Las contraseñas que se usan en tu empresa son más sencillas de lo que crees

Tu equipo cree que tiene contraseñas seguras. Y técnicamente, tiene razón. El problema es que "técnicamente segura" y "realmente segura" no son lo mismo. Vamos a verlo.

CIBERSEGURIDAD

6/1/20262 min read

Las contraseñas que se usan en tu empresa son más sencillas de lo que crees

El mito de la contraseña larga

Una contraseña de 11 caracteres con mayúscula, minúscula, número y símbolo puede parecer un fortín. Por fuerza bruta pura, un atacante necesitaría cientos de miles de millones de intentos para abrirla.

Nadie va a hacer eso.

Lo que sí van a hacer es buscar tus contraseñas anteriores.

El ataque que nadie te cuenta

Imagina que eres un atacante y descubres que un empleado de tu empresa tiene tres contraseñas filtradas en bases de datos públicas:

  • Malaga1986*

  • Malaga2010*

  • Malaga2025*

Por separado, cada una parece razonablemente sólida. Juntas, revelan el manual de cómo piensa esa persona.

El patrón es evidente: ciudad de origen (o equipo de fútbol, o lugar favorito), más una fecha con significado personal, más un símbolo al final. Lo único que varía es el número.

¿Cuántos intentos necesitas ahora para adivinar la siguiente contraseña?

No cien mil millones. Probablemente menos de cien. Con suerte, menos de diez.

Por qué funciona siempre

El cerebro humano no es bueno generando aleatoriedad. Es bueno encontrando atajos.

Cuando alguien tiene que cambiar su contraseña, no piensa en entropía criptográfica. Piensa en algo que pueda recordar. Y lo que puede recordar siempre tiene una estructura: un lugar, un nombre, una fecha, un evento.

Eso convierte una contraseña de 11 caracteres en una de 4 variables reales:

¿Qué palabra base usa?

¿Qué tipo de número añade?

¿En qué posición?

¿Qué símbolo de cierre?

Una vez tienes una contraseña antigua, tienes las respuestas. O al menos las probabilidades suficientes para romperla en minutos.

El efecto dominó

Aquí está el verdadero problema.

Cuando un atacante compromete una contraseña, no la usa para entrar por la puerta que esperabas. La usa para deducir todas las demás.

Email corporativo. VPN. Panel de administración. CRM. Banco.

Si la lógica del empleado es siempre la misma, y casi siempre lo es, una filtración antigua en un servicio de terceros puede abrir la puerta de tu empresa años después.

Y tú no lo vas a saber hasta que ya sea tarde.

Lo que esto significa para tu empresa

No estamos hablando de empleados descuidados. Estamos hablando de comportamiento humano normal bajo presión de recordar docenas de contraseñas distintas.

El problema no es la persona. Es el sistema.

Y hay dos formas de abordarlo:

La primera es técnica: gestor de contraseñas corporativo, políticas de rotación, MFA obligatorio en accesos críticos. Reduce el riesgo estructural.

La segunda es humana: que tu equipo entienda cómo piensa un atacante. Que sepa que no hay que protegerse de robots haciendo fuerza bruta, sino de personas que leen patrones.

Esa segunda parte es la que más se ignora. Y la que más se explota.

Si quieres saber qué contraseñas de tu empresa están ya en bases de datos de filtraciones, y qué patrones son visibles desde fuera, en HackBlock hacemos exactamente ese análisis como parte de nuestros simulacros

CONTACTO
DIRECCIÓN
LEGAL

+34 622 14 60 55

contacto@hack-block.com

Avenida El Altillo, P.I. Proxinave nave 6, 11405 Jerez de la Frontera, Cádiz

Política de Privacidad

Política de cookies

Tu seguridad, nuestra prioridad.

Simulamos ataques a tu empresa hasta que alguien caiga, si nadie lo hace, el servicio no tiene coste.

One Shot

© HackBlock, 2026

Centro de soporte

SOPORTE