La mayoría de las contraseñas que usa la gente se rompen en segundos. No porque el atacante "adivine", sino porque prueba millones de combinaciones por segundo y porque reutilizamos las mismas claves por todas partes. En esta guía verás qué hace fuerte a una contraseña de verdad y cómo generar y gestionar las tuyas sin volverte loco.
Qué hace fuerte a una contraseña
La fuerza de una contraseña se mide en entropía: cuántas combinaciones posibles hay. Y la entropía depende de dos cosas:
- Longitud: es el factor más importante. Cada carácter extra multiplica las combinaciones.
- Variedad: mezclar minúsculas, mayúsculas, números y símbolos aumenta el abanico por carácter.
Una contraseña de 8 caracteres, aunque tenga símbolos, hoy se considera débil. El mínimo razonable son 12-16 caracteres, y cuantos más, mejor.
El error que mata: reutilizar contraseñas
Aunque tu contraseña sea fuerte, si la usas en 10 sitios y uno sufre una filtración, los atacantes la probarán automáticamente en los otros nueve (esto se llama credential stuffing). La regla de oro: una contraseña distinta para cada servicio.
Y aquí está el problema real: nadie puede recordar 100 contraseñas únicas y largas. La solución no es la memoria, es un sistema.
Las dos estrategias que funcionan
1. Generador + gestor de contraseñas
Genera contraseñas aleatorias y largas con una herramienta, y guárdalas en un gestor (el del navegador o uno dedicado). Tú solo recuerdas la contraseña maestra; el gestor recuerda el resto. Es la opción más segura y cómoda.
Puedes generar contraseñas fuertes gratis con el generador de contraseñas de esta web, que las crea con la API criptográfica del navegador (crypto), sin enviarlas a ningún servidor.
2. Passphrases (frases de contraseña)
Si necesitas una contraseña que sí vas a teclear y recordar (como la maestra del gestor), usa una passphrase: varias palabras aleatorias juntas, por ejemplo caballo-batería-grapa-correcto. Son largas (mucha entropía) y más fáciles de recordar que un galimatías de símbolos.
Por qué generar contraseñas en local importa
Si una web genera tu contraseña en su servidor, esa contraseña ha viajado por internet antes de que la uses. Un generador que funciona en tu navegador crea la clave localmente con un generador de números aleatorios criptográficamente seguro (crypto.getRandomValues), y nunca sale de tu dispositivo. Para algo tan sensible como una contraseña, esto es esencial.
Errores comunes que debes evitar
- Sustituciones obvias:
P@ssw0rdno engaña a nadie; los crackers conocen todos esos trucos. - Datos personales: nombres, fechas de nacimiento, mascotas. Lo primero que se prueba.
- Patrones de teclado:
qwerty,123456,asdfgh. - Contraseñas cortas con "complejidad": 8 caracteres con símbolos siguen siendo pocos. La longitud manda.
- Reutilizar la maestra del gestor en otro sitio. Esa solo va en un sitio: el gestor.
Comprueba la fuerza antes de usarla
Un buen generador te indica la fuerza estimada y el tiempo aproximado que tardaría en romperse por fuerza bruta. Úsalo como guía: si una contraseña se rompería en horas o días, alárgala.
Preguntas frecuentes
¿Cada cuánto debo cambiar mis contraseñas? Solo si hay sospecha de filtración. Cambiarlas a lo loco cada mes empeora la seguridad (la gente acaba usando variantes débiles).
¿Es seguro el gestor del navegador? Sí, los modernos cifran las contraseñas. Un gestor dedicado añade funciones, pero el del navegador ya es muchísimo mejor que reutilizar claves.
¿Importan los símbolos? Ayudan, pero la longitud importa más. Una contraseña larga sin símbolos puede ser más fuerte que una corta con ellos.
¿Se suben mis contraseñas al generarlas? No, si usas un generador local. Todo se crea en tu navegador.
Genera contraseñas fuertes y únicas gratis con el generador de contraseñas, con la API criptográfica del navegador y sin que tu clave salga nunca de tu dispositivo.