Blog/La vida digital/

Deja de reutilizar contraseñas: lo que revela la reciente encuesta de NordPass

Lukas Grigas
Redactor de contenidos sobre ciberseguridad
Stop reusing passwords

Todo el mundo lo ha hecho al menos una vez. Te suscribes a una nueva prueba de streaming a las 11 de la noche, el sitio te pide una contraseña de 8 caracteres que incluye un símbolo, pero tú te encoges de hombros y vuelves a utilizar la contraseña de siempre «¡Snowboarding!19» que tienes desde el instituto. En menos de un minuto, habrás resuelto tu problema y habrás creado uno para todas las demás cuentas que compartan la misma contraseña.

Nuestro último estudio demuestra que este tipo de comportamiento no es raro, sino de lo más común. Así que vamos a analizar los resultados y a adentrarnos en la práctica problemática de la reutilización de contraseñas.

Índice:

Encuesta sobre la reutilización de contraseñas NordPass 2025

Para medir hasta qué punto sigue siendo habitual el hábito de reutilizar contraseñas, NordPass encargó a un equipo de investigación independiente entrevistas con 1727 adultos: 619 estadounidenses, 605 británicos y 503 alemanes. El cuestionario profundizaba en tres áreas:

  • Frecuencia con la que se reutilizan los nombres de usuario.

  • A cuántas contraseñas y cuentas afecta este hábito.

  • Por qué se sigue haciendo en 2025.

Estados Unidos

  • El 62% de los estadounidenses confiesa que «a menudo» o «siempre» reutiliza una contraseña.

  • El usuario medio hace malabarismos con tres contraseñas básicas que desbloquean unas cinco cuentas diferentes.

  • La mitad afirma que lo hace porque es «más fácil recordar menos contraseñas», y uno de cada tres se siente abrumado por la cantidad de servicios que utiliza cada mes.

  • Un preocupante 11 % no ve «ningún riesgo significativo» en la repetición, prueba de que es la experiencia, y no las advertencias, lo que impulsa el comportamiento.

Reino Unido

  • El 60 % reutiliza las credenciales de inicio de sesión.

  • La ansiedad por la memoria eclipsa la comodidad: el 40 % teme bloquearse si cada contraseña es única.

  • La comodidad y «demasiadas cuentas» empatan en segundo lugar, y el mismo 11 % se encoge de hombros ante la amenaza.

Alemania

  • El 50 % reutiliza contraseñas, la «mejor» puntuación, pero aún así es jugársela.

  • La comodidad es el principal motivo para el 37 % de los reutilizadores alemanes, mientras que el 29 % alega la sobrecarga de las cuentas.

  • El 13 % cree que la repetición es prácticamente inofensiva.

En conjunto, los datos dicen una cosa: aproximadamente el 57 % de los consumidores de tres economías avanzadas siguen apostando por la duplicación de credenciales. Es una mayoría lo bastante amplia como para que las operaciones de relleno de credenciales sigan siendo rentables durante años.

Por qué se siguen reutilizando las contraseñas

Los encuestados se dividen en cuatro grupos a la hora de explicar sus hábitos de reutilización de contraseñas:

  • Los memorizadores. Aproximadamente la mitad de los estadounidenses, el 43 % de los británicos y el 37 % de los alemanes que participaron en la encuesta afirman que reutilizan las contraseñas porque es «más fácil recordar menos contraseñas».

  • Los abrumados. Alrededor del 30 % en cada país cita «demasiadas cuentas» para gestionar diferentes contraseñas.

  • Los ansiosos. El miedo a olvidar los inicios de sesión únicos alcanza el 40 % en el Reino Unido, el 38 % en Estados Unidos y el 31 % en Alemania.

  • Los escépticos. Entre el 11 % y el 13 % nunca han tenido que hacer frente a las consecuencias de una filtración y asumen que el riesgo es exagerado.

Cómo se aprovechan los ciberdelincuentes de las contraseñas reutilizadas

La reutilización convierte una fuga en una reacción en cadena. Si los hackers roban tu contraseña de un solo sitio, pueden intentar el mismo inicio de sesión en todos los demás servicios que utilices —correo electrónico, banca, aplicaciones de trabajo— hasta que alguno se abra. Por eso la reutilización de contraseñas es un asunto clave. Y la economía delictiva en torno a los inicios de sesión robados es a escala industrial. Se mueve rápido. Una vez que una filtración llega a los foros y mercados de la dark web, los delincuentes disponen de varias formas de beneficiarse de las credenciales robadas y reutilizadas.

  • Relleno de credenciales. Los atacantes equipados con grandes cantidades de credenciales reutilizadas cargan millones de pares usuario-contraseña en botnets que disparan inicios de sesión automatizados. Incluso con un 1 % de éxito se consiguen miles de cuentas operativas.

  • Apropiación de cuentas. Una contraseña reutilizada —generalmente expuesta en filtraciones de datos— que abre tu bandeja de entrada de correo electrónico permite a los ciberdelincuentes restablecer todo lo demás: almacenamiento en la nube, carteras de criptomonedas, correos electrónicos, etc. El punto de apoyo inicial se convierte en un trampolín hacia objetivos de mayor valor.

  • Ingeniería social. Con el control de las cuentas sociales o empresariales, los delincuentes estudian el historial de mensajes y elaboran solicitudes creíbles: «¿Puede aprobar esta factura?» o «Ha olvidado pagar al proveedor: utilice esta cuenta». Las víctimas responden porque la solicitud procede de lo que parecería ser una identidad de confianza.

El papel de las empresas en la prevención de la reutilización de contraseñas

Las empresas se encuentran en ambos extremos del problema de la reutilización de contraseñas. Deben proteger a su personal de hábitos descuidados y proteger a los clientes cuyas credenciales pueden estar ya a la venta en la dark web. Las organizaciones pueden abordar el problema de varias maneras.

Rechazar credenciales reutilizadas

Durante el proceso de registro o de restablecimiento de la contraseña, el sitio debe cotejar la contraseña propuesta con una base de datos de filtraciones. Si la cadena ha aparecido en filtraciones anteriores —o parece idéntica a una ya archivada—, se le indica al usuario que use otra más segura ofreciéndole otra opción. Además, incrustar un generador de contraseñas de un solo clic eliminaría los problemas.

Autenticación por capas

Autenticación multifactor detiene la toma de control automatizada incluso cuando se filtran las credenciales. Cada vez son más los que se saltan las contraseñas ofreciendo claves de acceso FIDO —secretos criptográficos vinculados a dispositivos que no se pueden reutilizar ni suplantar.

Formación en seguridad

Las empresas que organizan con frecuencia talleres prácticos de seguridad experimentan muchos menos casos de reutilización de credenciales por parte de los empleados. Demostrar lo rápido que un solo inicio de sesión comprometido puede propagarse por toda una red deja claro que la reutilización de contraseñas es un hábito muy malo.

Adopción de gestores de contraseñas

En la actualidad, muchas empresas fomentan —o incluso exigen— el uso de gestores de contraseñas para empresas. Cuando el personal dispone de una almacén seguro para sus inicios de sesión, es mucho menos probable que recicle contraseñas. La mayoría de los almacenes también incluyen generadores de contraseñas integrados que crean cadenas fuertes y aleatorias bajo demanda, eliminando así las conjeturas a la hora de crear credenciales sólidas.

Cómo dejar de reutilizar contraseñas

Para acabar con el hábito de la reutilización de contraseñas, lo único que necesitas es un flujo de trabajo que trate las credenciales sólidas y únicas como la norma y no como la excepción. A continuación te damos algunos consejos sobre cómo hacerlo.

Adopta un gestor de contraseñas

Herramientas como NordPass generan, sincronizan y autorellenan contraseñas en todos los dispositivos. El usuario recuerda una Contraseña maestra; el almacén recuerda el resto. Un Generador de contraseñas online integrado produce cadenas aleatorias de alta entropía con solo pulsar un botón, eliminando la tentación de entrar en el año nuevo con P@ssw0rd2026.

Considera las claves de acceso

Una clave de acceso combina la criptografía de clave pública con la biometría del dispositivo, por lo que no hay nada que teclear, nada que olvidar ni nada que reutilizar. Muchas de las principales plataformas ya las admiten. Nuestro ¿Qué son las claves de acceso? te explica cómo configurar uno por primera vez. Cuando no se disponga de claves de acceso, activa MFA para añadir una segunda comprobación que los atacantes no puedan adivinar a partir de una lista filtrada.

Auditoría de cuentas inactivas

Viejos foros, sitios de compras que usaste una vez para un regalo novedoso, esa aplicación de fitness que ya no usas... cada uno es una vulnerabilidad latente si comparte credenciales con servicios activos. Cierra la cuenta o, al menos, cambia la contraseña por una única. Consulta nuestra lista anual de las contraseñas más comunes para inspirarte sobre lo que no debes elegir.

Reflexiones finales

La reutilización de contraseñas se nutre de la comodidad a corto plazo y el optimismo a largo plazo. Nuestra encuesta muestra que el 57 % de los usuarios de tres economías digitales maduras siguen confiando en ese optimismo, incluso cuando los delincuentes industrializan el robo de credenciales. La cura no es nada exótica: gestores de contraseñas, autenticación por capas y una evaluación realista del riesgo. Romper el hábito no exige una vigilancia perfecta, sino más bien la voluntad de cambiar los malos trucos de memoria por herramientas diseñadas a tal efecto.

Suscríbete a las noticias de NordPass

Recibe las últimas noticias y consejos de NordPass directamente en tu bandeja de entrada.