Como verificar la fortaleza de tu contrasena: que hace a una contrasena segura en 2026
Aprende a evaluar la seguridad de tus contrasenas. Entropia, ataques de fuerza bruta, diccionarios, y como crear contrasenas realmente seguras.
Que hace a una contrasena segura: los factores reales
La fortaleza de una contrasena se mide por entropia — cuantas combinaciones posibles tiene. Mas combinaciones = mas tiempo para crackear.
Factores que aumentan la entropia:
- Longitud: El factor mas importante. Cada caracter adicional multiplica las combinaciones. 8 chars = 95^8 ≈ 6.6 trillones. 12 chars = 95^12 ≈ 540 cuatrillones.
- Pool de caracteres: Letras minusculas (26) + mayusculas (26) + numeros (10) + simbolos (33) = 95 caracteres posibles.
- Aleatoriedad: "Password1!" tiene 10 chars pero es predecible. "x#7Km9!pQ2" tiene 10 chars pero es aleatorio. La aleatoriedad es crucial.
Lo que NO indica fortaleza:
- Sustituir letras por numeros (P@ssw0rd → los atacantes prueban esto primero)
- Agregar "1!" al final (patron conocido, en todos los diccionarios de ataques)
- Usar datos personales (nombre, fecha de nacimiento, mascota)
Genera contrasenas seguras con el generador de contrasenas de NexTools.
Cuanto tarda en crackearse tu contrasena
Con una GPU moderna (RTX 4090, ~10 mil millones de hashes/segundo para MD5):
| Tipo de contrasena | Ejemplo | Entropia | Tiempo de crackeo |
|---|---|---|---|
| 6 chars, solo minusculas | hqkmpz | ~28 bits | Instantaneo (<1 seg) |
| 8 chars, mixto+numero | hQ3kMp9z | ~48 bits | ~8 horas |
| 8 chars, todo incluido | hQ3!Mp@z | ~53 bits | ~3 dias |
| 12 chars, todo incluido | hQ3!Mp@zK9#w | ~79 bits | ~600,000 anos |
| 16 chars, todo incluido | hQ3!Mp@zK9#wR5&n | ~105 bits | ~1 trillon de anos |
| Passphrase 4 palabras | caballo-bateria-sol | ~52 bits | ~100 horas |
| Passphrase 5 palabras | caballo-bateria-sol-nube-rojo | ~65 bits | ~89 anos |
Nota: Estos tiempos asumen hash MD5 (rapido). Con bcrypt (lento, disenado para contrasenas), los tiempos se multiplican por ~100,000.
Consulta nuestra guia sobre hashes y seguridad para entender como se almacenan las contrasenas.
Ataques comunes contra contrasenas
1. Fuerza bruta: Probar todas las combinaciones. Efectivo contra contrasenas cortas. Inviable contra 12+ chars aleatorios.
2. Diccionario: Probar palabras comunes y sus variaciones (Password → P@ssw0rd → password1 → Password!). Los diccionarios de ataque tienen millones de contrasenas reales filtradas.
3. Credential stuffing: Usar contrasenas filtradas de un servicio en otros servicios. Si usas la misma contrasena en Gmail y tu banco, al filtrarse Gmail tu banco queda expuesto.
4. Phishing: Engañarte para que escribas tu contrasena en un sitio falso. Ningun generador te protege de esto — la defensa es 2FA y verificar URLs.
5. Keylogger: Malware que registra lo que escribes. Defensa: antivirus actualizado y 2FA (el codigo 2FA cambia cada 30 segundos).
Para passphrases (alternativa a contrasenas), lee nuestro articulo sobre passphrase vs password.
Las contrasenas mas comunes en 2026 (y por que son terribles)
NordPass publica anualmente las 200 contrasenas mas usadas. Las 10 primeras de 2025:
123456— usada por 4.5 millones de personas12345678912345678passwordqwerty123qwerty111111112345secret123123
Todas se crackean en menos de 1 segundo. Si usas alguna de estas, cambiala YA.
Genera una contrasena segura en 1 clic con el generador de NexTools.
2FA (autenticacion de dos factores): la capa que salva
Incluso con contrasena perfecta, 2FA agrega proteccion critica:
Tipos de 2FA (de mas a menos seguro):
- Hardware key (YubiKey, Titan): Inmune a phishing. La opcion mas segura.
- TOTP (Google Authenticator, Authy): Codigo de 6 digitos que cambia cada 30 seg. Muy seguro.
- Push notifications (app del banco): Seguro si verificas el contenido del push.
- SMS: Vulnerable a SIM swapping. Mejor que nada pero el peor 2FA.
Estadistica: Google reporto que 2FA bloquea el 99.9% de ataques automatizados, el 96% de phishing y el 76% de ataques dirigidos.
Gestor de contrasenas: la solucion definitiva
El unico sistema que permite contrasenas unicas, largas y aleatorias para cada servicio:
Flujo correcto:
- Instala un gestor (Bitwarden gratis, 1Password premium)
- Crea una passphrase de 5+ palabras como master password
- Para cada cuenta: genera contrasena aleatoria de 16-20 chars con el gestor
- Activa 2FA en cuentas importantes (email, banco, redes sociales)
Objecion comun: "Si hackean el gestor, pierdo todo." Respuesta: Tu base de datos esta cifrada con AES-256 usando tu master password. Sin ella, es impenetrable. Bitwarden y 1Password han sido auditados independientemente y nunca han tenido filtraciones de datos.
Como alternativa para recordar, genera passphrases con el generador de passphrases de NexTools.
Reglas de contrasenas en 2026: lo que cambio
Las guias del NIST (National Institute of Standards and Technology) cambiaron significativamente:
Reglas OBSOLETAS (pre-2017):
- Cambiar contrasena cada 90 dias → ELIMINADO. Causa contrasenas peores (Password1, Password2, Password3...)
- Requiere mayusculas+minusculas+numeros+simbolos → ELIMINADO. No mejora seguridad si la contrasena es corta
- Preguntas de seguridad ("nombre de tu mascota") → ELIMINADO. Adivinables por redes sociales
Reglas ACTUALES (NIST SP 800-63B):
- Minimo 8 caracteres, recomendado 15+
- Verificar contra listas de contrasenas filtradas (Have I Been Pwned)
- Permitir passphrases (espacios y puntuacion)
- NO forzar cambios periodicos
- NO requerir composicion especifica
- SI implementar 2FA
Como verificar si tu contrasena fue filtrada
Have I Been Pwned (haveibeenpwned.com): Creado por Troy Hunt. Verifica si tu email o contrasena aparece en filtraciones conocidas. Tiene 12+ mil millones de cuentas filtradas indexadas.
Como funciona sin enviar tu contrasena: HIBP usa k-anonymity. Tu contrasena se hashea con SHA-1, se envian los primeros 5 caracteres del hash, y el servidor retorna todos los hashes que empiezan asi. Tu navegador compara localmente. Tu contrasena completa NUNCA sale de tu computadora.
Si tu contrasena esta filtrada: Cambiala inmediatamente en todos los servicios donde la usas. Genera una nueva con el generador de NexTools.
Prueba esta herramienta:
Abrir herramienta→Preguntas frecuentes
Que longitud debe tener una contrasena segura
Minimo 12 caracteres para contrasenas aleatorias. Recomendado: 16+ para cuentas importantes. Para passphrases: 4+ palabras aleatorias. La longitud es mas importante que la complejidad (simbolos, mayusculas).
Es seguro usar la misma contrasena en varios sitios
No. Si un sitio sufre una filtracion, el atacante prueba esa contrasena en todos los demas (credential stuffing). Usa una contrasena unica por servicio, generada y almacenada por un gestor.
Cambiar la contrasena cada 90 dias mejora la seguridad
No. NIST elimino esta regla en 2017. Los cambios periodicos causan contrasenas peores (Password1→Password2). Solo cambia si sospechas que fue comprometida o si aparece en Have I Been Pwned.
P@ssw0rd! es una contrasena segura
No. Las sustituciones letra→numero (a→@, o→0, s→$) estan en todos los diccionarios de ataques. Los atacantes las prueban automaticamente. 'P@ssw0rd!' se crackea en segundos.
2FA es realmente necesario si tengo buena contrasena
Si. Incluso contrasenas perfectas pueden filtrarse (phishing, keyloggers, filtraciones de bases de datos). 2FA bloquea el 99.9% de ataques automatizados segun Google. Es la capa de seguridad mas impactante que puedes agregar.
Es seguro guardar contrasenas en el navegador
Moderadamente. Chrome y Firefox cifran las contrasenas con tu credencial del SO. Es mejor que reusar contrasenas pero peor que un gestor dedicado (Bitwarden, 1Password) que ofrece 2FA para el vault, comparticion segura y auditorias de seguridad.