Seguridad de contraseñas: por qué la mayoría son débiles y cómo crear unas fuertes

La mayoría de la gente usa contraseñas débiles sin darse cuenta. Aprende qué hace fuerte a una contraseña, cómo comprobar la tuya al instante y generar contraseñas indescifrables, todo de forma privada en tu navegador.

Si usas una contraseña como password123, qwerty o el nombre de tu mascota seguido de un año de nacimiento, no estás solo, pero corres un riesgo serio. Un estudio de NordPass de 2023 descubrió que la contraseña más común del mundo sigue siendo "123456", usada por más de 4,5 millones de personas. Según Google, el 65% de las personas reutiliza la misma contraseña en varios sitios. Este es el mayor error de seguridad que puedes cometer en internet.

Esta guía desglosa exactamente qué hace que una contraseña sea débil o fuerte, cómo la descifran los atacantes y cómo puedes protegerte, usando herramientas gratuitas que se ejecutan por completo en tu navegador sin enviar nunca datos a un servidor.

Las contraseñas más comunes — ¿está la tuya en esta lista?

Cada año, los investigadores de seguridad analizan miles de millones de credenciales filtradas en brechas de datos. Los resultados son sistemáticamente alarmantes. Estos son los peores ejemplos que aparecen prácticamente en cualquier base de datos de filtraciones:

123456 / 12345678 / 123456789
password / password1 / Password123
qwerty / qwerty123 / qwertyuiop
iloveyou / letmein / welcome
admin / root / user / login
abc123 / 111111 / 000000
monkey / dragon / master / sunshine

Advertencia: si alguna de tus contraseñas aparece en esta lista o se le parece mucho, cámbiala de inmediato. Estas contraseñas son las primeras que probará cualquier atacante, y las herramientas automatizadas pueden probarlas todas en menos de un segundo.

Lo especialmente peligroso es que mucha gente cree que es lista al sustituir letras por números — escribir p@ssw0rd en lugar de password. Los atacantes también conocen este truco. Las herramientas modernas de descifrado incluyen "reglas de mutación" que aplican automáticamente estas sustituciones a cada palabra de su diccionario.

¿Qué hace débil a una contraseña?

La debilidad de una contraseña viene de la previsibilidad. Una contraseña es débil cuando un atacante puede adivinarla más rápido de lo que tardaría en probar todas las combinaciones posibles. Los principales culpables son:

1. Longitud corta

La longitud es el factor más importante de la fortaleza de una contraseña. Una contraseña de 6 caracteres que solo usa letras minúsculas tiene apenas 308 millones de combinaciones posibles — una GPU moderna puede agotarlas en menos de un segundo. Una contraseña de 8 caracteres con mayúsculas, minúsculas y números tiene 218 billones de combinaciones, lo que suena impresionante, pero los equipos de descifrado modernos que funcionan a miles de millones de intentos por segundo todavía pueden descifrarla en minutos.

2. Palabras del diccionario

Cualquier palabra real en cualquier idioma es inmediatamente vulnerable a un ataque de diccionario. Esto incluye palabras con sustituciones obvias (3 por e, 0 por o, @ por a) y palabras con números añadidos al final (monkey1, dragon99). Los atacantes tienen diccionarios con cientos de millones de estas variaciones ya calculadas.

3. Información personal

Los nombres, las fechas de nacimiento, los aniversarios, los nombres de mascotas y los equipos deportivos favoritos son ingredientes muy comunes de las contraseñas. Si un atacante sabe algo sobre ti — solo con tus perfiles de redes sociales — puede crear una lista de palabras dirigida y reducir drásticamente el tiempo necesario para descifrar tu contraseña.

4. Patrones y recorridos de teclado

Secuencias como qwerty, asdfgh, 1qaz2wsx o zxcvbn son patrones de teclado que los descifradores prueban en los primeros segundos. No requieren inteligencia adicional para adivinarse — solo conocer la distribución de un teclado.

Cómo funciona realmente el descifrado de contraseñas

Entender cómo los atacantes descifran las contraseñas te ayuda a comprender por qué ciertas prácticas realmente te protegen y por qué otras solo parecen seguras.

Ataques de fuerza bruta

Un ataque de fuerza bruta prueba todas y cada una de las combinaciones posibles de caracteres hasta encontrar la correcta. Para contraseñas cortas, esto es trivialmente rápido. Para las más largas, el tiempo crece exponencialmente. Una contraseña de 12 caracteres con mayúsculas, minúsculas, números y símbolos tiene aproximadamente 19 cuatrillones de combinaciones posibles — a mil millones de intentos por segundo, agotarlas por completo llevaría más de 600 años. Ese es el poder de la longitud.

Ataques de diccionario

En lugar de probar todas las combinaciones, los ataques de diccionario usan listas predefinidas de contraseñas conocidas, palabras comunes y credenciales filtradas en brechas anteriores. Solo la lista de palabras RockYou — filtrada en 2009 — contiene 14 millones de contraseñas y todavía hoy es el punto de partida de la mayoría de las sesiones de descifrado. Si tu contraseña la ha usado alguna vez otra persona y apareció en una filtración, está en algún diccionario.

Tablas arcoíris

Cuando los sitios web almacenan contraseñas, deberían guardarlas como hashes criptográficos, no como la contraseña real. Las tablas arcoíris (rainbow tables) son tablas de búsqueda precalculadas que asignan valores hash de vuelta a las contraseñas originales. Si un sitio almacena contraseñas sin "salar" los hashes (añadir un valor aleatorio antes del hash), un ataque de tabla arcoíris puede recuperar millones de contraseñas en segundos. Por eso las brechas de datos son tan devastadoras.

Idea clave: el descifrado de contraseñas se ha convertido en un producto de consumo. Existen servicios en línea donde puedes pagar para que descifren hashes. Un hardware que cuesta unos pocos cientos de dólares puede probar miles de millones de contraseñas por segundo. La única defensa real es una contraseña que sea a la vez larga y verdaderamente aleatoria.

Entropía de contraseñas: por qué la longitud siempre gana

La entropía es una medida de la imprevisibilidad, expresada en bits. Cuanto mayor es la entropía, más tiempo se tarda en descifrar una contraseña por fuerza bruta. Así funciona en la práctica:

Una contraseña que solo usa letras minúsculas (26 caracteres) añade unos 4,7 bits de entropía por carácter.
Añadir mayúsculas duplica el conjunto a 52 caracteres — 5,7 bits por carácter.
Añadir dígitos (62 caracteres) — 5,95 bits por carácter.
Añadir símbolos (95 caracteres ASCII imprimibles) — 6,57 bits por carácter.

Pero el efecto multiplicador de la longitud es mucho más potente que añadir cualquier tipo de carácter. Una contraseña totalmente aleatoria de 12 caracteres del conjunto ASCII imprimible completo tiene unos 79 bits de entropía. Con 16 caracteres, eso pasa a 105 bits — prácticamente indescifrable con cualquier tecnología previsible.

Los tres tipos de contraseñas que usa la gente

Las estrategias de contraseñas de la mayoría de la gente caen en una de tres categorías, cada una con sus propias compensaciones:

Tipo 1: fácil de recordar, fácil de descifrar

Esta es la categoría fluffy2009! — el nombre de una mascota, un año y un signo de puntuación. Puedes recordarla sin esfuerzo. Un atacante puede descifrarla en menos de una hora con una lista de palabras decente y reglas de mutación. Estas contraseñas ofrecen casi ninguna protección real.

Tipo 2: complejas pero imposibles de recordar

Algunas personas intentan crear contraseñas verdaderamente complejas aporreando el teclado — xK3#mQ9!pL — pero luego descubren que no pueden recordarlas. Esto lleva a anotarlas en una nota adhesiva, guardarlas en un archivo de texto sin cifrar o simplemente restablecerlas constantemente. La mejora de seguridad se pierde por un mal almacenamiento.

Tipo 3: fuertes y bien almacenadas

Este es el único enfoque que realmente funciona a escala. Genera una contraseña larga y totalmente aleatoria y guárdala en un gestor de contraseñas. Solo necesitas recordar una contraseña maestra fuerte. El resto se generan, se almacenan y se rellenan por ti automáticamente. Así gestionan cientos de cuentas los profesionales de la seguridad.

Comparación visual de fortaleza

Aquí tienes una comparación lado a lado de lo drásticamente que varía la fortaleza de una contraseña:

Contraseña	Longitud	Conjunto de caracteres	Entropía	Tiempo de descifrado
`password123`	11	Minúsculas + dígitos	~18 bits (diccionario)	Al instante
`P@$$w0rd`	8	Mixto + símbolos	~24 bits (patrón)	De minutos a horas
`v8K#mX2qLn&4jR7`	16	ASCII completo aleatorio	~105 bits	Miles de millones de años

La diferencia entre la primera y la tercera contraseña no es solo incremental — es la diferencia entre ninguna protección y una seguridad prácticamente irrompible. Y no necesitas recordar v8K#mX2qLn&4jR7— tu gestor de contraseñas lo hace por ti.

Comprueba la fortaleza de tu contraseña actual al instante

Antes de cambiar nada, conviene entender exactamente lo fuertes que son tus contraseñas actuales. BrowseryTools ofrece un verificador de fortaleza de contraseñas gratuito y privado que analiza tu contraseña localmente — los caracteres que escribes nunca salen de tu navegador.

Pruébalo ahora: ve al Verificador de fortaleza de contraseñas de BrowseryTools para ver exactamente qué puntuación obtienen tus contraseñas. La herramienta comprueba la longitud, la diversidad de caracteres, los patrones comunes y las coincidencias con el diccionario — y te dice cuánto tardaría realmente en descifrarse.

El verificador te da una puntuación clara con una explicación de qué es débil y qué mejorar. Es la forma más rápida de obtener una auditoría honesta de las contraseñas que ya usas.

Genera contraseñas fuertes con un clic

Saber cómo es una contraseña fuerte y crear una realmente son dos problemas diferentes. El cerebro humano es notoriamente malo generando aleatoriedad — siempre recurrimos a patrones, palabras familiares y estructuras predecibles. La solución es dejar que una máquina genere la aleatoriedad por ti.

El Generador de contraseñas de BrowseryTools crea contraseñas criptográficamente aleatorias usando el generador seguro de números aleatorios integrado en tu navegador. Puedes personalizar:

La longitud de la contraseña (hasta 128 caracteres)
Los conjuntos de caracteres a incluir: mayúsculas, minúsculas, dígitos, símbolos
La exclusión de caracteres ambiguos (como 0, O, l, 1) para facilitar la transcripción manual
El número de contraseñas a generar a la vez

Garantía de privacidad: el generador de contraseñas de BrowseryTools se ejecuta por completo en tu navegador usando la Web Crypto API. Ninguna contraseña se transmite jamás a ningún servidor. La generación ocurre en tu dispositivo, solo para tus ojos.

Por qué necesitas un gestor de contraseñas

La principal objeción a usar contraseñas fuertes es la memorización. "No puedo recordar 30 cadenas aleatorias distintas de 20 caracteres". Tienes razón — y no deberías tener que hacerlo. Para eso existen exactamente los gestores de contraseñas.

Un gestor de contraseñas es una caja fuerte cifrada que almacena todas tus contraseñas. La desbloqueas con una contraseña maestra fuerte (la única que necesitas memorizar) y se encarga de todo lo demás:

Almacena contraseñas ilimitadas de forma segura con cifrado de extremo a extremo
Rellena automáticamente los formularios de inicio de sesión en tu navegador
Genera nuevas contraseñas fuertes cuando creas cuentas
Te avisa cuando una contraseña ha quedado expuesta en una filtración conocida
Se sincroniza de forma segura en todos tus dispositivos

Las opciones populares incluyen Bitwarden (de código abierto y gratuito), 1Password y KeePass (totalmente local). Lo importante es usar cualquiera de ellos — la mejora de seguridad frente a no usar ninguno es enorme.

Idea clave: con un gestor de contraseñas, puedes usar una contraseña diferente, totalmente aleatoria y de 20 caracteres en cada sitio. Si un sitio sufre una brecha, solo esa cuenta queda comprometida — no todas las cuentas que tienes.

Autenticación de dos factores: por qué las contraseñas por sí solas no bastan

Incluso la contraseña más fuerte tiene una vulnerabilidad fundamental: puede ser robada sin ser descifrada. Los ataques de phishing, los keyloggers, los ataques de intermediario y las brechas de datos pueden exponer tu contraseña sin ninguna fuerza bruta. Una vez que un atacante tiene tu contraseña, la longitud y la complejidad son irrelevantes.

La autenticación de dos factores (2FA) añade una segunda capa que te protege incluso si tu contraseña queda comprometida. Las formas comunes incluyen:

Apps TOTP (Google Authenticator, Authy): generan un código de 6 dígitos que cambia cada 30 segundos. Incluso con tu contraseña, un atacante no puede iniciar sesión sin el código actual.
Llaves de hardware (YubiKey): un dispositivo físico que conectas o tocas. Resistente al phishing porque la llave verifica el dominio del sitio antes de autenticar.
Códigos por SMS: mejor que nada, pero vulnerables a los ataques de intercambio de SIM. Usa una app de autenticación en su lugar siempre que sea posible.

Activa la 2FA en cada cuenta que la admita — especialmente correo electrónico, banca, almacenamiento en la nube y redes sociales. Una contraseña fuerte más 2FA hace que el acceso no autorizado sea extremadamente difícil incluso para atacantes con muchos recursos.

Una lista de verificación completa de seguridad de contraseñas

Usa un mínimo de 16 caracteres en cada contraseña
Usa una contraseña diferente en cada sitio y servicio
Nunca uses palabras del diccionario, nombres ni información personal
Usa un gestor de contraseñas para generar y almacenar todas las contraseñas
Activa la autenticación de dos factores en todos los lugares donde esté disponible
Comprueba hoy mismo tus contraseñas existentes con un verificador de fortaleza
Comprueba si tu correo ha aparecido en filtraciones conocidas (haveibeenpwned.com)
Nunca compartas contraseñas por correo electrónico, mensajes de texto o apps de mensajería

Empieza ahora mismo — solo lleva 2 minutos

No necesitas revisarlo todo de golpe. Empieza por tus cuentas más críticas: correo electrónico, banca y tus redes sociales principales. Reemplaza esas contraseñas primero con el Generador de contraseñas de BrowseryTools, y luego comprueba la fortaleza de las que ya tienes con el Verificador de fortaleza de contraseñas.

Herramientas de contraseñas gratuitas — sin registro, sin compartir datos

Comprobar fortaleza de contraseña →Generar contraseña fuerte →

Ambas herramientas se ejecutan por completo en tu navegador. Tus contraseñas nunca se transmiten, registran ni almacenan en ningún lugar fuera de tu propio dispositivo. Esa es la promesa de BrowseryTools — herramientas potentes que respetan de verdad tu privacidad.