Un nou estudi de més de 19.000 milions de contrasenyes recentment exposades manifesta una crisi de reutilització de contrasenyes feble generalitzada. Els patrons de teclat mandrosos, com el 123456, encara regnen i el 94 % de les contrasenyes es reutilitzen o es dupliquen, segons revelen les filtracions de dades del 2024 al 2025. Noms com ara Ana es classifiquen com el segon component més popular.

Diversos incidents de perfil alt durant l’últim any, incloses les infraccions de Snowflake i altres, han abocat milers de milions de contrasenyes i altres dades a les mans dels ciberdelinqüents.

L’equip d’investigació de Cybernews va realitzar un estudi exhaustiu sobre les credencials filtrades recentment per examinar les tendències de creació de contrasenyes de 2025.

«Ens enfrontem a una epidèmia generalitzada de reutilització de contrasenyes febles. Només el 6 % de les contrasenyes són úniques, cosa que fa que altres usuaris siguin molt vulnerables als atacs del diccionari. Per a la majoria, la seguretat depèn del fil de l’autenticació de dos factors, si està habilitada», va dir Neringa Macijauskaitė, investigadora de seguretat de la informació de Cybernews.

Malgrat els esforços en curs per educar els usuaris sobre la seguretat de les contrasenyes, no hi ha cap avenç al llarg de les dècades, cosa que destaca la necessitat d’accelerar l’adopció de mètodes d’autenticació més segurs.

Aportacions clau

• La majoria de la gent utilitza contrasenyes d’entre 8 i 10 caràcters (42 %), i vuit són les més populars.

• Gairebé un terç (27 %) de les contrasenyes analitzades consisteixen només en minúscules i dígits.

• Les contrasenyes compostes per paraules profanes o ofensives poden semblar rares, però en realitat són molt habituals a la pràctica.

• Tot i que s’han rebutjat durant molts anys, les contrasenyes predeterminades i “mandroses” com “contrasenya”, “administrador” i “123456” segueixen sent un patró comú.

Metodologia

El conjunt de dades analitzat conté credencials exposades de filtracions o incompliments que es van produir en un període de 12 mesos a partir de l’abril de 2024.

Les dades incloïen bases de dades filtrades, llistes combinades i registres de robatoris originats a partir d’uns 200 incidents de ciberseguretat. Només es van analitzar les dades que es van posar a disposició del públic.

Les filtracions van exposar un total de 19.030.305.929 de contrasenyes. Només 1.143.815.266 (6 %) de les contrasenyes es van identificar com a úniques.

Les dades es van filtrar i anonimitzar acuradament per garantir que no s’utilitzi informació personal o identificable durant el processament. Cybernews ha suprimit totes les dades i no en conserva cap còpia.

Per analitzar les dades de la contrasenya, hem utilitzat una combinació d’OSINT (intel·ligència de codi obert), CTI (intel·ligència d’amenaça cibernètica) i automatització tècnica. Les nostres llistes de paraules personalitzades van dividir els components de la contrasenya en categories. Es van utilitzar scripts bash i Python personalitzats juntament amb eines disponibles públicament per avaluar detalls crítics com ara la longitud de la contrasenya, la composició dels caràcters i l’ús de caràcters especials, dígits i majúscules.

Els investigadors assenyalen que els ciberdelinqüents poden obtenir informació addicional que ve amb les contrasenyes exposades, com ara adreces de correu electrònic i altres dades personals. Per a l’anàlisi només es van utilitzar fonts de dades amb adreces de correu electrònic. Ni la col·lecció de contrasenyes RockYou24 ni cap altra llista de paraules es va incloure com a dades font.

Les filtracions originals contenien més de 3 TB de dades i es carregaven amb informació que es podria utilitzar per robar comptes o suplantar la identitat de les persones afectades en atacs de robatori d’identitat. El conjunt de dades analitzat contenia 213 GB, o 19.030.305.929 contrasenyes, amb 1.143.815.266 d’elles úniques.

Mina d’or per farcir credencials

No és d’estranyar que trobeu “1234” en gairebé el 4 % de totes les contrasenyes: més de 727 milions de contrasenyes utilitzen aquesta seqüència. Ampliant-lo amb dos nombres addicionals, a “123456”, deixa 338 milions de contrasenyes que el fan servir. “Contrasenya” i “123456” han estat les contrasenyes més populars, almenys des del 2011.

«El problema de la ‘contrasenya predeterminada’ segueix sent un dels patrons més persistents i perillosos dels conjunts de dades de credencials filtrats. Les entrades ‘contrasenya’ (56 M) i ‘admin’ (53 M) revelen que els usuaris confien en gran manera en valors predeterminats simples i previsibles», va dir Macijauskaitė. «Els atacants també els prioritzen, fent que aquestes contrasenyes siguin les menys segures.»

Molts sistemes proporcionen originalment aquests valors predeterminats, com ara encaminadors amb «admin/admin» o telèfons amb 1234 PIN. Els usuaris mai les canvien o fins i tot reciclen aquestes contrasenyes en un altre lloc.

Per entendre millor la composició de les contrasenyes, els investigadors van desenvolupar llistes de paraules personalitzades que cobreixen diversos temes.

Els noms de les persones eren el segon component més freqüent.

«Molts usuaris trien un nom com a part de la seva contrasenya. Hem creuat el conjunt de dades amb els 100 noms més populars del 2025 i hem trobat que hi ha un 8 % de possibilitats que s’incloguin com a part d’una contrasenya», explica l’investigador.

Ana va ser la més popular, utilitzada en gairebé l’1 %, o 178,8 milions de contrasenyes. Aquest component curt apareix naturalment en moltes altres paraules comunes, com ara «banana» (utilitzat en contrasenyes de 3,7 milions).

Molts usuaris opten per contrasenyes inspirades en conceptes positius i estimulants. Paraules (en anglès) com amor (87 M), sol (34 M), somni (6,1 M), alegria (6,9 M) i llibertat (2 M) dominen la llista de paraules positives.

Alguns dels termes de la cultura pop més utilitzats a les contrasenyes inclouen Mario (9,6 M), Joker (3,1 M), Batman (3,9 M), Thor (6,2 M) i, sorprenentment, Elsa (2,9 M) de Frozen de Disney.

«Les associacions positives, els personatges admirats i la nostàlgia fan que la gent se senti familiar i sigui fàcil de recordar. Tanmateix, la popularitat es converteix en predictibilitat, explotada pels atacants», explica l’investigador.

Els insults també són molt comuns a les contrasenyes. L’entrada superior, ass (cul, en anglès) (165 M), es pot explicar en part per l’ús de «pass» o «password». Tanmateix, els usuaris sovint elaboren les seves contrasenyes amb fuck (hòstia!, en anglès) (16 M), shit (merda, en anglès) (6,5 M), dick (penis, en anglès) (3,2 M) i bitch (puta, en anglès) (3,2 M).

«Les contrasenyes construïdes a partir de paraules profanes o ofensives poden semblar rares, però en realitat són molt comunes a la pràctica», va dir Macijauskaitė. «Les contrasenyes que contenen blasfèmia sovint s’originen a partir d’intents de personalització o de memòria. Tanmateix, aquests termes són freqüents a les llistes de paraules dels atacants i representen un risc substancial per a la seguretat del compte.»

Altres paraules que s’utilitzen amb més freqüència a les contrasenyes inclouen països, ciutats, estats dels EUA, menjar, marques populars, natura, animals o fins i tot estacions o mesos.

La ciutat més popular per a contrasenyes és Roma (13 M), mentre que 9,8 milions de contrasenyes inclouen lion (lleó, en anglès) i 7,8 milions, fox (guineu, en anglès). Summer (estiu en anglès) (3,8 M) és la temporada més popular i els usuaris semblen preferir els Monday (dilluns, en anglès) (0,8 M) majoritàriament per protegir els seus comptes.

May (maig en anglès) (28 M) apareix en moltes contrasenyes, però també en moltes altres paraules utilitzades per crear contrasenyes. El segon mes més popular va ser April (abril, en anglès) (5,2 M).

Pizza (3,3 milions) no és la contrasenya d’aliments més popular. Més de 36 milions de contrasenyes incloïen tea (té, en anglès), 10,7 milions apple (poma, en anglès), 4,9 milions rice (arròs en anglès) i 3,6 milions orange (taronja, en anglès).

Google lidera el nombre de comptes amb 25,9 milions de comptes, seguit de Facebook (18,7 milions) i Kia (12,7 milions).

Molts creuen que els pirates informàtics seran repel·lits pel boss (cap, en anglès) (10 milions), hunter (caçador, en anglès) (6,6 milions), cook (cuiner, en anglès) (4,2 milions) i altres professions. Soccer (futbol, en anglès americà) (4 milions) és una salvaguarda de comptes més popular que football (futbol americà, en anglès americà) (3,4 milions).

Carolina (1,9 milions), Dakota (1,2 milions) i Texas (1,1 milions) són els tres estats dels Estats Units més populars que no foragitaran els pirates informàtics.

Gairebé 24 milions d’usuaris creuen que god (déu, en anglès) farà que la seva contrasenya estigui segura, i 20 milions confien en hell (infern, en anglès).

Curtes i minúscules: un patró comú

La majoria de la gent fa servir contrasenyes de 8 a 10 caràcters (42 %), les de vuit caràcters eren les més populars. Molts sistemes no permeten l’ús de contrasenyes de menys de 8 caràcters.

«Malgrat els anys d’educació en seguretat, els usuaris encara prefereixen contrasenyes més curtes perquè són més fàcils d’escriure i memoritzar. Es recomana utilitzar almenys 12 caràcters per a una contrasenya», explica l’investigador.

L’anàlisi també revela que un terç (27 %) de les contrasenyes constaven només de lletres en minúscules i dígits, una estructura que augmenta significativament la vulnerabilitat als atacs de força bruta i de diccionari. A més, gairebé el 20 % de les contrasenyes úniques barrejaven majúscules i números, però no tenien caràcters especials.

«Aquestes opcions de contrasenya fan que els usuaris siguin una víctima fàcil per als atacs de força bruta. Tanmateix, la nostra anàlisi també revela un canvi positiu i notable en la complexitat de la contrasenya», va assenyalar Macijauskaitė.

«Segons la nostra recerca de contrasenyes més febles feta el 2022, només l’1 % de les contrasenyes utilitzaven una combinació de minúscules, majúscules, números i símbols. Ara, aquesta xifra ha pujat fins al 19 %, cosa que reflecteix l’impacte dels requisits més estrictes de la plataforma i una millora lenta però mesurable del comportament dels usuaris.»

Les contrasenyes febles condueixen a violacions de seguretat

Desglossar les contrasenyes en components reflecteix els mètodes utilitzats pels ciberdelinqüents i proporciona informació rellevant sobre els punts febles de la creació de contrasenyes. La lamentable realitat és que les contrasenyes són febles i es reutilitzen diverses vegades.

«Els atacants recullen constantment els darrers abocaments de credencials dels robatoris d’informació exposats i els hash recentment trencats disponibles públicament. Aquests conjunts de dades actuals permeten onades d’atacs d’ompliment de credencials altament efectius, i sovint obvien les defenses de seguretat tradicionals», adverteix Macijauskaitė.

El percentatge excepcionalment alt de contrasenyes repetides a la investigació es podria atribuir a algunes fonts filtrades que contenen entrades duplicades, però només en part.

«La prevalença de contrasenyes febles, reutilitzades i simples entre plataformes augmenta significativament el risc d’atacs cibernètics», va afegir. «Si reutilitzeu contrasenyes a diverses plataformes, un incompliment en un sistema pot comprometre la seguretat d’altres comptes, tot creant un efecte dòmino. Fins i tot sense cap compromís, els pirates informàtics poden explotar patrons de contrasenyes comuns.»

Els atacants fan servir eines automatitzades per provar grans volums de noms d’usuari i contrasenyes filtrats a diverses plataformes. Tot i que aquests atacs poden semblar ineficients, un percentatge d’èxit entre el 0,2 % i el 2,0 % els fa altament rendibles. Els pirates informàtics posen a prova milions de credencials i això genera milers de comptes compromesos.

Segons Enzoic, les contrasenyes febles van ser responsables del 30 % de les infeccions per programari de segrest el 2019, i el problema s’ha mantingut generalitzat en els últims anys.

«Si els atacants hi accedeixen, sovint no necessiten cap habilitat tècnica addicional ni vulnerabilitats del sistema per fer mal. Poden augmentar ràpidament els privilegis i fins i tot desplegar programari de segrest, tot provocant interrupcions operatives i pèrdues financeres», explica Macijauskaitė.

«Per a les organitzacions, l’ús generalitzat de contrasenyes insegures representa una amenaça greu. Cada contrasenya reutilitzada o feble representa un punt d’entrada potencial perquè els atacants puguin llançar l’emplenament de credencials, el moviment lateral i el desplegament de programari de segrest, i subratllin la necessitat de millorar la higiene de les contrasenyes i la supervisió proactiva.»

Com crear contrasenyes fortes?

Per reduir els riscos identificats a l’estudi i millorar la seguretat general de la contrasenya, l’equip d’investigació de Cybernews recomana les mesures següents:

• Ús de gestors de contrasenyes. Creen i emmagatzemen contrasenyes úniques i fortes per a cada servei, i redueixen la temptació de reutilitzar contrasenyes a diferents plataformes.

• No reutilitzeu mai les contrasenyes. Assegureu-vos que la vostra contrasenya tingui com a mínim 12 caràcters, que inclogui majúscules, minúscules, números i almenys un símbol especial. Ometeu qualsevol paraula, nom, seqüència o altres cadenes reconeixibles.

• Activeu l’autenticació multifactor (MFA) sempre que sigui possible. La MFA proporciona una capa addicional de seguretat i redueix el risc d’accés no autoritzat fins i tot si les contrasenyes estan compromeses.

• Les organitzacions haurien d’aplicar polítiques de contrasenyes que requereixin que les contrasenyes tinguin almenys 12 caràcters, idealment 16, que incorporin una barreja de lletres majúscules i minúscules, números i caràcters especials. La complexitat supera la longitud.

• Les organitzacions haurien d’assegurar-se que s’implementen algorismes i configuracions adequats de hash de dades mentre revisen contínuament els estàndards de seguretat existents que giren al voltant del trànsit i l’emmagatzematge de dades.

• Reviseu els controls d’accés regularment i feu auditories de seguretat periòdiques. Això condueix a una millor postura de seguretat d’una empresa i redueix el risc que les dades personals dels seus usuaris es filtrin.

• Superviseu i reaccioneu a les filtracions de credencials. Les organitzacions haurien d’adoptar eines i plataformes que puguin detectar les credencials filtrades en temps real, cosa que els permeti bloquejar l’accés instantàniament o requerir restabliments per als comptes afectats.

L’objectiu d’aquesta investigació és entendre els comportaments, les tendències i els patrons darrere de les contrasenyes filtrades per predir vectors de defensa d’ompliment de credencials mitjançant el subministrament d’informació útil per als usuaris i les organitzacions.