Si reconoces alguno de estos en ti mismo, no te culpes: son tan comunes precisamente porque parecen inofensivos. La buena noticia es que arreglarlos es directo. Sigue el orden o ve al que más te suene.
Usar la misma contraseña en varios sitios
Es el fallo con más impacto. Si reutilizas una clave en cinco servicios y uno de ellos sufre una filtración, los atacantes prueban automáticamente esa misma contraseña en banca, correo, redes y compras. A esa técnica se la llama credential stuffing y es la causa de la mayoría de los compromisos masivos de cuentas.
Inventar contraseñas con información personal
Nombre, apellidos, fecha de nacimiento, equipo de fútbol, nombre de tu mascota, ciudad de residencia: todo está en tus redes sociales o se deduce con dos búsquedas. Las claves construidas alrededor de tu vida son las primeras que prueba cualquier atacante con un mínimo de información sobre ti.
Hacer sustituciones obvias estilo «p@ssw0rd»
Cambiar la «a» por «@», la «o» por «0» o la «s» por «$» parecía ingenioso hace 20 años. Hoy los diccionarios de ataque incluyen estas sustituciones por defecto, así que «P@ssw0rd» es solo unos milisegundos más segura que «password». La complejidad superficial no añade entropía real.
Usar variaciones de la misma clave en cada sitio
«Madrid2024», «Madrid2025», «Madrid2025!», «Amazon2025», «Netflix2025». Los atacantes que obtienen una contraseña filtrada prueban sus variantes obvias automáticamente. El primer cambio que intentan es justamente añadir un número, un signo o el nombre del servicio.
Contraseñas demasiado cortas
Cualquier clave de menos de 10 caracteres se considera vulnerable en 2026, por mucho símbolo que tenga. Una contraseña de 8 caracteres alfanuméricos cae en horas con hardware moderno; una de 14, en miles de años. La diferencia entre «débil» y «segura» suele ser solo añadir unos caracteres.
Apuntarlas en notas adhesivas o archivos sin cifrar
El post-it en el monitor es el chiste clásico, pero ocurre. Más frecuente todavía: archivos de texto llamados «contraseñas.txt» en el escritorio o notas sincronizadas sin cifrar en la nube. Cualquiera con acceso temporal al equipo (compañeros, familia, un mantenimiento) las ve a simple vista.
Compartirlas por correo, WhatsApp o SMS
Cuando envías una contraseña por chat o correo, se replica en servidores, en copias de seguridad, en los dispositivos de la otra persona y, posiblemente, en el sistema de respaldo del proveedor. Aunque la borres, queda en sitios fuera de tu control. Es una de las vías más habituales de filtración accidental.
No activar la verificación en dos pasos
Aunque tu contraseña sea perfecta, si aparece en una filtración futura, el atacante entra. La verificación en dos pasos añade un segundo factor que él no tiene. Activarla bloquea más del 99 % de los intentos automatizados de toma de cuentas.
Cambiar la contraseña «por rutina» cada pocos meses
Las políticas de cambio obligatorio cada 30, 60 o 90 días, sin motivo, son contraproducentes. La gente acaba haciendo variaciones predecibles («Madrid01», «Madrid02», «Madrid03»). El NIST y otros organismos llevan años recomendando que se cambien las contraseñas cuando hay un motivo, no por calendario.
Ignorar las alertas de filtración
Cuando un gestor de contraseñas o un servicio te avisa de que una clave tuya aparece en una brecha pública, no es una alarma cosmética: significa que esa contraseña ya está en bases de datos circulando entre atacantes. Ignorarlo es dejar la puerta abierta.