La mitad de las contraseñas que se filtraron en 2025 ya habían sido comprometidas anteriormente. No es un detalle menor ni una estadística anecdótica: es la confirmación de que el problema de seguridad digital más común sigue siendo, en gran medida, el comportamiento del propio usuario.
Un análisis de Kaspersky sobre filtraciones ocurridas entre 2023 y 2025 revela un patrón persistente: claves débiles, predecibles y, sobre todo, recicladas durante años, aun después de haber quedado expuestas en incidentes previos.
Aunque las contraseñas siguen siendo el método de autenticación dominante, hace tiempo que dejaron de ser una barrera real frente a los ataques modernos. Al estar diseñadas por personas y no por sistemas, suelen repetir estructuras fáciles de adivinar: números que parecen fechas, nombres propios, palabras comunes y combinaciones básicas como “12345”. El estudio indica que una de cada diez contraseñas filtradas incluye números asociados a años recientes, y que una proporción significativa termina en “2024”. Estos detalles reducen drásticamente el esfuerzo que necesita un atacante para romper una cuenta mediante fuerza bruta o ataques automatizados.
El dato más revelador es que en 2025 el 54 por ciento de las contraseñas filtradas ya había aparecido en fugas anteriores. Es decir, más de la mitad de los usuarios afectados nunca cambió esas credenciales. La vida útil promedio de una contraseña dentro de estos conjuntos de datos ronda entre tres años y medio y cuatro años, un período excesivamente largo en un entorno donde las bases de datos robadas circulan y se reutilizan de forma constante.
El impacto va mucho más allá del acceso a una sola cuenta. Cuando una contraseña se filtra y el usuario la repite en varios servicios, se genera un efecto dominó que puede comprometer correos electrónicos, redes sociales, plataformas de trabajo y servicios financieros. Los ciberdelincuentes ya no necesitan sofisticación extrema: cuentan con herramientas capaces de probar millones de combinaciones por segundo y con listas de credenciales previamente robadas que facilitan el acceso silencioso, sin levantar alertas inmediatas.
Todo esto deja claro que la autenticación basada exclusivamente en contraseñas es cada vez más frágil. No porque la tecnología no haya evolucionado, sino porque su gestión se ha vuelto insostenible para el usuario promedio. Administrar decenas de claves distintas, recordarlas, actualizarlas y no repetirlas es una carga que muchos simplemente no cumplen, y esa fricción termina convirtiéndose en una vulnerabilidad estructural.
En ese contexto, el avance hacia mecanismos como los passkeys no es una tendencia, sino una respuesta técnica a un problema crónico. Los passkeys eliminan la contraseña como elemento central y la sustituyen por claves criptográficas asociadas a un dispositivo específico, generalmente protegidas por biometría. Al no poder reutilizarse entre servicios ni ser introducidas manualmente, quedan fuera del alcance del phishing, del relleno de credenciales y de las filtraciones masivas.
La conclusión es incómoda pero necesaria: mientras las contraseñas sigan dependiendo de la memoria, la disciplina y la previsibilidad humana, seguirán siendo el eslabón más débil de la seguridad digital. La transición hacia métodos de autenticación más robustos no solo mejora la protección, también reduce la fricción cotidiana. Y en un ecosistema digital cada vez más complejo, esa combinación ya no es opcional, es urgente.
