Cómo Crear Contraseñas Seguras en 2025 — Guía Completa

Por qué las contraseñas típicas son inseguras

El 80% de las brechas de seguridad se deben a contraseñas débiles o reutilizadas. Hay tres formas principales en que los hackers descifran contraseñas:

Ataque de diccionario: prueban millones de palabras comunes y sus variaciones (P@ssw0rd, qwerty123, etc.)
Ataque de fuerza bruta: prueban todas las combinaciones posibles. Una GPU moderna puede probar miles de millones de contraseñas por segundo.
Credential stuffing: usan contraseñas filtradas de otras brechas. Si usas la misma contraseña en varios sitios, una brecha te compromete en todos.

Cuánto tarda en crackearse tu contraseña

Contraseña	Tipo	Tiempo estimado
123456	Solo números	Instantáneo
password	Diccionario	Instantáneo
P@ssw0rd	Leet speak	Segundos
Perro2024!	Palabra + año	~3 horas
Perro2024!@#	Con símbolos	~2 días
xK#9mP2@vLqR	Aleatoria 12 car.	~34.000 años
correcto-caballo-batería-grapa	Passphrase	Billones de años

Password vs. Passphrase: ¿cuál es mejor?

Durante años, la recomendación era usar contraseñas cortas con símbolos como "Tr0ub4dor&3". El NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.) revisó estas guías en 2024 y ahora recomienda exactamente lo contrario.

🔑 Password clásica

Tr0ub4dor&3

Difícil de recordar
Fácil de cracear con diccionario moderno
Cumple requisitos de complejidad
Seguridad real: baja

🛡️ Passphrase

correcto-caballo-batería-grapa

Fácil de recordar
Extremadamente segura
4 palabras = 28+ caracteres
Recomendada NIST 2024

Las 10 contraseñas más usadas (y hackeadas) en 2024

1 123456

2 password

3 123456789

4 12345678

5 qwerty

6 abc123

7 111111

8 1234567

9 iloveyou

10 dragon

Si usas alguna de estas, cámbiala ahora mismo.

Gestores de contraseñas: la solución definitiva

Un gestor de contraseñas genera y almacena contraseñas únicas y complejas para cada servicio. Solo necesitas recordar una contraseña maestra fuerte. Opciones recomendadas:

Bitwarden

Open source, gratis para uso personal, multiplataforma

✓ Recomendado

1Password

Premium, muy buena UX, equipo de seguridad serio

De pago

KeePass

Open source, local (offline), máximo control

Técnico

Autenticación en dos factores (2FA)

El 2FA es la segunda capa de seguridad más importante después de una buena contraseña. Incluso si alguien roba tu contraseña, no puede acceder sin el segundo factor.

🔐

App autenticadora (más seguro)

Google Authenticator, Authy, Microsoft Authenticator generan códigos que cambian cada 30 segundos.

📱

SMS (aceptable)

Código por SMS. Más vulnerable que las apps (SIM swapping), pero mucho mejor que nada.

🔑

Llave de seguridad física (máxima seguridad)

YubiKey, Google Titan. Inmunes al phishing. Recomendado para cuentas críticas.

Preguntas frecuentes

¿Cuántos caracteres debe tener una contraseña segura?

El NIST recomienda un mínimo de 15 caracteres para contraseñas aleatorias y 20+ para passphrases. La longitud es el factor más importante: cada carácter adicional multiplica exponencialmente el tiempo de crackeo.

¿Es seguro usar un gestor de contraseñas?

Sí, es mucho más seguro que reutilizar contraseñas. Los gestores serios (Bitwarden, 1Password, KeePass) usan cifrado AES-256. El único punto de fallo es tu contraseña maestra, que debe ser muy fuerte y habilitada con 2FA.

¿Qué es la autenticación de dos factores (2FA)?

El 2FA requiere dos evidencias de identidad: algo que sabes (contraseña) y algo que tienes (código en tu móvil) o algo que eres (huella). Aunque alguien robe tu contraseña, sin el segundo factor no puede acceder.

¿Por qué son malas las contraseñas con sustituciones como @ por a?

Los ataques de diccionario modernos incluyen estas sustituciones (leet speak). "P@ssw0rd" se descifra en segundos porque los hackers prueban exactamente estas variaciones. La longitud y aleatoriedad importan más que los trucos visuales.

Contraseñas seguras en 2025