MD5: el 60% de contraseñas se descifra en 1 hora

Las contraseñas almacenadas mediante un método de hash muy extendido pueden ser mucho menos seguras de lo que muchos propietarios de sitios web suponen. Según un artículo de The Register que cita una investigación de la empresa de seguridad Kaspersky, el 60% de las contraseñas cifradas con MD5 de un conjunto de datos de más de 231 millones de contraseñas únicas pueden descifrarse supuestamente usando una sola tarjeta gráfica de consumo en menos de una hora. Un 48% puede romperse supuestamente en menos de 60 segundos.

La investigación se publicó el 7 de mayo de 2026, aunque conviene señalar que el artículo de The Register es una fuente secundaria que informa sobre los hallazgos de Kaspersky. Los detalles metodológicos específicos pueden diferir en el informe original de Kaspersky.

Qué encontró la investigación

Según The Register, los investigadores de Kaspersky utilizaron una sola tarjeta gráfica Nvidia RTX 5090 para comprobar con qué rapidez podían descifrarse los hashes de contraseñas MD5. El conjunto de datos contenía más de 231 millones de contraseñas únicas.

La conclusión principal, tal como la recoge The Register, es que las contraseñas protegidas únicamente por algoritmos de hash rápidos como MD5 ya no son seguras si los atacantes las obtienen en una brecha de datos. Según se informa, dos factores impulsan esto: la previsibilidad de las contraseñas y la creciente potencia de los procesadores gráficos.

Kaspersky es citada diciendo: "Una hora es todo lo que necesita un atacante para descifrar tres de cada cinco contraseñas que ha encontrado en una filtración."

La investigación también comparó supuestamente los resultados con un estudio similar que Kaspersky realizó en 2024. Según The Register, las contraseñas son descritas como "unos pocos puntos porcentuales" más fáciles de descifrar en 2026 que entonces, aunque las cifras exactas del estudio de 2024 no se indican en la fuente.

Por qué esto importa a las pequeñas empresas

Si su sitio web almacena contraseñas de usuarios, la forma en que esas contraseñas están protegidas entre bastidores es enormemente importante. Muchas plataformas web y plugins más antiguos siguen utilizando MD5 para el hash de contraseñas, algo que esta investigación sugiere que ya no es adecuado.

Esto no tiene que ver con una sanción ni con una actuación de la Agencia Española de Protección de Datos (AEPD). Se trata del riesgo práctico para sus clientes si su sitio web se ve alguna vez implicado en una brecha de datos. Un almacenamiento débil de contraseñas significa que los atacantes podrían acceder a las cuentas de sus clientes rápidamente y, potencialmente, utilizar esas mismas contraseñas para acceder a otros servicios que usen.

Si no está seguro de cómo almacena las contraseñas su sitio web, merece la pena consultarlo con su desarrollador web o proveedor de alojamiento. También puede revisar nuestra lista de verificación de seguridad para pequeñas empresas y comprobar si alguno de sus plugins de WordPress tiene vulnerabilidades conocidas.

¿Qué significa esto para su sitio web?

Si su sitio web tiene cuentas de usuario o un área de acceso privado, la forma en que se almacenan las contraseñas es una decisión técnica que tiene consecuencias reales para la seguridad de sus clientes. Pregunte a su desarrollador o proveedor de plataforma si su sitio utiliza un algoritmo de hash moderno y lento en lugar de MD5. Dar este paso es una forma sencilla de reducir el riesgo sin necesidad de esperar a que un organismo regulador lo exija.