La fortaleza de una contraseña explicada - Cuánto tiempo se tarda en descifrarla

La "fortaleza" de una contraseña se mide por cuánto tiempo resiste ataques de fuerza bruta, donde un atacante prueba sistemáticamente todas las combinaciones posibles. En 2024, una sola GPU NVIDIA RTX 4090 puede intentar aproximadamente 164 mil millones de hashes MD5 por segundo. Esto es lo que significa en la práctica.

Ejemplo de contraseña Conjunto de caracteres Combinaciones Tiempo para descifrar (GPU)
password Minúsculas, 8 caracteres 268 ≈ 209 mil millones ~1 segundo
P@ssw0rd Mixto, 8 caracteres 958 ≈ 6,6 billones ~40 segundos
Tr0ub4dor&3 Mixto, 11 caracteres 9511 ≈ 5,7 cuatrillones ~1 año
correct horse battery staple Frase de 4 palabras 77764 ≈ 3,6 billones ~22 segundos (diccionario)
Frase de 6 palabras Diceware, 6 palabras 77766 ≈ 2,2 cuatrillones ~4.000 años

La tabla deja algo claro: aumentar la longitud y la diversidad de caracteres eleva la fortaleza exponencialmente. Sin embargo, la memoria humana tiene límites, por lo que las mejores prácticas modernas priorizan la longitud sobre la complejidad.

El método de frase de contraseña - Fácil de recordar, difícil de descifrar

En 2017, el NIST (Instituto Nacional de Estándares y Tecnología) publicó SP 800-63B, retirando oficialmente la antigua regla de "mezclar mayúsculas, minúsculas, dígitos y símbolos" en favor de frases de contraseña largas.

Cómo funciona el método Diceware

  1. Lanza un dado físico cinco veces para producir un número de 5 dígitos (por ejemplo, 4-1-6-2-3)
  2. Busca la palabra correspondiente en la lista de palabras Diceware (7.776 palabras)
  3. Repite seis veces para construir una frase de 6 palabras
  4. Separa las palabras con espacios o cualquier delimitador que prefieras

Una frase Diceware de 6 palabras tiene aproximadamente 77 bits de entropía, casi igualando una contraseña aleatoria de 12 caracteres alfanuméricos con símbolos (~79 bits), siendo mucho más fácil de memorizar.

Consejos para crear frases de contraseña fuertes

  • Usa al menos 6 palabras. Cuatro palabras son insuficientes contra ataques de diccionario
  • Selecciona palabras con verdadera aleatoriedad. Los humanos que eligen "al azar" introducen sesgos predecibles
  • Evita letras de canciones, citas famosas o pasajes de libros. Los atacantes mantienen listas de estos
  • Escribir mal deliberadamente una palabra aumenta aún más la resistencia a ataques de diccionario

Patrones de contraseña que debes evitar

Los rankings anuales de "contraseñas más comunes" apenas cambian de un año a otro. Cada patrón a continuación está en la parte superior de la lista de palabras de todo atacante.

  • Palabras simples del diccionario: password, dragon, monkey, shadow
  • Recorridos de teclado: qwerty, 1234567890, zxcvbnm
  • Información personal: fechas de nacimiento, números de teléfono, nombres de mascotas, nombres de celebridades favoritas
  • Sustituciones simples: p@ssw0rd, l3tme1n (las herramientas de descifrado manejan el leet speak por defecto)
  • Reutilización de contraseñas: cuando un servicio es vulnerado, todas las cuentas que comparten esa contraseña quedan comprometidas

Según las estadísticas de filtraciones de datos de 2023, aproximadamente el 59% de las contraseñas filtradas tenían 8 caracteres o menos, y el 73% de ellas podían descifrarse mediante ataques de diccionario en menos de una hora.

Por qué la reutilización de contraseñas es tan peligrosa

Los atacantes prueban automáticamente pares de correo electrónico y contraseña robados en otros servicios mediante una técnica llamada credential stuffing. En 2024, se observaron aproximadamente 100 millones de intentos de credential stuffing por día. Asegúrate también de comprobar si tus cuentas han sido comprometidas.

Uso de un gestor de contraseñas

Memorizar una contraseña única y fuerte para cada servicio no es realista. Los gestores de contraseñas resuelven este problema de raíz.

Cómo funcionan los gestores de contraseñas

Una única contraseña maestra desbloquea una base de datos cifrada que almacena y autocompleta las credenciales de cada servicio. La base de datos está protegida con cifrado AES-256, usando una clave derivada de la contraseña maestra mediante PBKDF2 o Argon2.

Tipo Ventajas Desventajas
En la nube (1Password, Bitwarden) Sincronización entre dispositivos, autocompletado, compartir Requiere confianza en el proveedor de la nube
Local (KeePass) Completamente offline, código abierto Sincronización manual, interfaz anticuada
Integrado en el navegador (Chrome, Safari) Sin instalación adicional, integración con el SO Dependiente del navegador, funciones limitadas

Independientemente del tipo que elijas, eliminar por completo la reutilización de contraseñas te hace drásticamente más seguro que prescindir de uno.

Combinando contraseñas con autenticación multifactor (MFA)

Por muy fuerte que sea una contraseña, se vuelve inútil una vez robada mediante phishing. Añadir "algo que tienes" (un smartphone) o "algo que eres" (biometría) sobre la contraseña es el estándar moderno para la protección de cuentas.

Métodos MFA comparados por fortaleza

Método Mecanismo Fortaleza
Código SMS Código de 6 dígitos enviado al número de teléfono Baja (vulnerable a ataques de SIM-swap)
App TOTP (Google Authenticator) Código de 6 dígitos que rota cada 30 segundos Media (aún susceptible a phishing)
Notificación push (Duo, Microsoft) Solicitud de aprobación enviada al smartphone Media (riesgo de ataque por fatiga MFA)
FIDO2/WebAuthn (YubiKey, passkeys) Criptografía de clave pública con vinculación de dominio Alta (resistente al phishing)

Para tus cuentas más críticas (correo electrónico, banca, almacenamiento en la nube), se recomienda encarecidamente configurar una llave de seguridad FIDO2 o passkey. Combinar MFA con cifrado de extremo a extremo protege tanto la capa de autenticación como el canal de comunicación.

El futuro de las contraseñas - Passkeys y autenticación sin contraseña

En 2022, Apple, Google y Microsoft anunciaron conjuntamente el soporte para "passkeys", una tecnología que elimina las contraseñas por completo. Basada en el estándar FIDO2/WebAuthn, las passkeys se autentican usando una clave privada almacenada en tu dispositivo, eliminando fundamentalmente el riesgo de filtración de contraseñas.

Sin embargo, la adopción aún está en progreso. En 2025, el soporte de passkeys se limita a un subconjunto de servicios principales, y la mayoría todavía requiere contraseñas tradicionales. Por ahora, la estrategia óptima es un enfoque por capas.

  1. Usa un gestor de contraseñas para asignar una contraseña única y fuerte a cada servicio
  2. Activa passkeys donde estén disponibles
  3. Para servicios sin soporte de passkeys, activa TOTP o una llave de seguridad para MFA
  4. Configura tu contraseña maestra como una frase Diceware de 6 palabras o más

Para profundizar en la seguridad de contraseñas, los libros sobre seguridad de contraseñas son un excelente recurso. Visita IP確認さん para revisar los detalles de tu conexión y dar el primer paso hacia una mayor conciencia de seguridad.

Términos del glosario relacionados

Cifrado El proceso de convertir datos en un formato ilegible para partes no autorizadas. Los gestores de contraseñas utilizan cifrado AES-256 para proteger sus bases de datos de credenciales. Phishing Un ataque que suplanta servicios legítimos para robar contraseñas e información personal. Incluso la contraseña más fuerte es inútil ante el phishing, lo que hace esencial el MFA. Autenticación de dos factores (MFA) Un método de seguridad que requiere un factor de verificación adicional más allá de la contraseña. Los métodos comunes incluyen códigos SMS, apps TOTP y llaves de seguridad FIDO2.