El ejército de Guatemala advierte sobre el riesgo de contraseñas similares en múltiples plataformas

La reutilización encubierta de contraseñas se mantiene como uno de los accesos más inadvertidos y peligrosos en ciberseguridad, una vulnerabilidad que persiste en empresas y usuarios pese a las políticas tradicionales.

La Brigada de Comunicaciones del Ejército de Guatemala sostiene que la reacción institucional suele presentarse solo después de incidentes masivos de filtración de datos, lo que vuelve a colocar a las organizaciones en una posición de constante riesgo frente a este vector de ataque considerado básico en la mayoría de los compromisos graves, como confirman varios estudios internacionales, lo cual cobra relevancia hoy en el Día Internacional del Internet Seguro.

Según el boletín de Ciberdefensa del Ejército de Guatemala, la reutilización disfrazada logra esquivar los sistemas convencionales de protección y posibilita que ciberdelincuentes obtengan acceso sin técnicas avanzadas: “La reutilización disfrazada de contraseñas evade los controles tradicionales y proporciona acceso inadvertido a atacantes que no requieren técnicas sofisticadas”.

Esta constatación, ubicada en el epicentro de numerosas investigaciones, obliga a una transformación profunda de los hábitos y la cultura de seguridad digital tanto en empresas como en usuarios individuales.

El análisis divulgado por la Brigada de Comunicaciones del Ejército de Guatemala, basado en millones de credenciales filtradas en 2025, detectó que más del 50 % de las contraseñas expuestas ya habían sido vulneradas en fugas anteriores. Además, el 94 % correspondía a claves reutilizadas o de baja fortaleza, una proporción que refleja la magnitud del problema a escala global.

El informe subraya que la mayoría prefiere repetir contraseñas o introducir apenas modificaciones superficiales —como cambiar un dígito, añadir o mover un carácter, o alterar la secuencia de mayúsculas— para ajustarse formalmente a las políticas de cambio sin dotar de complejidad real a la clave.

Estas pequeñas adaptaciones evaden los sistemas internos que solo bloquean la repetición exacta o exigen cambios mínimos, factores que alimentan el ciclo de vulnerabilidad. El 38 % de los usuarios utiliza exactamente la misma contraseña en varias plataformas, mientras que otro 20 % introduce alteraciones tan previsibles que pueden deducirse con alto grado de acierto.

Las estrategias de los atacantes rara vez dependen del azar, según detallan fuentes del Ejército de Guatemala. Los ciberdelincuentes acceden primero a bases de datos filtradas, localizan credenciales originales y luego emplean algoritmos capaces de replicar las variaciones típicas de los usuarios.

Con el respaldo de herramientas automatizadas de credential stuffing, estos ataques se despliegan de manera masiva, exponiendo una fragilidad estructural ampliamente subestimada.

La costumbre de crear contraseñas apenas distintas entre servicios y la interpretación errónea de las normativas internas constituyen los núcleos del problema.

Frente a esta amenaza, el boletín técnico del Ejército de Guatemala propone cinco medidas para reducir la exposición: vigilancia continua de nuevas filtraciones, sistemas automáticos que detecten similitud entre contraseñas, reglas estrictas que prohíban variantes predecibles, incorporación de autenticación multifactor y fomento de gestores de contraseñas robustos.

La facilidad para recordar contraseñas apenas diferentes y la comprensión incorrecta de las políticas internas refuerzan este ciclo vicioso.

Limitaciones normativas que solo impiden la repetición exacta, o que promueven cambios superficiales como agregar cifras al final de la clave, resultan insuficientes. De este modo, la seguridad real queda comprometida aunque se satisfagan los requisitos formales, concluye el informe difundido por el Ejército GT.