Cómo crear contraseñas seguras — guía online
Una contraseña segura es la primera línea de defensa contra el acceso no autorizado a tus cuentas. Aunque la mayoría de los servicios requieren hoy en día autenticación de dos factores, una contraseña débil sigue siendo una amenaza grave. Según informes de seguridad, más del 80% de las intrusiones se deben al uso de contraseñas débiles o robadas.
¿Quieres generar una contraseña fuerte de inmediato?
Generador de contraseñas seguras¿Qué hace que una contraseña sea segura?
La fortaleza de una contraseña depende de varios factores. Cuanto más larga sea la contraseña y más variados sean los caracteres, más difícil será descifrarla mediante ataques de fuerza bruta o de diccionario.
Mínimo 12 caracteres. Cada carácter adicional aumenta exponencialmente el número de combinaciones que un atacante debe comprobar.
La contraseña debe ser aleatoria — no basarse en palabras, fechas ni patrones predecibles.
Las letras mayúsculas y minúsculas, los dígitos y los caracteres especiales (!@#$%) aumentan considerablemente el espacio de combinaciones posibles.
Cada cuenta debe tener una contraseña diferente. Una brecha en un servicio no debería comprometer el resto de tus cuentas.
¿Cuánto tiempo se tarda en descifrar una contraseña?
La siguiente tabla muestra el tiempo estimado para descifrar contraseñas por fuerza bruta, asumiendo 10 mil millones de intentos por segundo (posible con una GPU).
| Longitud | Solo letras minúsculas | + mayúsculas + dígitos | + caracteres especiales |
|---|---|---|---|
| 6 | al instante | 2 segundos | 5 segundos |
| 8 | 5 minutos | 1 hora | 8 horas |
| 10 | 3 días | 3 años | centuries |
| 12 | 200 años | 34 000 años | siglos |
| 16 | billones de años | billones de años | billones de años |
Errores más comunes al crear contraseñas
¿Cómo crear contraseñas que no olvidarás?
Existen varios métodos probados para crear contraseñas que sean a la vez fuertes y fáciles de recordar.
Combina 4–5 palabras aleatorias en una frase. Larga, fácil de recordar, difícil de descifrar.
Toma una frase que recuerdes y usa la primera letra de cada palabra.
El mejor método — genera contraseñas completamente aleatorias y guárdalas en un gestor de contraseñas (Bitwarden, 1Password, KeePass). Solo necesitas recordar una contraseña maestra.
Gestores de contraseñas — ¿merecen la pena?
Un gestor de contraseñas es una aplicación que almacena de forma segura todas tus contraseñas cifradas con una contraseña maestra. Te permite usar contraseñas únicas y fuertes para cada servicio sin necesidad de memorizarlas.
Código abierto, plan gratuito, sincronización entre dispositivos. Recomendado para la mayoría de los usuarios.
De pago, excelente interfaz, modo viaje. Popular en entornos empresariales.
Código abierto, local — los datos no van a la nube. Para usuarios avanzados.
Genera una contraseña segura ahora
Nuestro generador crea contraseñas completamente aleatorias con posibilidad de elegir la longitud y el conjunto de caracteres — directamente en el navegador, sin enviar datos a ningún servidor.
Abrir el generador de contraseñasAutenticación de dos factores (2FA)
Incluso la contraseña más fuerte puede ser robada mediante phishing o una filtración de base de datos. Por eso, activa siempre la autenticación de dos factores (2FA) donde sea posible. Aplicaciones como Google Authenticator, Authy o llaves de hardware como YubiKey añaden una capa adicional de protección — aunque alguien conozca tu contraseña, no podrá iniciar sesión en tu cuenta sin el segundo factor.
Preguntas frecuentes
Mínimo 12 caracteres — cuanto más larga, mejor. Las contraseñas de 16 caracteres o más son prácticamente imposibles de descifrar por fuerza bruta incluso con hardware especializado. Si usas un gestor de contraseñas, utiliza contraseñas generadas aleatoriamente de 20 o más caracteres.
Contrariamente a las antiguas recomendaciones, el cambio periódico de contraseña cada 30–90 días ya no es recomendado por el NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.). Cambia tu contraseña cuando: sospechas que ha sido robada, un servicio te ha notificado una filtración de datos, o iniciaste sesión en un ordenador no confiable.
Nuestro generador funciona completamente en el navegador — las contraseñas se generan localmente y nunca llegan a ningún servidor. Usamos la API criptográfica integrada del navegador (crypto.getRandomValues) que proporciona aleatoriedad criptográficamente segura.
En absoluto. Si un servicio es hackeado y tu contraseña se filtra, los atacantes la probarán automáticamente en decenas de otros servicios (credential stuffing). Cada cuenta debe tener una contraseña única — un gestor de contraseñas resuelve el problema de memorizarlas.
Un ataque de diccionario consiste en probar miles o millones de contraseñas comunes, palabras del diccionario y sus variaciones populares (p. ej. sustituir 'a' por '@', añadir '123' al final). Por eso, las contraseñas basadas en palabras — incluso con modificaciones simples — son débiles. Solo las contraseñas completamente aleatorias son resistentes a este tipo de ataque.
HaveIBeenPwned (haveibeenpwned.com) es un servicio gratuito que permite comprobar si tu dirección de correo electrónico o contraseña ha aparecido en filtraciones de datos conocidas. Conviene comprobar regularmente tu dirección de correo y cambiar de inmediato las contraseñas de los servicios afectados.
No — la variedad de tipos de caracteres es importante, pero no sustituye a la longitud y la aleatoriedad. La contraseña 'KOTKOTKOT' es más débil que 'kx9#mP2q' aunque use solo letras mayúsculas. Las contraseñas más fuertes combinan longitud (12+ caracteres), aleatoriedad y distintos tipos de caracteres.