Cómo generar y usar contraseñas seguras paso a paso
Fortaleza de contraseñas — qué significan los niveles
Tabla de fortaleza y tiempo de crackeo estimado
| Nivel | Ejemplo | Combinaciones | Tiempo estimado (GPU) |
|---|---|---|---|
| Muy débil | abc123 | 2.200 millones | Menos de 1 segundo |
| Débil | Abc12345 | 218 billones | Segundos a minutos |
| Aceptable | Abc123!@# | 6,7 cuatrillones | Horas a días |
| Fuerte | xK9#mP2$qL5n | 475 sextillones | Décadas |
| Muy fuerte | xK9#mP2$qL5nR7@w | 3,4 × 10³¹ | Millones de años |
* Estimaciones basadas en ataques de fuerza bruta con GPU de gama alta (~10.000M intentos/seg contra MD5). Algoritmos de hash seguros como bcrypt son mucho más lentos y aumentan los tiempos exponencialmente.
📚 Referencias: NIST SP 800-63B · security.org · W3C WebCryptoAPILas cuentas más críticas para creadores de contenido
Prioridad alta — contraseñas de 16+ caracteres + 2FA obligatorio
Estas cuentas tienen impacto económico directo o dan acceso a toda tu presencia online. Una brecha en cualquiera de ellas puede significar la pérdida de ingresos o de la cuenta principal:
Prioridad media — contraseñas de 12+ caracteres
Herramientas SaaS, plataformas de diseño, hosting y otras herramientas de trabajo que no están directamente vinculadas a ingresos pero que podrían comprometer tu flujo de trabajo si se pierden. Para gestionar las fechas de renovación de estas cuentas, la calculadora de días entre fechas te ayuda a calcular exactamente cuándo vence cada suscripción.
Preguntas frecuentes sobre contraseñas seguras
Una contraseña segura combina longitud, variedad de caracteres y aleatoriedad. La longitud es el factor más importante: una contraseña de 16 caracteres con solo letras minúsculas tiene más combinaciones posibles que una de 8 con todos los tipos de caracteres. Los criterios mínimos recomendados actualmente son: al menos 12 caracteres, combinación de mayúsculas, minúsculas, números y símbolos, sin palabras del diccionario ni información personal (nombre, fecha de nacimiento), y única para cada cuenta. El NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.) recomienda desde su guía SP 800-63B priorizar la longitud sobre la complejidad. Verifica las recomendaciones actualizadas en pages.nist.gov/800-63-3.
El NIST y los principales organismos de ciberseguridad recomiendan un mínimo de 12 caracteres para cuentas personales y 16 o más para cuentas críticas como banca, correo principal o gestores de contraseñas. Con 12 caracteres usando letras, números y símbolos, una contraseña aleatoria tiene más de 475 sextillones de combinaciones posibles — inviable de descifrar por fuerza bruta con hardware actual. Cada carácter adicional multiplica exponencialmente la dificultad: pasar de 12 a 16 caracteres hace la contraseña aproximadamente 78 millones de veces más difícil de descifrar. Para cuentas de plataformas donde publicas contenido (YouTube, Instagram), usa siempre 16 caracteres o más. Verifica en pages.nist.gov/800-63-3.
Depende del funcionamiento de la herramienta. La mayoría de generadores online envían la solicitud a sus servidores y devuelven la contraseña generada — lo que significa que tu contraseña pasa por sistemas de terceros antes de llegar a ti. Esta herramienta usa Web Crypto API del W3C, que genera las contraseñas directamente en tu navegador usando el generador de números aleatorios criptográficamente seguro del sistema operativo (CSPRNG). Ningún dato se transmite a ningún servidor. Puedes verificarlo abriendo DevTools (F12) → pestaña Network y comprobando que no hay ninguna petición de red mientras generas contraseñas. La especificación de Web Crypto API está en w3.org/TR/WebCryptoAPI.
Si reutilizas la misma contraseña en varios servicios y uno de ellos sufre una brecha de seguridad, los atacantes obtienen acceso potencial a todas tus cuentas con esa contraseña — técnica conocida como credential stuffing. Según el informe de Verizon Data Breach Investigations Report, las credenciales robadas o reutilizadas son el vector de ataque más común en brechas de seguridad, implicadas en más del 80% de las intrusiones relacionadas con hacking. Un creador de contenido típico gestiona entre 15 y 30 cuentas. La única solución práctica es usar contraseñas únicas para cada cuenta, lo que requiere un gestor de contraseñas (Bitwarden, 1Password, KeePass) o anotar las contraseñas generadas en un lugar seguro. Verifica en haveibeenpwned.com si alguna de tus cuentas ha sido comprometida.
Un gestor de contraseñas es una aplicación que almacena todas tus contraseñas de forma cifrada y las introduce automáticamente cuando las necesitas. Es la única forma práctica de tener contraseñas únicas y seguras para todas tus cuentas sin tener que memorizarlas. Los más recomendados por la comunidad de ciberseguridad son Bitwarden (código abierto, gratuito, auditado), 1Password (de pago, muy usado en empresas) y KeePassXC (local, sin nube). El gestor de contraseñas integrado en Chrome, Firefox o Safari es una alternativa gratuita válida para usuarios no técnicos, aunque con menos funcionalidades. Nunca guardes contraseñas en documentos de texto, hojas de cálculo ni en el email. Verifica comparativas actualizadas en security.org y privacyguides.org.
El tiempo de crackeo es una estimación de cuánto tiempo tardaría un atacante en descifrar tu contraseña probando combinaciones sistemáticamente (ataque de fuerza bruta). Se calcula dividiendo el número total de combinaciones posibles entre la velocidad de prueba del atacante. Con hardware moderno (GPU de gama alta), un atacante puede probar varios miles de millones de combinaciones por segundo contra hashes MD5, o varios millones por segundo contra bcrypt. Una contraseña de 8 caracteres con todos los tipos se puede descifrar en minutos u horas con hardware actual. Una de 16 caracteres llevaría millones de años. Ten en cuenta que este estimado asume un ataque de fuerza bruta pura — un ataque de diccionario contra contraseñas predecibles puede ser mucho más rápido. Verifica calculadoras de seguridad en security.org/how-secure-is-my-password.
Los caracteres especiales (!@#$%^&*) aumentan el espacio de búsqueda de una contraseña y dificultan los ataques de fuerza bruta. Sin embargo, según la guía SP 800-63B del NIST, añadir caracteres especiales a una contraseña corta es mucho menos efectivo que simplemente aumentar la longitud. Una contraseña de 16 caracteres solo con letras y números es más segura que una de 8 con todos los tipos de caracteres. El inconveniente práctico de los caracteres especiales es que algunos servicios no los aceptan o los limitan, y en algunos teclados (especialmente en móvil o con distribuciones no españolas) son difíciles de introducir. La recomendación: usa caracteres especiales siempre que el servicio los acepte, pero prioriza la longitud. Verifica en pages.nist.gov/800-63-3.
La autenticación de dos factores (2FA) añade una segunda capa de seguridad que requiere verificar tu identidad con algo que tienes (un código temporal en tu móvil, una llave física) además de la contraseña. Incluso si alguien roba tu contraseña, no puede acceder a tu cuenta sin el segundo factor. Para creadores de contenido, el 2FA es especialmente importante en YouTube Studio, Instagram, TikTok, AdSense y PayPal — las cuentas con mayor impacto económico en caso de compromiso. La forma más segura de 2FA es una app de autenticación como Google Authenticator, Authy o Aegis (evita el 2FA por SMS, vulnerable a SIM swapping). Activa el 2FA en todas tus cuentas importantes independientemente de la fortaleza de tu contraseña. Verifica guías en support.google.com/accounts/answer/1066447.