Código: BL - 01

LAS PEORES CONTRASEÑAS UTILIZADAS EN PERÚ

2020 Versión: 1.0
Fecha: 12/01/2021
CIBERSERGURIDAD
Página: 1 de 9

Cyber Security

BOLETÍN INFORMATIVO
LAS PEORES CONTRASEÑAS
UTILIZADAS EN PERÚ 2020

Autor Omar Palomino [email protected]

Página Web del Autor https://www.linkedin.com/in/opalomino/
Empresa Kunak Consulting SAC http://www.kunak.com.pe

Documento en versión final

 Código: BL - 01
LAS PEORES CONTRASEÑAS UTILIZADAS EN PERÚ
2020 Versión: 1.0
Fecha: 12/01/2021
CIBERSERGURIDAD
Página: 2 de 9

Contenido

I. Introducción........................................................................................................................................ 3
II. Motivación del artículo........................................................................................................................ 4
III. Estadísticas del 2019 en Perú y el mundo. ........................................................................................ 4
IV. Estadísticas del 2020 en el mundo .................................................................................................... 5
V. Estadísticas del 2020 en el Perú ........................................................................................................ 6
VI. Conclusiones...................................................................................................................................... 8
VII. Recomendaciones ............................................................................................................................. 9
 Código: BL - 01
LAS PEORES CONTRASEÑAS UTILIZADAS EN PERÚ
2020 Versión: 1.0
Fecha: 12/01/2021
CIBERSERGURIDAD
Página: 3 de 9

Las peores contraseñas utilizadas del 2020 en Perú

I. Introducción

Como parte de los boletines de seguridad de KUNAK CONSULTING hemos decidido por tercer
año consecutivo, realizar un análisis sobre las peores contraseñas utilizadas en Perú.

Si quieres revisar los informes previos sobre las peores contraseñas utilizadas en Perú, puedes
revisar los siguientes enlaces:

Peores contraseñas 2019: http://bit.ly/39sxykc

Peores contraseñas 2018: http://bit.ly/2swOvIJ

El objetivo de este boletín es informar a las organizaciones sobre las contraseñas que son
consideradas débiles o de fácil adivinación y que permitirían a un atacante informático obtener
acceso a correos electrónicos, sistemas de información, accesos VPN, etc.

Es importante mencionar que, a pesar de este boletín detalla de manera específica de las peores
contraseñas utilizadas en Perú, no podemos dejar de mencionar las peores contraseñas
utilizadas en el mundo.

En los siguientes enlaces se puede identificar las peores contraseñas del 2020 en el mundo:

 NORDPASS: https://nordpass.com/most-common-passwords-list/

Y finalmente, mencionar que los resultados estadísticos por parte de Perú son producto de las
pruebas de Pentesting- realizados por KUNAK CONSULTING durante todo el 2020. Sin mayor
preámbulo aquí vamos.
 Código: BL - 01
LAS PEORES CONTRASEÑAS UTILIZADAS EN PERÚ
2020 Versión: 1.0
Fecha: 12/01/2021
CIBERSERGURIDAD
Página: 4 de 9

II. Motivación del artículo

Este artículo cuenta con principalmente dos motivaciones:

1. Informar a las organizaciones sobre el uso masivo de contraseñas por parte de los empleados
y que puedan implementar controles de seguridad para prevenir el uso de las mismas. De
esta forma, KUNAK Consulting colabora en el proceso de seguridad de las organizaciones
peruanas.

2. Y el segundo motivo (y no menos importante), es lo d̶i̶ve̶ ̶r̶t̶i̶d̶o̶ interesante que nos resulta
encontrar nuevos patrones de contraseñas inventados por usuarios y sysadmins de una
organización. Definitivamente la imaginación es algo que abunda por estos lares del mundo.

III. Estadísticas del 2019 en Perú y el mundo.

Aunque ya lo vimos en el boletín del año 2019: http://bit.ly/39sxykc, recordamos aquí brevemente
las peores contraseñas según NORDPASS:

NordPass – Las peores contraseñas: https://nordpass.com/blog/top-worst-passwords-2019/

Ranking Contraseñas Ranking Contraseñas

1 12345 14 iloveyou
2 123456 15 1234
3 123456789 16 abc123
4 test1 17 111111
5 password 18 123123
6 12345678 19 dubsmash
7 zinch 20 test
8 g_czechout 21 princess
9 asdf 22 qwertyuiop
10 qwerty 23 sunshine
11 1234567890 24 BvtTest123
12 1234567 25 11111
13 Aa123456.

Ya antes habíamos advertido que estas contraseñas son muy conocidas y utilizadas, sin
embargo, no son utilizadas en el contexto peruano de manera masiva y resulta poco usual
identificar estas contraseñas. Por ejemplo, las siguientes contraseñas no son utilizadas:

 iloveyou
 zlinch
 g_czechout
 dubsmash
 princess
 sunshine
 BvtTest123
 Código: BL - 01
LAS PEORES CONTRASEÑAS UTILIZADAS EN PERÚ
2020 Versión: 1.0
Fecha: 12/01/2021
CIBERSERGURIDAD
Página: 5 de 9

IV. Estadísticas del 2020 en el mundo

La empresa NORDPASS, como ya es de costumbre cada año, informa sobre las peores
contraseñas utilizadas en el mundo. Esta es la estadística indicada de las peores 25 contraseñas
utilizadas en el mundo:

Posición Contraseña Tiempo de crackeo

1 123456 Menos de un segundo
2 123456789 Menos de un segundo
3 picture1 3 horas
4 password Menos de un segundo
5 12345678 Menos de un segundo
6 11111 Menos de un segundo
7 123123 Menos de un segundo
8 12345 Menos de un segundo
9 1234567890 Menos de un segundo
10 senha 10 segundos
11 1234567 Menos de un segundo
12 qwerty Menos de un segundo
13 abc123 Menos de un segundo
14 Million2 3 horas
15 000000 Menos de un segundo
16 1234 Menos de un segundo
17 iloveyou Menos de un segundo
18 aaron431 3 horas
19 password1 Menos de un segundo
20 qqww1122 52 Minutes
21 123 Menos de un segundo
22 omgpop 2 Minutes
23 123321 Menos de un segundo
24 654321 Menos de un segundo
25 qwertyuiop Menos de un segundo

Fuente: https://nordpass.com/most-common-passwords-list/

En el enlace superior, NORDPASS expone las 200 peores contraseñas utilizadas en el mundo,
además, se ha añadido una columna asociada al tiempo promedio en que se podría CRACKEAR
esta contraseña, es decir, en caso encontremos el HASH de dicha contraseña el tiempo para
realizar un proceso de reversing es extremadamente corto.
 Código: BL - 01
LAS PEORES CONTRASEÑAS UTILIZADAS EN PERÚ
2020 Versión: 1.0
Fecha: 12/01/2021
CIBERSERGURIDAD
Página: 6 de 9

V. Estadísticas del 2020 en el Perú

KUNAK Consulting ha realizado alrededor de 50 proyectos de consultoría de ciberseguridad

durante el 2020, como producto de dichos proyectos fue posible identificar contraseñas
reutilizadas por empleados de la organización.

A continuación, mostramos las contraseñas más usadas del año 2020 en Perú:

Ranking Contraseñas 2020

1 [Empresa]2020
2 [Empresa].2020
3 [Empresa]2020$
4 [Empresa]2021
5 [Empresa]20
6 [Mes]2020
7 Soporte2020
8 Lima2020
9 Peru2020
10 [Empresa]123
11 [Empresa]12345
12 Covid19
13 Corona2020
14 abcABC1234
15 abcABC123
16 Passw0rd
17 Pa$$w0rd
18 P@ssw0rd
19 password
20 12345678
21 Sistemas2020
22 sistemas
23 [Empresa]01
24 backup
25 soporte
26 Admin01
27 usuario=password
 Código: BL - 01
LAS PEORES CONTRASEÑAS UTILIZADAS EN PERÚ
2020 Versión: 1.0
Fecha: 12/01/2021
CIBERSERGURIDAD
Página: 7 de 9

Análisis de los resultados obtenidos:

Ranking Contraseñas 2020 Contraseñas 2019 Contraseñas 2018

1 [Empresa]2020 [Mes]2019 123456
2 [Empresa].2020 12345678 password
3 [Empresa]2020$ 123456 Passw0rd
4 [Empresa]2021 123456789 P@ssw0rd
5 [Empresa]20 12345678A. admin
6 [Mes]2020 123456789A. sistemas
7 Soporte2020 password Pa$$w0rd
8 Lima2020 Passw0rd usuario=password
9 Peru2020 Pa$$w0rd cisco
10 [Empresa]123 P@ssw0rd [Empresa]2018
11 [Empresa]12345 [Empresa]2019 [Empresa]2019
12 Covid19 [Empresa]2020 [Empresa]2020
13 Corona2020 [Empresa].2019 [Mes]2018
14 abcABC1234 [Empresa].2020
15 abcABC123 Prueba2019
16 Passw0rd Prueba2020
17 Pa$$w0rd Peru2019
18 P@ssw0rd Peru2020
19 password soporte
20 12345678 admin
21 Sistemas2020 cisco
22 sistemas C1sc0
23 [Empresa]01
24 backup
25 soporte
26 Admin01
27 usuario=password

El análisis realizado nos da como resultado que el patrón de contraseña más utilizado en las
organizaciones peruanas y que resulta de fácil adivinación corresponde a las siguientes:

 [Empresa]2020
 [Empresa].2020
 [Empresa]2020$
 [Empresa]2021
 [Empresa]20
 [Empresa]123
 [Empresa]12345
 [Empresa]01

Esto confirma que el principal patrón de contraseña de fácil adivinación corresponde al nombre
o abreviatura de la organización seguido del año o un valor numérico consecutivo.

Aunque, este año el equipo de KUNAK ha identificado en menor cantidad las contraseñas
asociadas al mes, aún es posible obtener accesos no autorizados con contraseñas de este tipo:

 Julio2020
 Agosto2020
 Diciembre2020

Finalmente, identificamos nuevos patrones de contraseñas asociadas a la coyuntura de salud y

lugar geográfico de residencia de empleados:

 Lima2020
 Peru2020
 Covid19
 Corona2020
 Código: BL - 01
LAS PEORES CONTRASEÑAS UTILIZADAS EN PERÚ
2020 Versión: 1.0
Fecha: 12/01/2021
CIBERSERGURIDAD
Página: 8 de 9

VI. Conclusiones

1. Durante el año 2020 hemos identificado que el PATRÓN DE CONTRASEÑA más utilizado
por los peruanos corresponde al nombre o abreviatura de la empresa seguido de un valor
numérico consecutivo que resulta ser el presente año o números correlativos. Por ejemplo:

 [Empresa]2020
 [Empresa].2020
 [Empresa]2020$
 [Empresa]2021
 [Empresa]20
 [Empresa]123
 [Empresa]12345
 [Empresa]01

2. El uso de contraseñas débiles o de fácil adivinación resuelta un RIESGO EXTREMO para

las organizaciones debido a que permiten acceso a múltiples plataformas y sistemas de
información de la organización: aplicaciones web, active directory, acceso VPN, etc. Las
contraseñas débiles identificadas en el año 2020 son:

Ranking Contraseñas 2020

1 [Empresa]2020
2 [Empresa].2020
3 [Empresa]2020$
4 [Empresa]2021
5 [Empresa]20
6 [Mes]2020
7 Soporte2020
8 Lima2020
9 Peru2020
10 [Empresa]123
11 [Empresa]12345
12 Covid19
13 Corona2020
14 abcABC1234
15 abcABC123
16 Passw0rd
17 Pa$$w0rd
18 P@ssw0rd
19 password
20 12345678
21 Sistemas2020
22 sistemas
23 [Empresa]01
24 backup
25 soporte
26 Admin01
27 usuario=password

3. El nivel de complejidad para gestionar contraseñas requiere un ALTO ESFUERZO por parte
del personal de Seguridad de Información y/o Seguridad Informática, las organizaciones
cuentan con un ALTO NIVEL DE COMPLEJIDAD de infraestructura tecnológica y múltiples
sistemas de información por lo que GESTIONAR LA SEGURIDAD de los accesos a través
de contraseñas debe ser un trabajo constante, recurrente y debe contar con los recursos
necesarios para su realización.
 Código: BL - 01
LAS PEORES CONTRASEÑAS UTILIZADAS EN PERÚ
2020 Versión: 1.0
Fecha: 12/01/2021
CIBERSERGURIDAD
Página: 9 de 9

VII. Recomendaciones

A continuación, brindamos recomendaciones para gestionar la seguridad de contraseñas en las

organizaciones:

1. En la medida de lo imposible y en sistemas críticos expuestos a Internet (como el correo

electrónico), se recomienda IMPLEMENTAR DOBLE FACTOR de autenticación (2FA), es
decir, se debe requerir un valor adicional a la contraseña para el acceso al sistema de
información. Actualmente, las plataformas del tipo GOOGLE, OFFICE365, sistemas VPN,
etc., ofrecen mecanismos de doble factor de autenticación.

Es importante mencionar que las organizaciones peruanas utilizan cada vez más servicios
CLOUD, estas plataformas ofrecen doble factor de autenticación para el acceso.

2. Realizar pruebas periódicas y controladas de revisión de credenciales débiles o de fácil

adivinación. Esto se puede realizar con el módulo AUXILIAR del Framework METASPLOIT.

Se recomienda que estas pruebas se realicen de manera mensual y por personal que realice
de manera controlada sino se puede ocasionar bloqueos masivos de cuentas e
indisponibilidad del servicio.

3. Se recomienda RESTRINGIR los accesos a los recursos de las organizaciones a cuentas de

usuarios específicas. Por ejemplo, durante el desarrollo de las pruebas de Ethical
Hacking/Pentesting hemos identificado lo siguiente:

 Los usuarios del Directorio Activo cuentan con acceso a la red WIFI WPA Enterprise sin
restricciones.
 Los usuarios del Directorio Activo cuentan con acceso a la red VPN sin restricciones.

4. Finalmente, la CONCIENTIZACIÓN resulta un PUNTO CRÍTICO para la gestión de

contraseñas. Se recomienda realizar planes de CONCIENTIZACIÓN ANUAL, de forma que
se pueda medir el progreso mensual en relación a la conciencia que pueden tener los
empleados de la organización en temas asociados a seguridad de información y seguridad
informática.