What makes a strong password?

A strong password combines length with complexity. Use at least 12 characters mixing uppercase letters, lowercase letters, numbers, and symbols. Passphrases of 4 or more random words separated by symbols are even stronger because they achieve high entropy while remaining memorable.

How is password entropy calculated?

Entropy is calculated using the formula: Entropy (bits) = log2(Pool Size) × Password Length. The pool size is the total number of possible characters based on the types used. For example, using lowercase (26) plus digits (10) gives a pool of 36.

What is a good entropy score?

60 bits or higher is considered strong. 80+ bits is very strong and would take centuries to crack. Below 36 bits is weak and can be cracked in hours. For sensitive accounts, aim for at least 80 bits.

How long would it take to crack my password?

Crack time depends on entropy and attacker hardware. A consumer laptop at 1 billion guesses/sec, a GPU cluster at 100 billion/sec, and a nation-state botnet at 10 trillion/sec all give different estimates. An 80-bit entropy password would take over 380 million years even on a GPU cluster.

Is my password stored or transmitted?

No. This calculator runs entirely in your browser. Your password is never sent to any server, stored in any database, or transmitted over the network. All analysis happens locally and disappears when you close or refresh the page.

Verificador de Seguridad de Contraseñas — Entropía y Tiempo de Descifrado

1

Ingresa tus Datos

Escribe tu contraseña —o la cantidad de palabras y el separador para una frase de contraseña— en los campos de entrada.

2

Revisa el Resultado

Lee la tarjeta de resultados para ver la puntuación de entropía, la calificación de seguridad y el tiempo estimado de descifrado de tu contraseña.

3

Ajusta y Compara

Cambia un dato y observa cómo el resultado se actualiza al instante para ver qué ajustes mejoran más tu contraseña.

Entropía

Entropy (bits) = log2(poolSize) x length

La entropía mide la imprevisibilidad de una contraseña: poolSize es la cantidad de caracteres únicos disponibles (por ejemplo, 94 para todos los caracteres ASCII imprimibles) y length es la cantidad de caracteres.

Estimación del Tiempo de Descifrado

Time = 2^entropy / (2 x guesses_per_second)

Dividir la mitad del espacio de claves (caso promedio) entre la velocidad de adivinación del atacante da el tiempo esperado para descifrar la contraseña: en segundos, años o milenios según la entropía.

Entropía de una Frase de Contraseña

Entropy (bits) = log2(wordlistSize) x wordCount

Cada palabra aleatoria tomada de una lista de W palabras aporta log2(W) bits; una frase de contraseña de 4 palabras de una lista de 7,776 palabras alcanza aproximadamente 51 bits.

Entropía Una medida de la imprevisibilidad de una contraseña en bits, donde cada bit adicional duplica la cantidad de intentos necesarios para descifrarla. Una mayor entropía significa una contraseña más fuerte y resistente.

Conjunto de Caracteres La cantidad total de caracteres posibles que podría usar la contraseña. Minúsculas (26) + mayúsculas (26) + dígitos (10) + símbolos (32) da un conjunto máximo de 94.

Ataque de Fuerza Bruta Un método de descifrado que prueba sistemáticamente todas las combinaciones posibles de caracteres hasta encontrar la contraseña correcta. El tiempo crece exponencialmente con la longitud y el tamaño del conjunto.

Ataque de Diccionario Un método de descifrado que utiliza listas precompiladas de contraseñas comunes, palabras y patrones predecibles. Es mucho más rápido que la fuerza bruta contra contraseñas débiles o predecibles.

Frase de Contraseña Una secuencia de palabras aleatorias usada como contraseña, que alcanza una alta entropía gracias a su longitud extrema a pesar de un conjunto de caracteres más pequeño. Una frase de contraseña de cuatro palabras aleatorias suele ser más fuerte que una de 10 caracteres.

NIST SP 800-63B Directrices del NIST para la autenticación de identidad digital que recomiendan un mínimo de 8 caracteres, prohíben las reglas de complejidad obligatorias y exigen verificar las credenciales contra las que ya han sido filtradas.

🔓

password123

Contraseña Muy Débil

Contraseña password123 Conjunto de caracteres 36 (minúsculas + dígitos) Longitud 11 caracteres

A pesar de su longitud, esta contraseña aparece en todas las listas importantes de ataques de diccionario y sería descifrada en milisegundos en cualquier hardware moderno: agrega letras mayúsculas y símbolos, y evita por completo las palabras comunes.

🔐

C@t$_R0ck!22

Contraseña Fuerte

Contraseña C@t$_R0ck!22 Conjunto de caracteres 94 (todos los tipos) Longitud 12 caracteres

Usar los cuatro tipos de caracteres con un conjunto de 94 y una longitud de 12 produce aproximadamente 79 bits de entropía: lo suficientemente fuerte para resistir la fuerza bruta de un clúster de GPU durante siglos, aunque aún se recomienda verificar contra el diccionario por las sustituciones comunes.

🛡️

correct-horse-battery-staple

Frase de Contraseña Excelente

Cantidad de palabras 4 palabras aleatorias Separador guión Conjunto minúsculas + guiones (27)

Con 28 caracteres y un conjunto de minúsculas más guiones, esta frase de contraseña alcanza más de 130 bits de entropía: la longitud extrema compensa el conjunto pequeño de caracteres y la hace casi imposible de descifrar, sin dejar de ser fácil de escribir y recordar.

Cada filtración de datos expone miles de millones de credenciales, y las contraseñas débiles siguen siendo el vector de ataque más explotado. Esta herramienta mide la fortaleza matemática de tu contraseña en bits de entropía, estima tiempos reales de descifrado y genera alternativas fuertes, dándote la información que necesitas para proteger cada cuenta que posees.

Por Qué Importa la Fortaleza de las Contraseñas

Cada cuenta en línea que posees está protegida por una contraseña, y los atacantes se han vuelto extraordinariamente eficientes para descifrar las débiles. Las unidades de procesamiento gráfico modernas pueden intentar cientos de miles de millones de hashes de contraseña por segundo usando equipos de descifrado especializados que cuestan apenas unos pocos miles de dólares. Esto significa que una contraseña corta o predecible puede ser descifrada en segundos, no en días. Filtraciones de datos de alto perfil en grandes empresas han expuesto miles de millones de credenciales con hash, que los atacantes luego descifran sin prisa fuera de línea y prueban en otros servicios mediante el relleno de credenciales. Las consecuencias de una cuenta comprometida van desde el robo de identidad y el fraude financiero hasta el acceso no autorizado a redes corporativas y comunicaciones personales. Incluso las contraseñas fuertes pueden verse socavadas por la reutilización: una vez que una contraseña se descifra en la filtración de un sitio, las herramientas automatizadas la prueban contra miles de otros servicios en cuestión de horas. Entender qué hace que una contraseña sea matemáticamente fuerte es la base de la ciberseguridad personal, y esta herramienta te da los datos para tomar decisiones informadas en lugar de adivinar qué significa "fuerte".

Cómo Funciona la Entropía

La entropía es el pilar matemático de la medición de la fortaleza de las contraseñas. Expresada en bits, la entropía cuantifica qué tan impredecible es una contraseña calculando la cantidad total de combinaciones posibles que un atacante de fuerza bruta tendría que buscar. La fórmula es sencilla: multiplica la cantidad de caracteres de la contraseña por el logaritmo en base 2 del tamaño del conjunto de caracteres. Una contraseña que usa solo letras minúsculas (conjunto de 26) aporta unos 4.7 bits por carácter. Agregar mayúsculas duplica el conjunto a 52, elevándolo a 5.7 bits. Incluir dígitos y símbolos amplía el conjunto a 94, produciendo 6.55 bits por carácter. Una contraseña de 12 caracteres que usa los cuatro tipos alcanza, por lo tanto, 12 × 6.55 ≈ 78.7 bits de entropía. Cada bit adicional duplica el espacio de búsqueda del atacante: 40 bits representan alrededor de un billón de combinaciones, 60 bits cerca de un trillón y 80 bits más de un cuatrillón. Incluso un clúster de GPU que ejecute 100 mil millones de intentos por segundo necesitaría aproximadamente 380 millones de años para agotar un espacio de 80 bits por fuerza bruta.

Fuerza Bruta vs. Ataques de Diccionario

Los ataques de fuerza bruta prueban todas las combinaciones de caracteres posibles de forma sistemática, comenzando por la más corta y avanzando hacia arriba. Como el espacio de búsqueda crece exponencialmente con la longitud y el tamaño del conjunto, la fuerza bruta solo es práctica contra contraseñas cortas: cualquiera de menos de unos 8 caracteres con el conjunto completo puede descifrarse en horas. Los ataques de diccionario adoptan un enfoque más inteligente: priorizan las contraseñas más probables primero, usando listas de cientos de millones de credenciales filtradas, palabras comunes, frases y patrones de sustitución predecibles. Una contraseña como "Summer2024!" obtiene una puntuación razonablemente buena en entropía pura, pero sigue un patrón que los ataques de diccionario reconocen al instante: una palabra capitalizada, un año y un símbolo al final. Muchas herramientas de descifrado modelan exactamente estas tendencias humanas. Las contraseñas basadas en patrones (recorridos de teclado como "Qwerty1!", sustituciones leet como "p@ssw0rd" y combinaciones de nombre más número) aparecen todas al principio de las listas de diccionario. La verdadera seguridad requiere una aleatoriedad que ningún patrón humano pueda predecir: ya sea usando un generador de caracteres aleatorios o una frase de contraseña compuesta por palabras verdaderamente aleatorias.

La Ventaja de las Frases de Contraseña

Encadenar cuatro o más palabras aleatorias y no relacionadas crea una frase de contraseña que alcanza una alta entropía sin dejar de ser lo bastante memorable como para escribirla sin un gestor. El famoso ejemplo "correct-horse-battery-staple" de XKCD demuestra el principio: con una lista de 7,776 palabras (la lista Diceware de la EFF), cada palabra aleatoria aporta unos 12.9 bits, así que cuatro palabras producen aproximadamente 51.7 bits y cinco palabras 64.6 bits. Una frase de contraseña de seis palabras alcanza 77.5 bits, comparable a una contraseña fuerte de caracteres aleatorios pero mucho más fácil de memorizar y escribir en un teclado móvil. El detalle es que las palabras deben ser genuinamente aleatorias, no frases que tú mismo construyas: las combinaciones de palabras elegidas por humanos siguen patrones predecibles que las herramientas de descifrado entrenadas explotan. Diceware —lanzar dados físicos para seleccionar palabras de una lista numerada— es el estándar de oro para la aleatoriedad sin necesidad de una computadora. Las frases de contraseña funcionan mejor como la contraseña maestra de tu gestor de contraseñas, donde la memorabilidad importa más.

Cómo Construir un Sistema de Contraseñas Sostenible

El objetivo práctico de la seguridad de las contraseñas no es la perfección para una sola cuenta, sino un sistema que mantenga protegida cada cuenta sin depender de la memoria para docenas de credenciales únicas. Los gestores de contraseñas son la piedra angular de este sistema. Generan contraseñas criptográficamente aleatorias de cualquier longitud y complejidad, las almacenan cifradas tras una única contraseña maestra y las autocompletan en navegadores y aplicaciones. La contraseña maestra debe ser una frase de contraseña fuerte que hayas memorizado y practicado escribir. Los gestores de buena reputación (Bitwarden, 1Password, KeePass) cifran tu bóveda con AES-256 localmente antes de sincronizarla, lo que hace inofensivas las filtraciones del lado del servidor del propio gestor. La autenticación de dos factores (2FA) agrega una segunda capa que vence el relleno de credenciales incluso cuando una contraseña se ve comprometida: una aplicación de contraseña de un solo uso basada en tiempo (TOTP) es gratuita, rápida y mucho más segura que los códigos por SMS. Para las cuentas de alto valor —correo electrónico, banca y el propio gestor de contraseñas— combina una contraseña fuerte y única con un 2FA por hardware (una YubiKey) para obtener la mejor protección disponible.

¿Qué hace que una contraseña sea fuerte?+

Una contraseña fuerte combina longitud con imprevisibilidad: usa al menos 12 caracteres mezclando mayúsculas, minúsculas, dígitos y símbolos, y evita palabras del diccionario o sustituciones comunes como "@" por "a". Una frase de contraseña de cuatro o más palabras verdaderamente aleatorias es aún más fuerte, porque la longitud extrema más que compensa el conjunto de caracteres más pequeño.

¿Cómo se calcula la entropía de una contraseña?+

La entropía en bits es igual a log₂(tamaño del conjunto) multiplicado por la longitud de la contraseña, donde el tamaño del conjunto es la cantidad de caracteres distintos disponibles. Por ejemplo, una contraseña de 12 caracteres que usa los cuatro tipos (conjunto=94) alcanza 12 × log₂(94) ≈ 78.7 bits: cada carácter adicional suma otros ~6.5 bits y duplica el espacio de búsqueda.

¿Qué puntuación de entropía debo buscar?+

Sesenta bits se considera fuerte para la mayoría de las cuentas; 80 bits o más es muy fuerte y requeriría siglos en un clúster de GPU usando fuerza bruta. Para cuentas de alto valor como el correo electrónico, la banca o la contraseña maestra de tu gestor de contraseñas, apunta a entre 80 y 120 bits.

¿Cuánto tardaría en descifrarse mi contraseña?+

El tiempo de descifrado depende de la entropía y del hardware del atacante: a 100 mil millones de intentos por segundo (un clúster de GPU de gama media), una contraseña de 80 bits tarda aproximadamente 380 millones de años por fuerza bruta. Los ataques de diccionario son mucho más rápidos para las contraseñas comunes, por lo que esta herramienta señala por separado si tu contraseña coincide con una de ellas.

¿Se almacena o se transmite mi contraseña a algún lugar?+

No: esta calculadora se ejecuta completamente en tu navegador usando JavaScript, por lo que tu contraseña nunca sale de tu dispositivo, llega a un servidor ni se guarda en ninguna base de datos. La configuración del generador (no las contraseñas) se guarda en localStorage por comodidad, y todas las contraseñas ingresadas desaparecen cuando cierras o actualizas la página.

Seguridad de Contraseñas

Cómo usar esta calculadora

Ingresa tus Datos

Revisa el Resultado

Ajusta y Compara

Fórmula y metodología

Términos clave explicados

Ejemplos del mundo real

password123

C@t$_R0ck!22

correct-horse-battery-staple

La Seguridad de las Contraseñas en la Era Moderna

Por Qué Importa la Fortaleza de las Contraseñas

Cómo Funciona la Entropía

Fuerza Bruta vs. Ataques de Diccionario

La Ventaja de las Frases de Contraseña

Cómo Construir un Sistema de Contraseñas Sostenible

Preguntas frecuentes

Seguridad de Contraseñas

Cómo usar esta calculadora

Ingresa tus Datos

Revisa el Resultado

Ajusta y Compara

Fórmula y metodología

Términos clave explicados

Ejemplos del mundo real

La Seguridad de las Contraseñas en la Era Moderna

Por Qué Importa la Fortaleza de las Contraseñas

Cómo Funciona la Entropía

Fuerza Bruta vs. Ataques de Diccionario

La Ventaja de las Frases de Contraseña

Cómo Construir un Sistema de Contraseñas Sostenible

Preguntas frecuentes

Sigue explorando

Calculadoras relacionadas

Guías y artículos