La Policía Nacional ha hecho algo muy poco glamuroso, pero necesario: recordar a los usuarios que siguen protegiendo su móvil con claves como “123456”, “admin” o “Ana123”. El aviso, difundido en redes sociales y recogido por medios como Diario AS, se centra en el teléfono móvil porque hoy concentra banca, trabajo, salud y buena parte de la vida digital de hogares y empresas.
Según el propio cuerpo, hay un pequeño “top 5” de contraseñas que conviene evitar a toda costa: secuencias numéricas básicas (“123456”), genéricos como “admin” o “password”, el nombre de la mascota (tipo “Simba”) y el nombre propio seguido de números, como “Ana123”. La lista coincide con los rankings de claves más débiles que manejan empresas de ciberseguridad, donde estas combinaciones siguen apareciendo año tras año.
Un problema de usuario… y de negocio
Podría parecer una simple cuestión de pereza, pero en realidad es un riesgo operativo. En España, estudios basados en bases de datos filtradas muestran que “admin” se ha convertido en la contraseña más utilizada en 2025, por delante de “123456”. Es decir, claves que cualquiera probaría en primer lugar en un intento de acceso no autorizado.
Para un particular, eso puede traducirse en que alguien entre en su correo, su banco o sus redes sociales. Para una pyme donde muchos empleados reutilizan la misma clave en varias herramientas, el impacto es mayor: robo de datos de clientes, acceso a paneles de facturación o bloqueo de sistemas críticos. Informes recientes sobre las contraseñas más “hackeadas” en España apuntan que combinaciones como “123456”, “password” o “admin” acumulan cientos de miles de apariciones en brechas de datos.
A esto se suma que el móvil se ha convertido en la puerta de entrada a la autenticación en dos pasos. Si un atacante consigue secuestrar el número o infectar el dispositivo, la vieja clave débil es solo la primera ficha de dominó.
El truco de la frase larga que propone la Policía
En lugar de limitarse a decir “pon una contraseña más fuerte”, la Policía ha popularizado un truco sencillo: convertir una frase personal en una clave larga. En sus vídeos y publicaciones explican que una contraseña robusta “debe ser larga, impredecible para un robot y no imposible de recordar para ti”.
El ejemplo que repiten varios medios es muy gráfico: partir de una frase tipo “Mi perro Simba usa calcetines en invierno” y, a partir de ahí, jugar con iniciales, mayúsculas, números y símbolos hasta obtener algo que tenga sentido solo para el usuario. Organismos especializados como el Instituto Nacional de Ciberseguridad (Incibe) llevan años recomendando este enfoque mnemotécnico para generar contraseñas únicas y complejas sin depender solo de la memoria.
En la práctica, esto significa huir de claves de menos de 8–10 caracteres, evitar información evidente (nombre, fecha de nacimiento, equipo de fútbol) y, siempre que sea posible, apoyarse en un gestor de contraseñas como NordPass u otros equivalentes para no reutilizar la misma clave en todos los servicios.
Autenticación en dos pasos y cultura digital mínima
El otro pilar del mensaje de la Policía es la autenticación en dos pasos. No es infalible, y expertos advierten de que ataques como el “SIM swapping” permiten interceptar códigos enviados por SMS si se ha suplantado previamente la identidad del titular de la línea. Pero, aun con sus limitaciones, añade una capa extra que complica mucho la vida a los delincuentes frente a cuentas protegidas solo con “123456”.
Para empresas y administraciones, el aviso encaja con una tendencia más amplia: campañas de concienciación que intentan subir el “suelo” de la cultura digital de la población. Políticas internas que obligan a activar doble factor, formación breve sobre fraudes y una revisión periódica de contraseñas son medidas relativamente baratas si se comparan con el coste de una fuga de datos o una paralización de sistemas por un acceso indebido.
Al final del día, el mensaje es menos técnico de lo que parece: si el móvil concentra tu vida, no lo protejas con la misma clave que usarías para un wifi de invitados.
El comunicado oficial se publicó en Policía Nacional.
