Password Strength Checker
Analiza la fortaleza de tu contraseña y comprueba filtraciones con HIBP. Completamente en tu navegador.
Cómo funciona esta herramienta
Análisis local
La entropía se calcula a partir del conjunto de caracteres usado (mayúsculas, minúsculas, dígitos, símbolos) y la longitud. También se detectan patrones débiles: contraseñas comunes, secuencias de teclado, repeticiones y años.
Estimación del tiempo de crackeo
Asumiendo un ataque de fuerza bruta a 10 mil millones de intentos/segundo (GPU moderna), el tiempo se estima desde la entropía: 2^bits / 10^10 segundos. Por encima de 60 bits, un ataque llevaría años.
Comprobación HIBP (opcional)
Al hacer clic en el botón, se calcula un hash SHA-1 en el lado del cliente. Solo los primeros 5 caracteres (prefijo) se envían a la API de Have I Been Pwned. Los sufijos devueltos se comparan localmente — tu contraseña completa nunca sale de tu dispositivo.
Tu contraseña nunca sale de tu navegador
El análisis de fortaleza es completamente local: ninguna llamada de red. Para la comprobación de filtraciones, solo 5 caracteres del hash SHA-1 viajan (k-anonimato). Have I Been Pwned recibe un prefijo genérico — no puede deducir tu contraseña a partir de él. Abre la pestaña Red de DevTools para verificarlo.
Crear y almacenar contraseñas fuertes
Una contraseña fuerte (al menos 16 caracteres, mayúsculas + dígitos + símbolos) produce una entropía superior a 80 bits, haciendo los ataques de fuerza bruta prácticamente imposibles incluso con hardware especializado.
Una vez creada la contraseña fuerte, guárdala en un gestor de contraseñas. Cifra tu bóveda localmente antes de cualquier sincronización en la nube.
Almacena tus contraseñas de forma segura
Una contraseña fuerte mal almacenada no sirve de nada. Bitwarden, Proton Pass y NordPass son de código abierto, auditables y gratuitos.
Preguntas frecuentes
¿Mi contraseña se envía por internet?
No. El análisis de fortaleza es 100% local. Para la comprobación HIBP, solo se transmiten los primeros 5 caracteres del hash SHA-1 de tu contraseña (k-anonimato). Ni el hash completo ni la contraseña en texto claro sale jamás de tu navegador — Have I Been Pwned no puede deducir tu contraseña del prefijo.
¿Qué es Have I Been Pwned?
Have I Been Pwned (HIBP) es una base de datos pública creada por el investigador de seguridad Troy Hunt, que recopila más de 10 mil millones de pares de credenciales de filtraciones de datos conocidas. Su API de verificación usa k-anonimato para que el hash completo nunca quede expuesto.
¿Cómo se calcula la entropía?
La entropía se calcula como L × log₂(N), donde L es la longitud de la contraseña y N el tamaño del conjunto de caracteres (26 minúsculas, 26 mayúsculas, 10 dígitos, 32 símbolos). Por ejemplo, una contraseña de 16 caracteres con todos los conjuntos da 16 × log₂(94) ≈ 104 bits.
¿Qué puntuación mínima recomiendas?
Apunta al menos a 'Fuerte' (60+ bits). Para cuentas críticas (correo principal, banco, gestor de contraseñas), busca 'Muy fuerte' (80+ bits) — eso significa 16+ caracteres con mayúsculas, dígitos y símbolos.
¿Qué debo hacer si mi contraseña fue filtrada?
Cámbiala inmediatamente en todos los servicios donde la uses. Activa la autenticación en dos factores (2FA) en esas cuentas. Usa un gestor de contraseñas para crear y almacenar contraseñas únicas para cada servicio.