulnerabilidades evitables

El estudio también pone el foco en los hábitos inseguros más comunes:

• Reutilización de contraseñas en múltiples cuentas, lo que facilita el movimiento lateral de los atacantes una vez que acceden a una credencial.

• Intercambio informal de contraseñas por correo o apps de mensajería, lo que multiplica los riesgos de filtración.

• Errores humanos, desde escribir mal una contraseña hasta no cambiar claves predeterminadas.

• Ausencia de políticas estrictas de seguridad, algo que convierte a las empresas en blancos accesibles para cualquier atacante con intenciones maliciosas.

Para revertir esta situación, Arbaciauskas sugiere que las compañías deben implementar programas de capacitación en ciberseguridad, utilizar herramientas como VPN empresariales, adoptar autenticación multifactor (MFA) y, sobre todo, incorporar gestores de contraseñas.

“Una mala gestión de credenciales sigue siendo uno de los mayores puntos débiles de las organizaciones. Las claves débiles ya no son un simple descuido: son una amenaza constante que puede costar millones”, concluyó.