¿Qué es la entropía de una contraseña y por qué importa?

La **entropía** (en bits) mide la imprevisibilidad de una contraseña. Cada bit extra **duplica** el número de intentos que necesita un atacante. Una contraseña de 10 bits = 1.024 posibilidades; 60 bits = más de un trillón de billones. Objetivos prácticos NIST SP 800-63B: 60–80 bits para cuentas personales (frase Diceware de 5 palabras ≈ 65 bits), 100+ bits para contraseña maestra. El palanca más eficiente: 3 caracteres aleatorios extra ≈ +20 bits — mucho más eficaz que añadir símbolos a una contraseña corta.

¿Qué longitud debe tener una contraseña segura?

**Al menos 16 caracteres** para cuentas importantes (correo, banca, contraseña maestra del gestor). Las contraseñas de 12 caracteres pueden romperse en menos de un día con hardware moderno usando patrones comunes. 16 caracteres aleatorios dan aproximadamente 95 bits de entropía — se necesitarían ~3,9×10^28 intentos incluso a 10.000 millones de intentos/segundo, muy por encima de la capacidad de ataque estatal.

¿Es una frase de contraseña más sólida que una contraseña aleatoria?

Una **frase Diceware de 5 palabras** (ej. 'lunar-cáliz-escarcha-parroquia-yunque') ofrece ~65 bits de entropía y es mucho más fácil de recordar que una cadena aleatoria de 12 caracteres. 6 palabras alcanzan ~78 bits — equivalente a una contraseña completamente aleatoria de 13 caracteres. Ambas son sólidas; las frases ganan en memorabilidad. Para todo lo demás, deja que un gestor genere una cadena aleatoria de 20 caracteres — sin necesidad de memorización.

¿Añadir símbolos y números hace una contraseña más fuerte?

Añadir símbolos **amplía el conjunto de caracteres** (de 26 a ~95 caracteres), lo que ayuda — pero el efecto es menor de lo que la gente cree. Pasar de 'solo letras' a 'letras + dígitos + símbolos' añade unos 15-20 bits de entropía para una contraseña de 10 caracteres. **Añadir 4 caracteres más añade lo mismo**. El verdadero palanca es la longitud, no la variedad de caracteres.

¿Qué hace predecible una contraseña aunque parezca compleja?

Los atacantes usan **cracking basado en reglas**: toman una palabra base, luego aplican transformaciones conocidas (mayúscula en la primera letra, añadir '123', sustituir 'a' → '@', poner '!' al final). 'P@ssword123!' cae en segundos con hardware moderno. Cualquier contraseña derivada de una palabra real, nombre, fecha o patrón de teclado es vulnerable sin importar los símbolos que se añadan.

¿Cómo ayuda un gestor de contraseñas a crear contraseñas seguras?

Un gestor tiene un **generador de contraseñas aleatorias** integrado: haz clic en 'Generar', crea '3tK#m9nRpQvL$8wX' para ese sitio, lo almacena cifrado con AES-256 o XChaCha20, y lo rellena automáticamente la próxima vez. Nunca vuelves a verla o escribirla. Solo memorizas tu contraseña maestra (hazla una frase de 6 palabras). Bitwarden es gratuito y open source; NordPass Premium ofrece UX pulida a 1,49 €/mes.

¿Qué es la entropía y por qué importa para las contraseñas?

La **entropía** (medida en bits) es la medida matemática de la imprevisibilidad de una contraseña. Cada bit de entropía duplica el número de intentos que necesita un atacante. Una contraseña de 10 bits = 1.024 posibilidades. Una de 60 bits = 1.152.921.504.606.846.976 posibilidades. La guía NIST SP 800-63B recomienda centrarse en la longitud más que en reglas de complejidad arbitrarias. Objetivo práctico: 60-80 bits para cuentas personales, 100+ bits para contraseñas maestras.

Cómo crear una contraseña segura: longitud, entropía y la solución gestor

El consejo que has escuchado cien veces — mezcla mayúsculas, números, símbolos — no está mal, pero es el factor secundario. Tras probar 8 gestores de contraseñas y estudiar bases de datos de filtraciones, el patrón es claro: la mayoría de contraseñas crackeadas eran cortas (menos de 14 caracteres) o reutilizadas, no porque les faltara un signo de exclamación.

Esto es lo que realmente hace fuerte una contraseña, explicado sin jerga.

La longitud supera a la complejidad. La unicidad supera a la longitud. Un gestor maneja ambas automáticamente.

01 — ¿Cómo crear una contraseña realmente segura?

Una contraseña segura combina 3 elementos: 16+ caracteres, única por sitio y verdaderamente aleatoria. El método más fiable: usar un gestor de contraseñas para generar una cadena aleatoria de 20 caracteres por sitio (tK3#mRpQ$wLnXb8v). Para la única contraseña maestra que memorices: una frase Diceware de 6 palabras (cueva-cáliz-escarcha-parroquia-yunque-penumbra ≈ 78 bits de entropía). Evitar: palabras del diccionario, fechas, sustituciones tipo p@ssw0rd — estos patrones son los primeros que comprueban las herramientas de cracking.

02 — Por qué la longitud es la variable real

La solidez de una contraseña se mide en bits de entropía — el número de elecciones aleatorias que intervienen en su creación. Cada bit adicional duplica el espacio de búsqueda que un atacante tiene que cubrir.

Ejemplo concreto:

Contraseña	Caracteres	Entropía	Tiempo para crackear a 10.000 M intentos/s
`Verano24`	8	~20 bits	Menos de un segundo
`V3r@no2024!`	11	~35 bits	Minutos
`caballo-correcto-establo`	24	~60 bits	36.000 años
Aleatoria 16 car. (mixta)	16	~95 bits	Muerte térmica del universo

La columna que importa es la última. V3r@no2024! parece compleja y respeta exactamente las reglas de complejidad que la mayoría de sitios exigen. Pero cae en minutos porque las herramientas de cracking aplican esas mismas reglas sistemáticamente.

La fórmula: cada 3 caracteres adicionales de una contraseña aleatoria añaden ~20 bits de entropía. Pasar de 12 a 16 caracteres es el cambio único más impactante que puedes hacer.

02 — La entropía explicada de forma sencilla

Piensa en la entropía como el número de contraseñas posibles dado cómo se construyó la tuya:

6 caracteres solo minúsculas (mono): 26^6 = 308 millones de combinaciones. Una GPU lo resuelve en segundos.
8 caracteres mayúsculas + dígitos (MiPerro7Q): 62^8 = 218 billones de combinaciones. Hardware rápido: pocas horas.
16 caracteres completamente aleatorios (tK3#mRpQ$wLnXb8v): 95^16 = 4×10^31 combinaciones. Fuera del alcance de cualquier atacante.

Donde la mayoría falla: usar una palabra real como base. Los atacantes no prueban cada combinación de caracteres — empiezan con diccionarios de los 10.000 millones de contraseñas más comunes, credenciales filtradas, nombres y palabras, luego aplican reglas de mutación. P@ssw0rd! cae en menos de un segundo porque ESTÁ en esos diccionarios.

Aleatorio = imprevisible. Eso es lo único que mide la entropía.

03 — El método Diceware / Frase de contraseña

Si necesitas una contraseña que puedas realmente escribir y recordar (tu contraseña maestra para un gestor, o el login de tu ordenador), una frase de contraseña es la mejor opción.

Método:

Consigue un dado físico (o usa la herramienta diceware online de EFF)
Lanza 5 veces para generar un número como 25341
Busca la palabra en la EFF Large Wordlist (o su equivalente en español)
Repite para 5-6 palabras
Separa con guiones o espacios

Resultado: algo como sótano-invocar-musgo-miedo-manta-gemir

5 palabras: ~65 bits de entropía
6 palabras: ~78 bits de entropía (equivalente a una contraseña completamente aleatoria de 13 caracteres)
Completamente memorable
Ningún patrón explotable por un atacante

Por qué funciona: las palabras fueron elegidas por verdadera aleatoriedad (un dado físico), no por tu cerebro. Las elecciones humanas son predecibles — escogemos palabras que conocemos, cosas que nos gustan, fechas que importan. Un dado no lo hace.

04 — Errores comunes que debilitan una contraseña fuerte

Entender qué hace débil una contraseña es tan importante como saber qué la hace fuerte.

Sustituciones predecibles: p@ssword, 3mail, s3gur1d@d — estos intercambios de caracteres llevan 15 años en las reglas de cracking. Añaden casi nada contra las herramientas modernas.

Números y símbolos al final: Contraseña123!, Verano2024#. Los programas de cracking añaden los números 1-9999 y todos los símbolos comunes en el primer pase. Toma segundos.

Información personal: fechas de cumpleaños, nombres de mascotas, equipos deportivos, nombres de hijos. Estas son la base de los ataques dirigidos (spear-phishing) y a menudo ya están en los perfiles de los data brokers.

Patrones de teclado: qwerty, 123456, asdfghjkl. Atacados primero, siempre.

Reutilización entre sitios: este es el asesino silencioso. Cuando cualquiera de los cientos de sitios que usas sufre una filtración (y las filtraciones ocurren constantemente — Have I Been Pwned lista 14.000 millones de credenciales filtradas), los atacantes prueban esas combinaciones usuario/contraseña en todos los grandes servicios automáticamente. Una contraseña reutilizada = un único punto de fallo para toda tu vida digital.

05 — Por qué un gestor de contraseñas es la solución real

El objetivo de la seguridad de contraseñas es tener una contraseña única, aleatoria y larga para cada cuenta. Es genuinamente imposible hacerlo de cabeza cuando tienes 50+ cuentas.

Un gestor de contraseñas lo resuelve completamente:

Generador: crea una contraseña aleatoria de 20 caracteres a demanda (tK3#mRpQ$wLnXb8v) — nunca vuelves a verla ni pensar en ella. También puedes generar una ahora mismo con nuestro generador de contraseñas gratuito
Bóveda cifrada: almacena todo detrás de cifrado AES-256 o XChaCha20, modelo de conocimiento cero (el proveedor no puede ver tus contraseñas)
Autocompletar: rellena la contraseña correcta en el sitio correcto — también protege contra phishing (si la URL no coincide, no rellena)
Alertas de filtración: monitoriza tus correos en bases de datos de credenciales filtradas, te avisa cuando un sitio que usas se ve comprometido

Solo necesitas memorizar una contraseña: tu contraseña maestra. Hazla una frase Diceware de 6 palabras. Escríbela en papel y guárdala en un lugar seguro. Eso es todo.

Probar Bitwarden gratis →Open source · Plan gratuito ilimitado · Sin límite de dispositivos→

06 — Comparando las mejores opciones

Tres gestores que merece la pena considerar a diferentes precios:

Bitwarden (gratis o 10 USD/año Premium)

Open source, código auditado públicamente por Cure53 e Insight Risk
Plan gratuito ilimitado en todos los dispositivos — sin asteriscos
Buena elección para usuarios preocupados por la privacidad o técnicos
Auto-hospedable con Vaultwarden

Proton Pass (gratis o 1,99 €/mes Pass Plus)

Clientes open source, jurisdicción suiza
Integrado en el ecosistema Proton (Mail, VPN, Drive)
Buena opción si ya usas servicios Proton

NordPass (1,49 €/mes en plan 2 años)

UX moderna y pulida con biometría nativa
Cifrado XChaCha20 + Argon2id
Auditorías Cure53 2022 + SOC 2 Type 2 publicadas
Ecosistema Nord Security (NordVPN, NordLocker)

Los tres generan contraseñas aleatorias fuertes y las almacenan de forma segura. La elección correcta depende de tu ecosistema existente y cuánto quieres pagar.

Consulta nuestro comparativo de los mejores gestores de contraseñas 2026 para el benchmark completo, y nuestro análisis detallado de Bitwarden para un examen técnico profundo del modelo de seguridad de Bitwarden.

Probar Proton Pass gratis →Open source · Jurisdicción suiza · Ecosistema Proton→

07 — Plan de acción práctico

Si solo te llevas una cosa de esta guía:

Hoy: Comprueba haveibeenpwned.com con tu correo principal. Si aparece alguna filtración, cambia esas contraseñas inmediatamente. Usa nuestro comprobador de fortaleza de contraseñas para evaluar tus contraseñas actuales antes de reemplazarlas.
Esta semana: Instala Bitwarden (gratis). Importa tus contraseñas guardadas desde tu navegador. Gestiona la migración automáticamente.
En adelante: Cada vez que crees una cuenta o actualices una contraseña, deja que el gestor la genere. Nunca vuelvas a escribir algo que inventaste tú mismo.
Contraseña maestra: Crea una frase Diceware de 6 palabras. Escríbela en papel en un lugar seguro. No la guardes en ningún sitio digitalmente.

El problema de las contraseñas es un problema resuelto — los gestores lo resolvieron. El único paso que queda es usar uno.

Consulta nuestra comparativa Proton Pass vs Bitwarden si estás decidiendo entre las dos opciones open source.

PwdFortress puede recibir una comisión por compras realizadas a través de los enlaces de este artículo. Esto no afecta nuestras recomendaciones editoriales — todos los gestores mencionados fueron evaluados bajo el mismo protocolo.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Probar NordPass30 jours satisfait ou remboursé · Plan gratuit disponible→