Aunque sorprenda, la psicología es muy importante en la gestión segura de contraseñas. Las amenazas de ingeniería social más comunes, como los emails de phishing, buscan engañar a los usuarios para que faciliten su información personal sin que se den cuenta. Para ayudarles a proteger sus datos de los ciberdelincuentes, también debemos entender cómo usan las contraseñas y qué hábitos de seguridad aplican. Aunque los datos de 2026 muestran que el número medio de contraseñas ha disminuido, los riesgos aún no se han reducido y algunas personas son más vulnerables a las amenazas que otras. Una encuesta reciente ha analizado los hábitos de los usuarios en cuanto a la seguridad de las contraseñas para determinar patrones comunes por países y grupos de edad.
Índice:
El número medio de contraseñas ha bajado, pero sigue habiendo riesgos
NordPass ha estado observando el número medio de contraseñas de los usuarios desde 2020. Durante los primeros años, la cifra aumentaba de forma constante y llegó al máximo de 168 contraseñas en 2024. Sin embargo, solo dos años después, hubo una caída considerable hasta 120. Es probable que este descenso se deba a que los usuarios están optando por métodos de acceso más rápidos y cómodos, como el inicio de sesión único (SSO) con sus cuentas de Google o Apple, así como al uso de passkeys y biometría para autenticarse sin contraseña.
Aunque que se usen menos contraseñas es una tendencia positiva y deseable, la realidad es mucho más compleja. El número de contraseñas en uso está disminuyendo, al igual que el número de filtraciones de datos que se han hecho públicas. Sin embargo, estos incidentes afectan a conjuntos de datos mucho más grandes, entre los que hay contraseñas mal gestionadas.
La tendencia a reutilizar contraseñas preocupa desde hace tiempo: en una encuesta de NordPass hecha en 2025, la mitad de los encuestados alemanes afirmaron que reutilizan las contraseñas por comodidad o porque consideran que se está exagerando el riesgo. Si el almacenamiento de credenciales no es fiable o se reutilizan las contraseñas, incluso el inicio de sesión más seguro puede verse comprometido.
Ni siquiera los métodos de SSO son infalibles. Si la cuenta que usas para el SSO (como una de Google o de la universidad) se ve comprometida y su contraseña aparece en una base con datos filtrados, alguien podría acceder a todas tus demás cuentas. Serías el objetivo perfecto para que te robaran la identidad. Por lo tanto, aunque se utilicen menos contraseñas y los usuarios opten por métodos de inicio de sesión alternativos, una sola credencial filtrada puede hacer que toda una red de cuentas quede comprometida. Para sentirse más protegidos, los usuarios necesitan una contraseña segura y un lugar fiable donde guardarla.
El papel del almacenamiento de contraseñas
Aunque los ciberdelincuentes suelen obtener contraseñas en formularios de inicio de sesión falsos de páginas web, también se aprovechan de los métodos de almacenamiento inseguros. Incluso si los usuarios intentan variar un poco su lista de contraseñas, es posible que utilicen herramientas de fácil acceso (como apps de mensajería o de notas) para guardarlas. Sin embargo, estas herramientas no siempre ofrecen cifrado de extremo a extremo y, una vez que se ve comprometida su seguridad, revelan su contenido a los delincuentes.
Se llevó a cabo una encuesta sobre diversos temas en varios países (entre ellos Estados Unidos, el Reino Unido, Alemania e Italia) para determinar cómo guarda la gente las contraseñas y por qué lo hace así. En los resultados también se analizaron los grupos de edad y la distribución de los ingresos para determinar los hábitos comunes entre los distintos grupos demográficos.
Según la encuesta, la gran mayoría prefiere guardar las credenciales de inicio de sesión en un gestor de contraseñas del navegador. Solo una quinta parte de los encuestados de España afirmó que usa un gestor especializado. Se trata del grupo más numeroso de todos los países de la encuesta. Los italianos fueron los menos propensos a usar un gestor especializado, mientras que los alemanes eligieron confiar en la memoria como la segunda estrategia preferida para guardar las contraseñas.
En Estados Unidos, el 18% de los encuestados comentó que combinaba tanto gestores de contraseñas del navegador como externos. Se observaron cifras similares en Canadá, donde el almacenamiento combinado fue uno de los métodos más populares. En total, alrededor del 14% de todos los encuestados eligió una combinación de métodos como estrategia preferida, apenas un 1% más que quienes solo usan gestores especializados.
Esta situación llama la atención, ya que los gestores de contraseñas del navegador no suelen ofrecer la misma seguridad de los datos que las herramientas especializadas. Además, están vinculados a la cuenta del navegador del usuario. Por ejemplo, si utilizas Chrome como navegador y gestor de contraseñas predeterminado y tu cuenta de Google se ve comprometida, los delincuentes podrían iniciar sesión en el navegador y acceder a todas las credenciales que tengas almacenadas.
Se cree erróneamente que combinar un gestor de contraseñas del navegador con una herramienta externa es una forma segura de mantener una copia de seguridad. Sin embargo, si las credenciales almacenadas en el navegador se ven comprometidas, la copia de seguridad no sirve de mucho para protegerlas.
La reutilización de contraseñas para ahorrar tiempo también sigue siendo un problema. Casi una cuarta parte de los encuestados de Alemania señaló que se acuerda de las contraseñas, mientras que en Australia y Canadá solo lo hace un 18%. Esto pone de manifiesto una tendencia a reutilizar contraseñas idénticas o similares, sin prestar atención a las cuestiones de seguridad. Este tipo de credenciales tienen más probabilidades de filtrarse y provocar una reacción en cadena que comprometa todas o la mayoría de las cuentas de los usuarios.
Un grupo más reducido de encuestados mencionó que no usa ninguna herramienta digital para gestionar las contraseñas, sino que las anota en un papel. Con un 6%, este método fue el menos habitual entre los encuestados del Reino Unido. Sin embargo, el 13% de los franceses también eligió este método, más que el 11% que usa la estrategia de combinar el gestor del navegador y otro externo.
| Estudio sobre el uso y el almacenamiento de contraseñas: datos importantes |
|---|
| El número medio de contraseñas ha pasado de 168 por usuario en 2024 a 120 en 2026. |
| De media, el 40% de las personas guarda las contraseñas en el gestor de su navegador favorito. |
| En esta encuesta, los alemanes muestran un bajo porcentaje de cambio de contraseña y una mayor confianza en la memoria para recordarlas. |
| Los italianos son los que más almacenan contraseñas en el navegador y los menos propensos a usar un gestor especializado. |
| A escala mundial, el 54% de los encuestados ha cambiado la contraseña más antigua en los últimos 12 meses. |
| La generación Z se desenvuelve mejor con las herramientas digitales, pero es la que más se resiste a cambiar las contraseñas. |
| Los baby boomers actualizan las contraseñas con más frecuencia, pero suelen recurrir a métodos menos seguros. |
| Los usuarios con bajos ingresos son los que tienen menos recursos de seguridad de las contraseñas y los que más recurren a soluciones no técnicas. |
| Los encuestados con ingresos elevados son los que más usan gestores de contraseñas y los que menos recurren a la memoria o a escribirlas a mano. |
Metodologías:
El estudio cuantitativo sobre el uso medio de contraseñas lo llevó a cabo NordPass entre el 4 y el 15 de abril de 2026, y en él participaron 1509 usuarios de NordPass.
El estudio cuantitativo sobre los hábitos de almacenamiento de contraseñas lo hizo Nord Security entre el 26 de marzo y el 6 de abril de 2026, y en él participaron 7861 residentes de Alemania, Australia, Canadá, España, Estados Unidos, Francia, Italia y el Reino Unido de entre 18 y 74 años.
La paradoja de los «nativos digitales»
La encuesta sobre el almacenamiento de contraseñas también analizó con qué frecuencia los usuarios las actualizan. A escala mundial, más de la mitad de los encuestados afirmaron que habían actualizado la contraseña más antigua en el último año. Italia destacó como el país con el mayor porcentaje de cambios recientes de contraseña y el menor número de contraseñas que llevan más de una década sin cambiarse.
Los resultados de los encuestados de Alemania fueron todo lo contrario: el porcentaje más bajo (47%) ha actualizado recientemente la contraseña. En Estados Unidos, el 14% de los encuestados no recordaba cuándo fue la última vez que la cambió.
Curiosamente, el análisis demográfico por edad echó por tierra los estereotipos habituales sobre los «nativos digitales». Aunque a menudo se da por hecho que la generación Z conoce bien las herramientas digitales (y, por lo tanto, la ciberseguridad), los jóvenes de entre 18 y 24 años eran los más propensos a no cambiar nunca la contraseña y los menos propensos a cambiarla en el plazo de un año. De hecho, conforme aumentaba la edad, también lo hacía la frecuencia con la que se cambian las contraseñas, que era mayor en el grupo de personas de entre 55 y 64 años.
Paradójicamente, aunque los usuarios más jóvenes eran los que menos cambiaban las contraseñas, eran mucho más propensos a usar gestores del navegador, herramientas de terceros o una combinación de ambos. Del mismo modo, los usuarios de más edad cambiaban las contraseñas con mayor frecuencia, pero las anotaban o simplemente las memorizaban.
Esto pone de manifiesto una falta de uniformidad entre todos los grupos demográficos: ninguno dio prioridad tanto al cambio anual de contraseñas como al almacenamiento digital. Las diferentes preferencias de gestión contrastan con los resultados del informe de las 200 contraseñas más comunes de 2026, que reveló que tanto las generaciones más jóvenes como las más mayores suelen elegir las mismas contraseñas fáciles. Esta tendencia de optar por contraseñas más sencillas y vulnerables combinada con las discrepancias en almacenarlas de forma segura hace que esas credenciales sean un objetivo de mayor riesgo ante los ciberataques.
¿Qué es lo que te da esa falsa sensación de seguridad?
Aunque el panorama general de las tendencias de uso y almacenamiento de contraseñas es más bien positivo, los expertos en ciberseguridad no pueden pasar por alto los riesgos claros para los datos que pueden conllevar los hábitos de los usuarios. ¿A qué se debe que las prácticas de protección de contraseñas sean tan similares en diferentes países?
En lo que respecta a su almacenamiento, la comodidad es fundamental. Aunque los pasos para iniciar sesión suelen parecer sencillos, pueden ser un inconveniente si alguien se olvida de los datos de acceso. Para no tener que restablecer la contraseña una y otra vez, lo que se hace es usar la misma en diferentes cuentas. Los gestores de contraseñas integrados ofrecen una solución sencilla: guardan los datos de inicio de sesión en el navegador y los completan automáticamente cuando los necesitas.
Así se genera una falsa sensación de seguridad, ya que los usuarios creen que las contraseñas están protegidas y no necesitan recordarlas. Sin embargo, no siempre queda bien claro qué protocolos utilizan los gestores de los navegadores, por lo que el usuario no puede saber lo protegidos que están los datos almacenados. Si el dispositivo se ve comprometido y el hacker consigue acceder en remoto al navegador, podrá ver todos los datos de inicio de sesión.
Las propias páginas web pueden ser responsables de que se usen contraseñas poco seguras y de que haya reticencia a actualizarlas. Según un estudio de NordPass sobre las 1000 páginas web más visitadas, solo el 1% exigía que los usuarios crearan contraseñas que cumplieran con las prácticas recomendadas de seguridad. Lo normal es obligar a que tenga una longitud mínima, exigir que se usen caracteres especiales y distinguir entre mayúsculas y minúsculas. Sin embargo, si las páginas web no aplican estas normas, los usuarios crean por defecto contraseñas más débiles y fáciles de recordar.
Las razones sociales, como la falta de educación sobre la higiene digital, también pueden influir en este sentido. Las habilidades de higiene digital abarcan el comportamiento del usuario online, la gestión de cuentas, el mantenimiento de dispositivos y software, y el tratamiento adecuado de los servicios de trabajo y personales. Las herramientas especializadas, como los gestores de contraseñas, las VPN y los antivirus, ayudan a los usuarios a mejorar estos hábitos y a proteger la confidencialidad de sus datos.
Sin embargo, los usuarios con mayores ingresos pueden acceder a herramientas de seguridad avanzadas con más facilidad. Según el estudio, los usuarios con bajos ingresos son los que tienen menos recursos de seguridad de las contraseñas, ya que tienen un conocimiento y un acceso más limitado a las herramientas de protección especializadas. En cambio, es más probable que usen mensajes sin cifrar y notas escritas para proteger sus datos.
Los usuarios con ingresos elevados tienen un mayor acceso a la información y a los servicios de gestión de contraseñas. Esto suele deberse al ámbito laboral, ya que las empresas necesitan herramientas específicas para gestionar y compartir las cuentas de los empleados. Además, son más propensos a usar un servicio de pago y utilizan mucho más las herramientas de gestión de contraseñas. El acceso y el conocimiento son fundamentales para mejorar la gestión de contraseñas de los usuarios, así como para ayudarles a reconocer y evitar ataques de ingeniería social.
Pequeños cambios en la higiene digital que pueden marcar la diferencia
En estos resultados observamos tres pilares que deben mejorar: la comodidad, la estandarización de los requisitos de las contraseñas y la enseñanza de higiene digital. Puedes seguir unos sencillos consejos de higiene digital para subsanar estas deficiencias:
Usa un gestor de contraseñas independiente de terceros. Las herramientas especializadas como NordPass usan un cifrado potente para proteger los datos confidenciales frente a amenazas externas. Además, tienen funciones como el autocompletado y autoguardado para agilizar los procesos de registro e inicio de sesión. NordPass también cuenta con funciones adicionales que ayudan a detectar contraseñas vulnerables y datos comprometidos.
Pásate a la autenticación sin contraseña. Si puedes, cambia de método de inicio de sesión y dale prioridad a la autenticación biométrica, como las passkeys. Te permiten verificar tu identidad y acceder a tu cuenta con un solo clic para que no tengas que lidiar con varias contraseñas complicadas.
Asegúrate de que todas las cuentas tengan contraseñas únicas, seguras y fiables. Si creas contraseñas diferentes, rompes esa cadena en la que una que se haya visto comprometida pone en riesgo otras cuentas. Un generador de contraseñas garantiza que tus credenciales cumplan con los requisitos de seguridad.
Mantén tus dispositivos actualizados. Tu hardware y tu software deben tener un buen mantenimiento. Mantente al día con las actualizaciones de seguridad, sobre todo las de apps que usas para almacenar datos confidenciales.
Lee las novedades sobre las ciberamenazas. Las herramientas con IA están cambiando constantemente el panorama de las ciberamenazas. Mantente al día con las noticias sobre estafas y vulnerabilidades habituales para identificarlas si te conviertes en un objetivo.
Consigue la herramienta adecuada para lo que necesites. Invertir en ciberseguridad vale la pena, pero no tiene que suponer un gran gasto. Puedes conseguir el plan gratuito de NordPass y disfrutar de un almacenamiento ilimitado de contraseñas. Si quieres acceder a una protección avanzada y a funciones como Seguridad de la contraseña, Escáner de filtración de datos y Autenticador, puedes actualizar a Premium cuando quieras.
Conclusión
Aunque es positivo el cambio en los hábitos de uso y almacenamiento de contraseñas, los usuarios aún tienen mucho que mejorar. Ahora que la autenticación sin contraseña está cada vez más extendida, el objetivo principal es seguir facilitando el acceso a información sobre ciberseguridad e higiene digital en los distintos grupos demográficos, así como garantizar que los usuarios puedan acceder fácilmente a las herramientas necesarias para proteger bien sus datos.