Generador de Contraseñas – Crea Contraseñas Aleatorias Fuertes
Genera contraseñas fuertes y aleatorias de cualquier longitud. Personaliza con mayúsculas, minúsculas, números y caracteres especiales. Calculadora gratuita, resultados instantáneos.
Entropía de Contraseña: La Ciencia de Contraseñas Fuertes
La fuerza de la contraseña se mide en bits de entropía — el logaritmo (base 2) del número de contraseñas posibles. Más entropía significa una contraseña más difícil de romper. La comprensión de la entropía es la clave para crear contraseñas que resistan tanto los ataques por fuerza bruta como los métodos de cracking basados en diccionarios.
Fórmula: Entropía = log₂(C^L) = L × log₂(C), donde C = tamaño del conjunto de caracteres y L = longitud de la contraseña.
| Tipo de Contraseña | Tamaño del Conjunto de Caracteres | Longitud | Entropía (bits) | Tiempo de Ataque por Fuerza Bruta* |
|---|---|---|---|---|
| Únicamente minúsculas (a–z) | 26 | 8 | 37.6 | Minutos a horas |
| Mayúsculas y minúsculas (a–z, A–Z) | 52 | 8 | 45.6 | Horas a días |
| Mayúsculas y minúsculas + dígitos | 62 | 10 | 59.5 | Días a meses |
| Todos los caracteres ASCII impresos | 94 | 12 | 78.7 | Miles de años |
| Todos los caracteres ASCII impresos | 94 | 16 | 104.8 | Infinito |
| Todos los caracteres ASCII impresos | 94 | 20 | 131.0 | Más allá de la muerte térmica del universo |
| Contraseña de 4 palabras (7,776 listado) | 7,776 | 4 palabras | 51.7 | Comparable a una contraseña de 8 caracteres compleja |
| Contraseña de 6 palabras (7,776 listado) | 7,776 | 6 palabras | 77.5 | Comparable a una contraseña de 12 caracteres mixta |
*Asumiendo 100 mil millones de intentos por segundo con hardware de GPU moderno. Los expertos en seguridad recomiendan un mínimo de 80 bits de entropía para cuentas generales y 128+ bits para cuentas críticas como contraseñas maestras de correo electrónico, bancarias y claves de cifrado.
Conjuntos de Caracteres y lo que Añaden a la Fortaleza
Incluir cada conjunto de caracteres adicionales multiplica el espacio de búsqueda que debe explorar el atacante. Aquí está cómo cada conjunto de caracteres contribuye a la entropía de la contraseña:
| Conjunto de Caracteres | Caracteres | Cuenta | Bits por Carácter |
|---|---|---|---|
| Letras minúsculas | a–z | 26 | 4.70 |
| Letras mayúsculas | A–Z | 26 | 4.70 |
| Dígitos | 0–9 | 10 | 3.32 |
| Símbolos comunes | !@#$%^&*()-_+= | 14 | 3.81 |
| Símbolos extendidos | []{}|;:',".<>?/`~ | 18 | 4.17 |
| Todos los caracteres ASCII impresos combinados | Todos los anteriores | 94 | 6.55 |
La mejora más impactante en cualquier contraseña es aumentar la longitud. Pasar de 12 a 16 caracteres con el conjunto ASCII completo agrega 4 × 6.55 = 26.2 bits adicionales de entropía — equivalente a multiplicar el espacio de búsqueda por aproximadamente 80 millones. La longitud siempre es más importante que la complejidad cuando no se pueden maximizar ambos simultáneamente.
Sin embargo, utilizar todos los tipos de caracteres juntos (mayúsculas, minúsculas, dígitos y símbolos) a una longitud determinada maximiza la entropía por carácter. Una contraseña de 12 caracteres con solo letras minúsculas tiene 56.4 bits de entropía; la misma longitud con todos los tipos de caracteres tiene 78.7 bits — un 40% de mejora sin agregar un solo carácter.
Consejos para Contraseñas
La guía actual de NIST (Publicación Especial 800-63B), investigadores de seguridad y estándares de la industria han evolucionado significativamente desde las recomendaciones anteriores. Aquí están los consejos más actuales:
- Longitud sobre complejidad: Una contraseña de 20 caracteres aleatoria es más fuerte y más memorable que una contraseña de 12 caracteres con símbolos pesados. NIST recomienda al menos 8 caracteres, pero los profesionales de la seguridad recomiendan 12–16 caracteres para cuentas estándar y 20+ para cuentas críticas.
- Contraseñas únicas por sitio: Casi el 85% de las violaciones de datos involucran relleno de credenciales — atacantes probando combinaciones de usuario/contraseña robadas de una violación en otras servicios. Cada cuenta necesita una contraseña única.
- Usar un administrador de contraseñas: Herramientas como Bitwarden (gratis, de código abierto), 1Password, KeePass o Dashlane generan y almacenan contraseñas únicas de manera segura. Solo necesitas recordar una contraseña maestra. Los administradores de contraseñas son la mejora más efectiva para la seguridad personal.
- Activar la autenticación en dos factores (2FA): Incluso una contraseña comprometida se vuelve mucho más difícil de explotar con 2FA. Utiliza una aplicación de autenticador (Google Authenticator, Authy o una llave de hardware como YubiKey). Evita la 2FA basada en SMS cuando sea posible, ya que es vulnerable a ataques de reemplazo de SIM.
- Verificar bases de datos de violaciones: Utiliza haveibeenpwned.com para verificar si tu correo electrónico o contraseñas aparecen en bases de datos de violaciones conocidas. Si una contraseña aparece en una base de datos de violaciones, cámbiala inmediatamente, incluso si parece fuerte.
- No rotar contraseñas con un horario: La guía actualizada de NIST recomienda explícitamente contra el cambio periódico de contraseñas. El cambio periódico lleva a modificaciones predecibles ("Password1" → "Password2"). Cambia las contraseñas solo cuando haya evidencia de compromiso.
Errores comunes en contraseñas y cómo evitarlos
Los atacantes utilizan ataques de diccionario (pruebas de palabras comunes, nombres y patrones) antes de recurrir a la fuerza bruta. Las herramientas de cracking de contraseñas modernas utilizan conjuntos de reglas sofisticados que predicen comportamientos humanos comunes. Evite estos errores comunes:
| Error | Ejemplo | Por qué es débil | Alternativa mejor |
|---|---|---|---|
| Palabras comunes | password, admin, welcome | En cada diccionario de crackers | Caracteres aleatorios o frase de contraseña |
| Información personal | john1985, fluffy123 | Se puede encontrar fácilmente en las redes sociales | No incluir datos personales en contraseñas |
| Patron de teclado | qwerty, 123456, asdfgh | Entre los primeros patrones probados | Selección de caracteres aleatorios |
| Sustituciones predecibles | p@ssw0rd, h3llo | Reglas de leet-speak estándar en todos los crackers | Generación de caracteres aleatorios completa |
| Contraseñas cortas | Cualquier una de menos de 8 caracteres | Crackeable en segundos a minutos | Mínimo 12 caracteres |
| Reutilización de contraseñas | La misma contraseña en correo electrónico y banco | Una brecha compromete todos los cuentas | Contraseña única por servicio |
| Modificaciones ligeras | Summer2024 → Summer2025 | Los atacantes prueban variaciones secuenciales | Contraseña completamente nueva y aleatoria |
| Agregar números al final | password123 | Agregar dígitos es una regla estándar | Números mezclados a lo largo |
Las contraseñas más comúnmente rocas en todo el mundo (por análisis de bases de datos de brechas) son: 123456, password, 123456789, qwerty, 12345678, 111111, 1234567890, 1234567, password1 y qwerty123. Si tu contraseña se asemeja a alguno de estos patrones, cámbiala inmediatamente.
Frases de contraseña: la alternativa memorable
Una frase de contraseña es una secuencia de palabras seleccionadas aleatoriamente utilizada como contraseña. Las frases de contraseña son generalmente más largas que las contraseñas tradicionales, lo que las hace más difíciles de crackear, mientras que son significativamente más fáciles de recordar. El concepto se popularizó con el cómic de XKCD "caballo correcto batería clavo".
| Tipo de frase de contraseña | Ejemplo | Entropía (bits) | Memorabilidad |
|---|---|---|---|
| 3 palabras aleatorias (7,776 lista) | blanket-topaz-furnace | 38.8 | Fácil de recordar |
| 4 palabras aleatorias (7,776 lista) | correct-horse-battery-staple | 51.7 | Buen equilibrio |
| 5 palabras aleatorias (7,776 lista) | blanket-topaz-furnace-mango-cliff | 64.6 | Esfuerzo moderado |
| 6 palabras aleatorias (7,776 lista) | six-word-phrase-requires-more-effort | 77.5 | Más difícil pero manejable |
| 4 palabras + número + símbolo | correct-Horse-battery7-staple! | ~65+ | Buen con variación |
El requisito crítico para la seguridad de la frase de contraseña es que las palabras deben ser seleccionadas aleatoriamente — no una frase significativa, cita, letra de canción o oración que dirías naturalmente. "Me encanta a mi perro mucho" es una mala frase de contraseña porque es predecible. "Blanket-topaz-furnace-mango" es excelente porque la combinación de palabras es aleatoria y inesperada.
Para generar una frase de contraseña, utilice el método Diceware: ruede cinco dados para obtener un número de cinco dígitos, luego busque la palabra correspondiente en una lista de palabras Diceware (que contiene 7,776 palabras). Repita para cada palabra. Alternativamente, utilice un generador de frases de contraseña en su administrador de contraseñas, que automatiza este proceso de manera segura.
Administradores de contraseñas: su centro de seguridad
Un administrador de contraseñas es software que genera, almacena y rellena automáticamente contraseñas únicas para cada una de sus cuentas. Es la herramienta de seguridad más recomendada por todas las organizaciones de ciberseguridad importantes. Aquí hay una comparación de las opciones más populares:
| Administrador de contraseñas | Precio | Abierto fuente | Plataformas | Característica clave |
|---|---|---|---|---|
| Bitwarden | Gratis (premium $10/año) | Sí | Todas las plataformas + navegador | Mejor opción gratuita; auto-hospedable |
| 1Password | $36/año | No | Todas las plataformas + navegador | Monitoreo de brechas de Watchtower |
| KeePass / KeePassXC | Gratis | Sí | Escritorio (plataformas cruzadas) | Almacenamiento local solo; sin sincronización en la nube |
| Dashlane | $60/año | No | Todas las plataformas + navegador | VPN integrado; monitoreo de la dark web |
| Apple Keychain | Gratis | No | Ecología de Apple solo | Seamless en iPhone, iPad, Mac |
| Administrador de contraseñas de Google | Gratis | No | Chrome + Android | Integrado en el navegador de Chrome |
Al elegir un administrador de contraseñas, priorice: cifrado de cero conocimiento (la empresa no puede leer sus contraseñas), disponibilidad de varias plataformas, generación de contraseñas seguras y monitoreo de brechas. Su contraseña maestra — la contraseña que debe recordar — debe ser una frase de contraseña fuerte de 5+ palabras aleatorias con al menos 70 bits de entropía.
La transición a un administrador de contraseñas no necesita hacerse de golpe. Comience agregando sus cuentas más críticas (correo electrónico, banco, redes sociales) y agregue gradualmente otras a medida que inicia sesión en ellas. La mayoría de los administradores pueden importar contraseñas de los navegadores para acelerar la migración.
Métodos de Autenticación de Dos Factores (2FA) Comparados
Even el password más fuerte proporciona solo una capa de defensa. La autenticación de dos factores agrega una segunda capa que requiere algo que tienes (un teléfono o una llave de hardware) además de algo que sabes (tu contraseña).
| Método de 2FA | Nivel de seguridad | Conveniencia | Vulnerabilidad |
|---|---|---|---|
| Llave de seguridad de hardware (YubiKey, Titan) | Más alto | Moderado — requiere una llave física | Imune a la pesca de tiburones |
| Apli de autenticador (TOTP) | Alto | Alto — código en tu teléfono | Vulnerable si el teléfono está comprometido |
| Notificación de empuje (Duo, MS Authenticator) | Alto | Muy alto — toca para aprobar | Ataques de "fatiga de MFA" (solicitudes repetidas) |
| Mensaje de texto de SMS | Moderado | Muy alto — no se necesita ninguna aplicación | Intercepción de SIM, SS7 |
| Código de correo electrónico | Bajo-Moderado | Alto | Compromiso de la cuenta de correo electrónico |
| Preguntas de seguridad | Bajo | Alto | Respuestas a menudo disponibles públicamente |
Para una seguridad máxima, utilice una llave de seguridad de hardware (FIDO2/WebAuthn) para sus cuentas más críticas. Para cuentas diarias, un aplicativo de autenticador como Google Authenticator, Authy o Microsoft Authenticator proporciona un excelente equilibrio entre seguridad y conveniencia. Cualquier forma de 2FA es mucho mejor que la autenticación de contraseña solo.
¿Cómo Funciona la Cracking de Contraseñas?
Entender cómo los atacantes rompen contraseñas ayuda a explicar por qué las contraseñas aleatorias y largas son esenciales. La cracking de contraseñas moderna implica varias técnicas, cada una que explota diferentes debilidades en la selección de contraseñas.
| Tipo de ataque | ¿Cómo funciona? | Velocidad | ¿Qué lo supera? |
|---|---|---|---|
| Ataque por fuerza bruta | Intenta cada combinación posible sistemáticamente | Billones por segundo (GPU) | Contraseñas cortas de cualquier tipo |
| Ataque de diccionario | Prueba palabras comunes, nombres y frases | Millones por segundo | Cualquier contraseña basada en palabras reales |
| Ataque basado en reglas | Aplica transformaciones a palabras del diccionario (capitalizar, agregar números, leet-speak) | Millones por segundo | Modificaciones predecibles como "P@ssw0rd" |
| Ataque de credenciales | Prueba pares de usuario/contraseña de sitios web comprometidos | Miles por segundo | Contraseñas reutilizadas en servicios |
| Tabla de arcoíris | Usa tablas de búsqueda de hash a contraseña precalculadas | Búsqueda instantánea | Hashes de contraseñas sin sal |
| Phishing | Engaña al usuario para que ingrese la contraseña en un sitio falso | N/A (ingeniería social) | Cualquier contraseña sin 2FA |
Los clústeres de GPU modernos que ejecutan herramientas como Hashcat pueden probar más de 100 mil millones de hashes MD5 por segundo, o aproximadamente 10 mil millones de hashes bcrypt por segundo con hardware especializado. Esto es por qué la longitud de la contraseña importa tanto — cada carácter adicional multiplica el tiempo requerido por el tamaño del conjunto de caracteres. Una contraseña generada aleatoriamente de 16 caracteres utilizando todos los caracteres ASCII imprimibles tomaría más tiempo que la edad del universo para ser rota por fuerza bruta, incluso con el hardware más rápido disponible hoy en día. Sin embargo, ninguna contraseña de longitud alguna protege contra el phishing — lo que es por qué la autenticación de dos factores sigue siendo esencial como capa de defensa complementaria.
Preguntas Frecuentes
¿Cuánto debe ser de largo una contraseña segura?
Al menos 12–16 caracteres para cuentas estándar. Para cuentas financieras y críticas (correo electrónico, bancarias, contraseña de administrador de contraseñas), utilice 20+ caracteres o una contraseña de varias palabras. La longitud es más importante que la complejidad — una contraseña de 20 caracteres en minúsculas tiene más entropía que una contraseña de 10 caracteres con símbolos.
¿Son seguras las contraseñas generadas al azar?
Las contraseñas generadas deben almacenarse en un administrador de contraseñas de reputación (Bitwarden, 1Password, KeePass), no en un archivo de texto, almacenamiento de navegador solo o en notas pegajosas. Los administradores de contraseñas cifran su almacén con su contraseña maestra — incluso si la servicio es comprometido, las contraseñas individuales permanecen cifradas y seguras.
¿Qué hace que una contraseña sea fácil de romper para los ordenadores?
Longitud corta, palabras comunes o patrones, información personal y reutilización en sitios. Los GPUs modernos pueden probar miles de millones de contraseñas por segundo. Una contraseña de 8 caracteres en minúsculas tiene solo 208 mil millones de combinaciones — factible para romper en horas. Una contraseña de 16 caracteres aleatoria que utiliza todos los tipos de caracteres tiene aproximadamente 10^31 combinaciones — inaccesible durante décadas incluso con hardware dedicado.
¿Es seguro utilizar una contraseña de varias palabras en lugar de una compleja?
Sí — las contraseñas de varias palabras que consisten en 4 o más palabras seleccionadas al azar (como "correct-horse-battery-staple") son altamente seguras y significativamente más memorables. Una contraseña de 4 palabras de una lista de 7,776 palabras Diceware tiene 51,7 bits de entropía; una contraseña de 6 palabras tiene 77,5 bits. El requisito clave es que las palabras deben ser seleccionadas al azar, no una frase significativa que dirías naturalmente.
¿Debo cambiar mis contraseñas con regularidad?
La guía actual de NIST (SP 800-63B) dice que la expiración de contraseñas rutinaria es contraproducente — conduce a modificaciones predecibles ("Password1" → "Password2") y una seguridad general más débil. Cambie las contraseñas solo cuando haya evidencia de compromiso, como una notificación de robo de datos. Las contraseñas fuertes y únicas que no han sido comprometidas no necesitan rotación.
¿Qué es la autenticación en dos factores (2FA) y ¿debería utilizarla?
La autenticación en dos factores requiere una segunda forma de verificación más allá de tu contraseña — típicamente un código de un aplicativo de autenticador o una clave de seguridad de hardware. Sí, debes habilitar la 2FA en cada cuenta que lo soporte. Incluso si tu contraseña es comprometida, el atacante no puede acceder a tu cuenta sin el segundo factor. Los aplicativos de autenticador se prefieren sobre los códigos de SMS.
¿Cómo funcionan los administradores de contraseñas?
Los administradores de contraseñas generan y almacenan contraseñas únicas para cada una de tus cuentas en un almacén cifrado. Lo desbloqueas con una contraseña maestra. El administrador rellena automáticamente los formularios de inicio de sesión para que nunca necesites recordar o escribir contraseñas individuales. La mayoría utilizan cifrado de conocimiento cero, lo que significa que incluso el proveedor del servicio no puede leer tus contraseñas almacenadas.
¿Qué pasa si mi administrador de contraseñas se ve hackeado?
Los administradores de contraseñas de reputación utilizan cifrado de conocimiento cero — tus contraseñas están cifradas localmente con tu contraseña maestra antes de ser almacenadas en sus servidores. Incluso en una brecha de servidor, los atacantes obtienen solo datos cifrados que no pueden leer sin tu contraseña maestra. Esto es por qué una contraseña maestra fuerte y única (idealmente una contraseña de 5+ palabras) es esencial. La brecha de LastPass de 2022 demostró esto: si bien los almacenes cifrados se robaron, los almacenes cifrados con contraseñas maestras fuertes permanecieron seguros.
¿Es seguro dejar que mi navegador guarde contraseñas?
Las contraseñas guardadas en el navegador son convenientes pero menos seguras que los administradores de contraseñas dedicados. Los navegadores almacenan contraseñas con cifrado vinculado a tu cuenta de sistema operativo, lo que significa que cualquier persona con acceso a tu sesión de computadora puede verlas. Los administradores de contraseñas ofrecen cifrado más fuerte, soporte de varios navegadores, compartición segura, monitoreo de brechas y características de bloqueo. Para la seguridad máxima, utilice un administrador de contraseñas dedicado y desactive la función de guardar contraseñas del navegador.
¿Cómo puedo crear una contraseña maestra fuerte que pueda recordar?
Utilice el método Diceware: rueda cinco dados para obtener un número de cinco dígitos, busca la palabra correspondiente en la lista de palabras Diceware y repite para 5-6 palabras. Conecta con guiones o espacios. Ejemplo: "blanket-topaz-furnace-mango-cliff" tiene aproximadamente 64 bits de entropía y es relativamente fácil de memorizar a través de visualización. Practique escribiéndola varias veces durante varios días hasta que se convierta en automático.
{"@context":“https://schema.org”,"@type":“WebApplication”,“name”:“Generador de contraseñas”,“description”:“Genera contraseñas fuertes y aleatorias de cualquier longitud. Personaliza con mayúsculas, minúsculas, números y caracteres especiales.”,“url”:“https://running-calculator.com/password-generator/","applicationCategory":"UtilityApplication","operatingSystem":"Any","offers":{"@type":"Offer","price":"0","priceCurrency":"USD"}}