rockyou.txt tiene 116.992 descargas. Rank C. 7.54% de crack rate en hashes NTLM. La wordlist más descargada del mundo está entre las peores. Aquí está lo que realmente funciona.
MITRE ATT&CK: T1110.002 — Fuerza Bruta: Crackeo de Contraseñas
Por qué rockyou.txt sigue siendo la más descargada
Viene por defecto en Kali. Eso es todo. No hay ninguna otra razón.
Cuando instalas Kali y buscas "wordlist", encuentras rockyou en /usr/share/wordlists/. Nadie te explica que fue compilada de una brecha de 2009 en una plataforma de juegos sociales. Nadie te dice que la mayoría de contraseñas en esa lista son iloveyou, password1, 12345678. Contraseñas de cuentas personales de usuarios de RockYou.com hace dieciséis años.
Las contraseñas corporativas de un entorno de Active Directory en 2026 no se parecen a eso.
Siguen políticas de complejidad. Tienen rotaciones forzadas. Mezclan palabras de empresa, años, signos de puntuación. Un analista de banca en Madrid no usa iloveyou. Usa Bankia2024! o Verano2023# o el nombre del hijo con la fecha de nacimiento.
rockyou no cubre eso. Y un 7.54% de crack rate lo confirma.
Los datos reales: wordlists clasificadas por crack rate en NTLM
Fuente: weakpass.com — datos públicos y reproducibles.
| Wordlist | Rank | Crack Rate | Velocidad NTLM | Tamaño |
|---|---|---|---|---|
| rockyou.txt | C | 7.54% | 0m | 133 MB |
| hashmob.net_2025.medium | S | 15.42% | 0m | 128 MB |
| kaonashi.txt | B | 23.79% | 5m | 9 GB |
| all-h.txt | S | 38.50% | 16m | 28 GB |
| all_in_one.txt | B | 41.40% | 2h 57m | 317 GB |
Fíjate en algo: all_in_one.txt con Rank B tiene un crack rate más alto que all-h.txt con Rank S. Rank no es solo crack rate — es la relación entre lo que consigues y lo que cuesta conseguirlo. Tamaño, tiempo de proceso, cobertura. El ranking mide eficiencia, no volumen.
Y hashmob.net_2025.medium tiene Rank S con el mismo tamaño que rockyou y el doble de crack rate en el mismo tiempo. Ese es el punto de partida que debería venir en Kali por defecto. No viene.
Por escenario: qué usar y cuándo
La elección depende de tres variables: tiempo disponible, espacio en disco y qué tipo de hashes estás atacando.
Primer pase rápido — hashmob.net_2025.medium
Mismo tamaño que rockyou (128 MB). Los mismos 0 minutos de proceso. El doble de crack rate. Rank S.
Siempre empiezo aquí. Es un cambio de dos segundos: sustituyes el nombre del archivo en el comando y terminas con el 15% de los hashes crackeados antes de que alguien se dé cuenta de que has empezado. Si el tiempo es el recurso escaso, esta lista sola ya te da más que rockyou en cualquier escenario.
Eficiencia máxima — all-h.txt
Rank S. 38.50% de crack rate. 16 minutos. 28 GB.
Por solo 2.9 puntos porcentuales menos que all_in_one, es once veces más rápida. Esta es la que uso en casi todos mis pentests. Cubre brechas corporativas recientes, tiene densidad alta de contraseñas con patrones empresariales y cabe en cualquier disco moderno.
Si solo vas a descargar una lista hoy y no quieres pensar más, descarga esta.
Cobertura máxima — all_in_one.txt
41.40%. Solo cuando tienes tiempo y necesitas el máximo alcance. Tres horas de proceso y 317 GB de espacio. No es para pentests con plazos ajustados. Es para cuando el cliente ha dado cinco días, has terminado el resto del trabajo y quieres dejar correr hashcat mientras haces el informe.
Kerberoasting — The-Viper-One
Las cuentas de servicio tienen patrones distintos a los usuarios normales. svc_sql, backup_agent, exchange_svc — estas cuentas a menudo tienen contraseñas establecidas hace años por un administrador, con convenciones de naming internas y sin política de rotación real.
The-Viper-One está compilada para esos patrones. Me ha sacado contraseñas en entornos reales que all-h no tocó. Si estás atacando hashes de Kerberoasting específicamente, combina all-h con The-Viper-One.
Entornos en español — CSL-LABS y hackingyseguridad
Esto marca diferencia en España. Palabras del español peninsular, nombres de santos, equipos de fútbol, términos corporativos en castellano — ninguna lista global los cubre bien. Si auditas organizaciones en España, añade estas dos al flujo. No son grandes. No cuestan tiempo. Y en entornos donde el usuario ha puesto Madrid2023! o Barça2024, las listas globales no llegan.
Workflow completo
El orden importa. No ataques con all_in_one.txt desde el principio. Empieza rápido, filtra los hashes ya crackeados y escala solo si necesitas más cobertura.
# Paso 1: Pase rápido — 0 minutos, ~15% crackeado
hashcat -m 1000 -O hashes.txt hashmob.net_2025.medium
# Paso 2: Eficiencia — 16 minutos, ~38.5% total
hashcat -m 1000 -O hashes.txt all-h.txt
# Paso 3: Cobertura máxima — 3 horas (solo si es necesario)
hashcat -m 1000 -O hashes.txt all_in_one.txt
# Con reglas para mutaciones corporativas
hashcat -m 1000 -O hashes.txt all-h.txt -r OneRuleToRuleThemStill.rule
# Hashes de Kerberoasting (RC4, modo 13100)
hashcat -m 13100 -O kerberoast.hashes all-h.txtLa flag -O activa optimized kernels — en RTX 3090 o superior, la diferencia en velocidad para modo 1000 (NTLM) es significativa. Úsala siempre que la lista y el hardware lo soporten.
Para entornos en español, añade CSL-LABS y hackingyseguridad entre el paso 1 y el paso 2. Son pequeñas y cubren patrones locales que all-h pasa por alto.
Por qué las contraseñas corporativas son distintas
rockyou fue generada de una brecha de 2009 en una plataforma de juegos sociales para adolescentes. Las contraseñas eran personales, cortas, sin política de complejidad.
Un entorno de Active Directory corporativo en 2026 tiene políticas de longitud mínima, complejidad obligatoria y en muchos casos rotación periódica. El resultado son contraseñas como:
Empresa2024!— nombre de la empresa más año más signoVerano24#— estación más año abreviadoNombre123.— nombre propio más número más puntoP@ssw0rd2023— variante del clásico con sustituciones de carácter
Esos patrones están bien representados en all-h.txt y en hashmob, porque ambas están compiladas de brechas corporativas recientes, no de plataformas de ocio de hace quince años. Esa es la diferencia funcional.
Y con reglas — OneRuleToRuleThemStill, best64, dive — cubres las mutaciones. Si la contraseña base está en la lista, la regla encuentra la variante. Si la contraseña base no está, la regla no ayuda. Por eso la lista de partida importa más que las reglas.
Cómo ADscan gestiona los hashes en el workspace
ADscan guarda automáticamente todos los hashes capturados durante el engagement en el workspace — hashes NTLM de SAM/LSA, hashes TGS de Kerberoasting, salida de DCSync. No necesitas rastrear archivos manualmente ni acordarte de dónde guardaste cada output.
Cuando ejecutas Kerberoasting desde ADscan, los hashes quedan en el workspace indexados por cuenta de servicio y tipo de cifrado. Puedes exportarlos directamente para atacarlos con hashcat o john, y volver a importar las contraseñas crackeadas con contexto de cuenta.
Con ADscan PRO, adscan deliver incluye las credenciales crackeadas en el informe con contexto de impacto — qué cuenta, qué privilegios tiene, a qué recursos da acceso. No solo un hash y una contraseña en texto plano, sino la cadena de ataque completa con impacto operativo para el cliente.
Solicita acceso beta PRO — gratuito durante 90 días.
El resumen que importa
rockyou tiene 116.992 descargas porque viene por defecto en Kali. No porque sea buena.
hashmob.medium tiene el mismo tamaño, los mismos 0 minutos y el doble de crack rate. Dos segundos para cambiar el nombre del archivo en el comando. Vale la pena.
Para la mayoría de pentests: hashmob primero, all-h segundo. Con eso llegas al 38% de cobertura en menos de veinte minutos. Todo lo que venga después es tiempo adicional por rendimientos decrecientes.
Si auditas en España, añade las listas locales. No son opcionales — son los dos minutos extra que te dan las contraseñas que las listas globales no cubren.
Fuentes:
- weakpass.com — clasificación pública de wordlists por crack rate en NTLM: https://weakpass.com/wordlist (2025)
Lectura relacionada: Kerberoasting en Active Directory: Guía completa de operador