Cómo crear y gestionar contraseñas fuertes
Actualizado 2026-07-06
Casi todo el mundo sabe que debería usar contraseñas fuertes, y sin embargo las más comunes siguen siendo 123456 y password. Parte del problema son los malos consejos: durante años nos dijeron que usáramos un batiburrillo corto de símbolos y lo cambiáramos cada mes, lo que resulta ser difícil de recordar y no especialmente seguro. Esta guía explica qué hace realmente fuerte a una contraseña y cómo gestionarlas sin volverte loco.
Qué hace fuerte a una contraseña
Una contraseña es fuerte cuando es difícil de adivinar y difícil de descifrar por fuerza bruta — cuando hay tantas posibilidades que probarlas todas es impracticable. Dos cosas lo impulsan: la longitud y la imprevisibilidad.
La longitud gana a la complejidad
Cada carácter extra multiplica el número de contraseñas posibles, así que la longitud es el factor más poderoso de todos. Una frase de contraseña larga con palabras corrientes es mucho más fuerte que una cadena corta y críptica — y mucho más fácil de recordar:
Más débil: P@ss1! (8 caracteres, parece «compleja») Más fuerte: correct-horse-battery-staple (larga)
La razón de que la críptica sea más débil es que los atacantes conocen todos los trucos habituales — cambiar a por @, añadir 1! al final — y su software prueba esos patrones primero. La longitud pura gana a las sustituciones predecibles.
Imprevisibilidad (entropía)
La otra mitad es la aleatoriedad. Una contraseña hecha de una mezcla genuinamente aleatoria de caracteres o de palabras elegidas al azar tiene alta entropía — una medida de lo impredecible que es. Cualquier cosa basada en datos personales (tu nombre, cumpleaños, mascota, equipo favorito) tiene baja entropía porque es adivinable, aunque parezca un lío.
Cómo descifran de verdad las contraseñas los atacantes
Entender la amenaza hace que el consejo cobre sentido:
- Relleno de credenciales (credential stuffing) — cuando se filtra un sitio, los atacantes prueban los pares correo/contraseña filtrados en todos los demás sitios. Por eso reutilizar contraseñas es tan peligroso.
- Ataques de diccionario — probar listas de contraseñas y palabras comunes, incluidas las sustituciones predecibles de arriba.
- Fuerza bruta — probar cada combinación. La longitud es lo que hace esto inútil para el atacante.
Las tres reglas que más importan
- Hazlas largas — apunta a 16+ caracteres o una frase de contraseña de varias palabras.
- Haz cada una única — nunca reutilices una contraseña entre sitios, para que una filtración no abra el resto.
- Hazlas aleatorias — no las bases en nada sobre ti.
Una forma rápida de generar una que cumpla las tres es nuestro generador de contraseñas: crea contraseñas aleatorias fuertes por completo en tu navegador (no se envía nada a ningún sitio) y te deja ajustar la longitud y los tipos de caracteres. Para secretos de máquina a máquina como claves de API, un generador de cadenas aleatorias hace el mismo trabajo.
Cómo recordarlas todas: no lo hagas
Las reglas de arriba son imposibles de seguir de memoria a través de docenas de cuentas — que es exactamente por lo que la gente reutiliza contraseñas. La respuesta es dejar de intentar recordarlas:
- Usa un gestor de contraseñas. Genera, almacena y rellena una contraseña fuerte y única para cada sitio, y tú solo recuerdas una contraseña maestra fuerte.
- Activa la autenticación en dos pasos (2FA). Aunque se filtre una contraseña, un segundo factor (un código de app o una llave de hardware) impide que un atacante entre. Actívala en todo lo que la ofrezca, sobre todo el correo y la banca.
- Protege tu correo por encima de todo. Tu cuenta de correo puede restablecer la mayoría de tus otras contraseñas, así que merece tu contraseña única más larga y 2FA.
Lo que puedes dejar de hacer
La guía de seguridad moderna (incluida la del NIST) ha abandonado dos viejos hábitos: los cambios periódicos forzados (empujan a la gente hacia variaciones débiles y predecibles) y las reglas obligatorias de símbolos/números como sustituto de la longitud. Cambia una contraseña cuando haya un motivo — una filtración, un dispositivo compartido — no por calendario. Concentra tu energía en la longitud, la unicidad y un gestor de contraseñas, y estarás por delante de la abrumadora mayoría de las cuentas en línea.
Más de Seguridad y privacidad
Ver todas las guías de Seguridad y privacidad →Herramientas mencionadas en esta guía