Seguridad de contraseñas en 2026: qué funciona de verdad
Más allá de lo básico: cómo funcionan los ataques modernos a contraseñas, por qué fallan las reglas de complejidad y qué protege genuinamente tus cuentas hoy en día.
El consejo no ha cambiado en 20 años: usa contraseñas seguras. Pero el panorama de amenazas ha cambiado drásticamente. Esto es lo que realmente funciona en 2026, y por qué las reglas antiguas a menudo no sirven.
Cómo se comprometen las contraseñas
Entender el ataque cambia la defensa:
Relleno de credenciales — Los atacantes toman pares de usuario/contraseña filtrados de una brecha (existen miles de millones en bases de datos públicas) y los prueban en otros sitios. Si reutilizas contraseñas, una sola brecha lo compromete todo.
Fuerza bruta — Probar sistemáticamente cada combinación posible. Poco práctico contra contraseñas largas y aleatorias, pero devastadoramente eficaz contra las cortas o basadas en patrones.
Ataques de diccionario — Usar listas de contraseñas comunes y sus variantes (password, P@ssw0rd, password123). Las reglas de complejidad que generan estos patrones ofrecen una falsa seguridad.
Phishing — Engañarte para que introduzcas tu contraseña en un sitio falso. Aquí no ayuda ninguna fortaleza de contraseña.
Filtraciones de credenciales — Bases de datos de servicios vulnerados. Consulta haveibeenpwned.com para ver si tu correo aparece en brechas conocidas.
Por qué fallan las reglas de complejidad
Las reglas clásicas —"debe contener mayúsculas, minúsculas, un número y un símbolo"— generan patrones predecibles:
Summer2024!— Cumple todas las reglas, se descifra en segundos con un ataque de diccionarioCorrect!Horse2#— El mismo problema
Estas reglas fueron diseñadas para contraseñas memorables por humanos. Fallan porque los humanos siguen los mismos patrones. La propia regla se convierte en el vector de ataque.
Qué aporta realmente la longitud
Velocidad de descifrado de contraseñas en 2024 (GPU, hash bcrypt):
| Longitud | Conjunto de caracteres | Tiempo para descifrar |
|---|---|---|
| 8 chars | Solo minúsculas | Segundos |
| 8 chars | Mixto + símbolos | Minutos a horas |
| 12 chars | Mixto + símbolos | Meses |
| 16 chars | Mixto + símbolos | Siglos |
| 20 chars | Solo minúsculas | Siglos también |
La longitud supera a la complejidad. Una contraseña de 20 caracteres en minúsculas es más segura que una "compleja" de 8 caracteres. Cada carácter adicional multiplica el espacio de búsqueda.
Diceware: memorable y segura
Diceware genera frases de contraseña a partir de palabras seleccionadas aleatoriamente:
correct-horse-battery-staple
Esta frase de 4 palabras es:
- Memorable — realmente puedes recordarla
- Segura — 4 palabras comunes de la lista EFF ofrecen ~51 bits de entropía
- Rápida de escribir — sin caracteres especiales que buscar
Añadir una 5ª palabra la eleva a ~64 bits, más fuerte que la mayoría de contraseñas "complejas" de 12 caracteres y mucho más fácil de recordar.
Prueba nuestro Generador de contraseñas Diceware — utiliza aleatoriedad criptográfica y la lista de palabras EFF.
Contraseñas aleatorias para todo lo demás
Para cuentas donde no necesitas escribir la contraseña (el 90% de los sitios), un gestor de contraseñas genera y almacena contraseñas completamente aleatorias:
K7#mP2xQnL9vR4tY
Nunca necesitas verla ni escribirla. El gestor la introduce automáticamente. Nuestro Generador de contraseñas crea estas con longitud y conjuntos de caracteres configurables.
La regla fundamental: una contraseña única por sitio, sin excepción. La reutilización es el mayor error de seguridad con contraseñas.
Comprobar la fortaleza de una contraseña
No todos los comprobadores de fortaleza son iguales. Uno bueno evalúa:
- Entropía (aleatoriedad efectiva), no solo el cumplimiento de reglas
- Detección de patrones —
P@ssw0rdobtiene mala puntuación a pesar de cumplir las reglas de complejidad - Pertenencia a diccionarios — ¿Es esta una contraseña débil conocida?
Nuestro Comprobador de fortaleza de contraseñas usa zxcvbn, la misma biblioteca que desarrolló Dropbox: modela ataques realistas en lugar de simplemente marcar casillas.
Autenticación de dos factores (2FA)
La acción de seguridad con mayor impacto que puedes tomar es activar 2FA en las cuentas importantes. Incluso una contraseña comprometida no puede iniciar sesión sin el segundo factor.
TOTP (contraseñas de un solo uso basadas en tiempo) — aplicaciones como Google Authenticator generan un código de 6 dígitos que cambia cada 30 segundos. Nuestro Generador TOTP te permite probar flujos TOTP con una clave secreta.
Cuentas prioritarias para 2FA:
- Correo electrónico (controla la recuperación de cuenta de todo lo demás)
- Gestor de contraseñas
- Cuentas bancarias y financieras
- Cuentas de trabajo
Claves SSH y RSA: contraseñas para máquinas
Para el acceso a servidores y la autenticación de API, usa pares de claves en lugar de contraseñas:
- Claves SSH — Las claves Ed25519 son el estándar moderno para el acceso a servidores. Genéralas con nuestro Generador de claves SSH.
- Claves RSA — Usadas para cifrado, firma y sistemas heredados. Genera pares de 2048 o 4096 bits con nuestro Generador de claves RSA.
Las claves son fundamentalmente más seguras que las contraseñas porque son demasiado largas para escribirlas, demasiado aleatorias para adivinarlas y nunca viajan por la red.
Resumen
La jerarquía de seguridad, en orden de impacto:
- Contraseña única por sitio — usa un gestor de contraseñas
- Larga y aleatoria — 16 o más caracteres para contraseñas escritas, o diceware para las memorables
- 2FA en cuentas críticas — especialmente el correo electrónico
- Comprueba la exposición en brechas — cambia de inmediato cualquier contraseña comprometida
Las reglas de complejidad, la rotación periódica forzada y las preguntas de seguridad son seguridad teatral obsoleta. La longitud, la unicidad y el 2FA son lo que realmente te protege.