¿Agregás un número a tu contraseña? Por qué no alcanza y cómo te pueden entrar igual

La contraseña con un número agregado al final es una de las variantes más comunes y también una de las más fáciles de probar en ataques automatizados, porque mantiene el mismo patrón y solo cambia un detalle previsible. En detalle, ¿por qué es una mala idea?

El gesto suele ser rápido y “lógico”: sumar un número al final, cambiar una letra o poner una mayúscula al inicio. En la práctica, eso da sensación de control, pero deja casi el mismo rastro que la clave anterior.

Sumar un número a una contraseña vieja (“algo” + 1, 2, 3 o un año) suele sentirse como una solución rápida. El problema es que, para quienes prueban combinaciones con reglas ya armadas, esa variante está entre las primeras opciones.

En ciberseguridad, la escena más repetida no es “adivinar desde cero”, sino aprovechar filtraciones y probar en cadena. Cuando una contraseña se filtra en un servicio, lo siguiente suele ser testear esa misma base en otros sitios populares. Ahí nace el “efecto dominó”: no cae una cuenta, cae un conjunto.

Este hábito además suele pasar “por debajo” de los controles internos de muchas plataformas, porque cumple lo que piden: una mayúscula, un número, un símbolo. Pero cumplir requisitos mínimos no significa que sea difícil de romper; significa que la contraseña se ve “formal”, aunque siga siendo predecible.

En ese sentido, si se mantiene una palabra base o un patrón fijo (nombre + número, palabra + año, teclado tipo qwerty), el cambio es cosmético: la contraseña nueva sigue siendo la misma historia con otra terminación.

Las listas de contraseñas más usadas muestran un dato que se repite: muchas claves no son “nuevas”, son variaciones mínimas de otras.

Se ven familias enteras de combinaciones fáciles de anticipar: secuencias numéricas (123456…), recorridos de teclado (qwerty…), repeticiones (111111…), palabras obvias (password/admin) y “maquillajes” como P@ssw0rd que no cambian el fondo.

Además, el riesgo no se limita a redes sociales. Cuando la cuenta comprometida es el correo, el daño suele ser mayor, porque desde ahí se resetean claves de otros servicios.

La regla que más ordena todo es dejar de reciclar: una contraseña única por cuenta. Si un servicio se filtra, el daño queda contenido y no se traslada a las demás plataformas.

Para poder sostenerlo sin depender de memoria, lo más práctico es:

* Usar gestores de contraseñas.

* Generar claves largas y aleatorias.

* Guardarlas y completarlas automáticamente.

Los especialistas también recomiendan utilizar la autenticación multifactor (MFA):

* Suma un código o confirmación extra.

* Frena accesos incluso si la contraseña se filtra.

Otra medida simple es separar “cuentas críticas” del resto:

En esos casos conviene usar contraseñas únicas, activar MFA y revisar dispositivos o sesiones abiertas cuando haya alertas.

Por eso, más que sumar un número o cambiar una letra, los especialistas recomiendan pensar las contraseñas como una pieza central de la protección digital.