Una regla de seguridad para crear contraseñas ha quedado obsoleta: revisa tus claves y evita ataques

Durante años, los consejos de seguridad digital recomendaron a los usuarios crear contraseñas “fuertes”, es decir, combinaciones con letras mayúsculas, minúsculas, números y algún que otro carácter especial, como el signo de exclamación o el símbolo arroba.

Sin embargo, la realidad en 2025 demuestra una situación radicalmente distinta: el uso de mayúsculas y caracteres especiales ya no garantiza la protección de las cuentas en línea.

Las razones detrás de este cambio no radican en un error de los usuarios ni en un retroceso de los estándares, sino en el avance tecnológico que ha transformado el panorama de la ciberseguridad.

De acuerdo con Hive Systems, firma reconocida internacionalmente por su análisis anual sobre la seguridad de contraseñas, los hackers cuentan hoy con herramientas tan potentes que el antiguo valor de la complejidad ha quedado obsoleto.

Por qué los requisitos tradicionales dejaron de ser útiles

El origen de la preferencia por combinaciones con mayúsculas y símbolos reside en la propia lógica de la protección por contraseña. Cada elemento distinto (una letra mayúscula, un número, un carácter especial) incrementaba el número de posibles combinaciones, lo que complicaba—en teoría—la labor de un atacante. Pero los métodos de ataque evolucionaron a la par de la tecnología.

Los llamados ataques de fuerza bruta, una técnica que prueba sistemáticamente millones de combinaciones hasta acertar la correcta, han incrementado su velocidad y eficacia de forma drástica. Las tarjetas gráficas modernas, originalmente diseñadas para videojuegos o entrenar inteligencias artificiales, permiten calcular billones de combinaciones por segundo.

Así, donde antes se necesitaban semanas o meses para descifrar una contraseña de 8 caracteres con mezcla de símbolos, hoy un equipo relativamente accesible puede lograrlo en minutos.

Hive Systems ha documentado esta evolución examinando el hardware utilizado por los atacantes entre 2020 y 2025. Mientras que en 2020 los cálculos se realizaban sobre una sola tarjeta RTX 2080 y el algoritmo MD5, el estándar de 2025 usa doce RTX 5090—las tarjetas gráficas de consumo más potentes disponibles—sobre contraseñas protegidas con bcrypt y un factor de iteración realista.

Este cambio en la potencia disponible para ataques se traduce en un descenso dramático en el tiempo requerido para romper contraseñas complejas de longitud corta.

En otras palabras, la combinación tradicional de letras, números y símbolos pierde valor cuando la longitud de la contraseña no acompaña. La tabla de Hive Systems ilustra cómo una contraseña de 8 caracteres, aunque tenga todo tipo de símbolos permitidos por la mayoría de las webs, puede ceder ante un ataque en cuestión de semanas o meses con el hardware correcto.

Cuáles son las limitaciones de los caracteres especiales

El uso de símbolos y mayúsculas respondía a una lógica válida en la década pasada, cuando la limitación principal de los atacantes era la potencia de cálculo. La realidad actual muestra que el rango de símbolos empleados por la mayoría de servicios no es tan amplio: las pruebas de Hive Systems calculan los escenarios considerando solo los caracteres que se permiten de forma generalizada (^*%$!&@#), dejando fuera a otros poco aceptados por los formularios estándar.

Además, cuando un atacante configura un ataque de fuerza bruta, los algoritmos priorizan combinaciones más comunes—por ejemplo, sustituciones habituales como “@” por “a” o “1” por “l”—y ensayan primero las variantes más predecibles.

Esto hace que la simple inclusión de símbolos en una contraseña corta no añada una protección significativa. Un PIN numérico de 8 dígitos, una palabra conocida con símbolos intercalados o combinaciones similares, ya no constituyen barreras reales para los atacantes.

Una de las advertencias presentes en el informe de Hive Systems subraya que, si el atacante dispone del hash de la contraseña tras una brecha de datos, el proceso de descifrado se reduce aún más.

Los algoritmos de hash como bcrypt cuentan con factores configurables para ralentizar la tarea de ataque, pero la realidad demuestra que muchos servicios no ajustan correctamente estos parámetros, o siguen empleando sistemas menos robustos como MD5.

Cuáles son los riesgos actuales tras los cambios de seguridad

Uno de los problemas más graves en la seguridad de contraseñas radica en los hábitos del usuario. Si bien una contraseña puede parecer robusta por su aparente complejidad, la reutilización de esa clave en varios servicios se convierte en un problema.

El atacante no necesita probar todas las combinaciones posibles si sabe que ciertas contraseñas ya fueron filtradas en internet durante brechas previas.

Por otra parte, los llamados ataques de diccionario emplean listas enormes de palabras y combinaciones frecuentes y, en vez de explorar aleatoriamente, atacan primero aquellas que los usuarios tienden a usar por comodidad o costumbre. En este escenario, incluso una contraseña de 12 caracteres con mezcla de mayúsculas y símbolos pierde su efectividad si aparece en una base de datos filtrada.