Entropía de Contraseñas Explicada — Y Por Qué Tu Contraseña "Compleja" Es Más Débil Que Una Frase de Contraseña
La entropía es la única medida honesta de la fortaleza de una contraseña. Aquí está cómo se calcula, cuánto tiempo necesitan los atacantes para romper diferentes niveles, y por qué cuatro palabras aleatorias a menudo superan una contraseña "P@ssw0rd!" de 12 caracteres.
"Haz tu contraseña compleja" es un consejo inútil. Te dice que añadas un símbolo y un número como si eso asegurara la contraseña. No lo hace. La única medida honesta de la fortaleza de una contraseña es entropía, y la mayoría de las contraseñas "complejas" puntúan peor en ella de lo que crees.
Lo Que La Entropía Realmente Mide
La entropía es la cantidad de bits de aleatoriedad en tu contraseña — en otras palabras, cuántos intentos necesita un atacante, en promedio, para romperla por fuerza bruta. Se calcula como longitud × log₂(tamaño del conjunto).
Ejemplo: una contraseña de 10 caracteres usando solo letras minúsculas (conjunto = 26) tiene entropía 10 × log₂(26) ≈ 47 bits. Una contraseña de 10 caracteres usando minúsculas, mayúsculas, números y símbolos (conjunto = 88) tiene 10 × log₂(88) ≈ 64.6 bits. La misma longitud, pero el conjunto más grande hace que cada carácter funcione más duro.
¿Cuántos Bits Es "Seguro"?
Umbrales aproximados modernos (asumiendo una contraseña bien hasheada que sobreviva a una filtración de base de datos — si el sitio usa bcrypt o argon2, como debería):
- Menos de 40 bits: crackeable en minutos por una sola GPU.
- 40–60 bits: crackeable en horas a semanas por un atacante serio con una granja de GPUs.
- 60–80 bits: seguro contra fuerza bruta sin conexión actual. Buen objetivo para cuentas individuales.
- 80–100 bits: resistente a cualquier adversario actual, incluyendo estados-nación, durante la vida útil del hardware actual.
- 100+ bits: excesivo para cualquier modelo de amenaza realista.
Apunta a 80 bits en cualquier cosa que proteja dinero, identidad o infraestructura. Apunta a 100+ en la contraseña maestra de tu gestor de contraseñas.
La Trampa De La Contraseña "Compleja"
Los usuarios a los que se les pide crear una contraseña "compleja" eligen patrones predecibles: capitalizar la primera letra, añadir un número al final, cambiar a por @. Password1! tiene 10 caracteres y parece compleja para un humano. Para un cracker, es un intento — aparece en cada diccionario de contraseñas filtradas.
La entropía real de las contraseñas elegidas por el usuario es dramáticamente menor de lo que sugiere su tamaño de conjunto, porque los humanos no son buenos siendo aleatorios. Los estudios consistentemente la sitúan alrededor de 20–30 bits independientemente de la complejidad reclamada.
Por Qué Las Frases de Contraseña Ganan
Una frase de contraseña es 4–7 palabras aleatorias unidas con guiones: jardin-rio-lapiz-fuerte-atardecer-puente. Seis palabras aleatorias de una lista de 512 palabras tienen 6 × log₂(512) = 54 bits de entropía — más de lo que la mayoría logra con su contraseña "compleja", y dramáticamente más memorable.
Escala a siete palabras y cruzas 63 bits. Ocho palabras de una lista de 7776 palabras (Diceware) da 103 bits. Todo mientras es fácil de escribir, fácil de recordar, e inmune a la mayoría de ataques de diccionario (porque la combinación es aleatoria aunque cada palabra sea común).
Contraseñas Pronunciables: El Término Medio
Para escenarios donde una contraseña tiene que ser dictada por teléfono, las contraseñas pronunciables alternan consonantes y vocales: baketomiloguno. Cada sílaba (consonante + vocal) tiene log₂(21 × 5) ≈ 6.7 bits de entropía, así que seis sílabas da ~40 bits.
Más débil que las frases de contraseña pero más fuerte que las contraseñas típicas elegidas por humanos, y críticamente más fácil de leer en voz alta sin preguntar "¿fue eso una O o un cero?".
Generar Contraseñas Seguras
No confíes en la aleatoriedad humana. Usa una herramienta. El Generador de Contraseñas aukimi ofrece tres modos — aleatorio, frase de contraseña y pronunciable — con un medidor de entropía en vivo para que veas exactamente cuán fuerte es tu salida. Usa crypto.getRandomValues (la fuente aleatoria criptográficamente segura del navegador) y aplica rechazo de muestreo para eliminar sesgo de módulo.
Críticamente: la generación ocurre enteramente en tu navegador. Nada se transmite, registra o almacena. Abre tu pestaña de red de devtools mientras generas — verás cero solicitudes salir de la página.
La Una Regla
Usa un gestor de contraseñas. Genera una contraseña aleatoria larga para cada sitio (tu gestor de contraseñas nunca la olvida, así que la longitud no importa para la usabilidad). Usa una frase de contraseña como la contraseña maestra de tu gestor de contraseñas — esa es la que tienes que recordar.
Todo lo demás es optimización. Acertad este patrón y estaréis por delante del 95% de los usuarios.
¿Te gustó este artículo?
Artículos Relacionados
La pila creativa acaba de colapsar: Una semana de herramientas de IA, finales de abril de 2026
Entre el 27 de abril y el 4 de mayo de 2026, Adobe, Luma, Novi, fal, Figma, Canva, HeyGen y Anthropic cruzaron el mismo umbral en ocho días. Aquí está lo que se lanzó, qué significa, y dónde deja a los navegadores creativos basados en web intentando consolidarlo todo.
Música y SFX de IA en 2026: Qué Realmente Funciona en el Audio de Juegos Indie
Hace tres años, el audio de juegos indie significaba o licenciar bibliotecas libres de regalías (barato, genérico, todos los juegos suenan igual) o contratar a un compositor (excelente, caro). En 2026, la IA genera música que se lanza al mercado. Aquí está qué herramientas funcionan — y dónde un compositor humano sigue ganando.
Generación de Mallas con IA en 2026: Lo Que Realmente se Envía en Pipelines de Juegos
Image-to-3D pasó de "demo inquietante" a "en uso en proyectos indie" en dieciocho meses. Esto es lo que Tripo, Meshy, Rodin e Hyper3D realmente hacen en producción — y dónde el artista 3D sigue ganando cada vez.