Cómo crear una contraseña segura (de la forma correcta)

Para crear una contraseña segura, hazla larga y aleatoria: apunta a un mínimo de 16 caracteres generados por una fuente criptográficamente segura, y usa una distinta para cada cuenta. La longitud y la imprevisibilidad son lo que de verdad detiene a los atacantes, no cuántos signos de exclamación logres meter. La forma más rápida de conseguir una es dejar que una herramienta la cree por ti, como el generador de contraseñas de Andev, que crea las contraseñas directamente en tu navegador y nunca las envía a ninguna parte.

Qué hace realmente segura a una contraseña

Una contraseña es segura cuando es difícil de adivinar y difícil de descifrar por fuerza bruta. Dos cosas determinan eso:

• Longitud. Cada carácter adicional multiplica el número de combinaciones posibles que un atacante tiene que probar. Esa multiplicación es exponencial, así que cada carácter que añades importa más que el anterior.
• Aleatoriedad. Los caracteres tienen que ser genuinamente impredecibles. Una contraseña construida a partir de una palabra, un nombre, una fecha de nacimiento o un patrón de teclado es fácil de adivinar para el software por muy larga que parezca.

En pocas palabras: una contraseña larga y aleatoria es segura. Una corta y «ingeniosa» no lo es. Todo lo demás —qué símbolos usas, dónde pones una mayúscula— es un error de redondeo al lado de esos dos factores.

El mito de longitud frente a complejidad

Durante años, el consejo estándar fue «usa una contraseña compleja»: mezcla mayúsculas, minúsculas, números y símbolos. Ese consejo produjo contraseñas como P@ssw0rd!, que parecen complejas pero en realidad son débiles, porque los atacantes conocen exactamente las sustituciones que hace la gente (la a se convierte en @, la o en 0, un signo de exclamación va al final).

Las matemáticas cuentan una historia más clara. Añadir un carácter más a una contraseña multiplica el número de intentos que necesita un atacante por el tamaño de tu conjunto de caracteres. Añadir un símbolo especial solo amplía ese conjunto un poco. Así que una contraseña más larga casi siempre supera a una más corta y «compleja»: como muestra el gráfico de arriba, la longitud eleva la dificultad mucho más rápido que salpicar signos de puntuación.

Por eso una frase de contraseña de varias palabras aleatorias puede ser a la vez segura y fácil de recordar. Una cadena de palabras no relacionadas y elegidas al azar es larga, difícil de adivinar y más fácil de teclear que un muro de símbolos. La palabra clave es aleatoria: una frase que elegiste porque tiene significado para ti es exactamente el tipo de cosa que la lista de palabras de un atacante ya contiene.

Las reglas de complejidad siguen teniendo su lugar

Muchos sitios obligan a mezclar tipos de caracteres, y una contraseña generada cumplirá esas reglas de todos modos. El objetivo no es evitar los símbolos, sino dejar de depender de ellos como tu fuente de seguridad. Acierta primero con la longitud y la aleatoriedad, y la complejidad se resuelve sola.

Por qué «generarla» supera a «inventársela»

Los humanos somos pésimos generadores de números aleatorios. Recurrimos a palabras, fechas, nombres de mascotas y patrones, y nos repetimos entre cuentas. Los atacantes explotan exactamente estos hábitos.

Un buen generador elimina las conjeturas tomando una fuente de aleatoriedad criptográficamente segura. En un navegador, esa fuente es la Web Crypto API, en concreto crypto.getRandomValues(), que está diseñada para ser impredecible. Eso es muy distinto de las simples funciones «aleatorias» que se usan para cosas como barajar una lista de reproducción, que son lo bastante predecibles como para que nunca deban usarse para seguridad.

El generador de contraseñas de Andev está construido precisamente sobre esto. Produce contraseñas de forma local, en tu navegador, usando la Web Crypto API. Como el trabajo sucede en tu dispositivo, la contraseña generada nunca se envía a ninguna parte: no hay ningún servidor que la vea, la registre o pueda filtrarla. Obtienes una contraseña segura sin confiar el resultado a un tercero.

Una lista de comprobación práctica

Sigue estos puntos y habrás cubierto las cosas que de verdad importan:

• Hazla larga. Usa al menos 16 caracteres. Cuantos más, mejor, y el coste para ti es casi nulo una vez que un generador y un gestor de contraseñas se encargan de teclear.
• Hazla aleatoria. Genérala a partir de una fuente criptográficamente segura en lugar de inventarte una tú mismo.
• Nunca la bases en información personal. Sin nombres, fechas de nacimiento, direcciones, equipos favoritos ni nada que alguien pudiera encontrar o adivinar sobre ti.
• Usa una contraseña única por sitio. Una cuenta por contraseña. Si vulneran un solo sitio, el daño se detiene ahí.
• Nunca reutilices contraseñas. La reutilización es cómo una contraseña filtrada se convierte en muchas cuentas comprometidas mediante el «relleno de credenciales» (credential stuffing), donde los atacantes reutilizan inicios de sesión filtrados en otros sitios.
• Guárdalas en un gestor de contraseñas. No se espera que memorices docenas de cadenas aleatorias de 16 caracteres; ese es el trabajo del gestor. Además las rellena por ti, así que la longitud deja de ser un inconveniente.
• Activa la autenticación de dos factores (2FA). Una contraseña segura es tu primera línea de defensa; el 2FA es un segundo cerrojo que aguanta aunque la contraseña quede expuesta de algún modo.

Cómo crear una en unos segundos

1. Abre el generador de contraseñas.
2. Fija la longitud en 16 o más (más larga para las cuentas que de verdad te importan).
3. Elige los tipos de caracteres que quieres; la mayoría de los sitios se conforman con una mezcla completa.
4. Copia la contraseña generada en tu gestor de contraseñas mientras creas o actualizas la cuenta.
5. Activa el 2FA siempre que la cuenta lo ofrezca.

Ese es todo el flujo de trabajo. El generador se encarga de la aleatoriedad, el gestor de contraseñas se encarga de la memoria, y nunca más tienes que inventar ni reutilizar una contraseña.

Una nota sobre las herramientas relacionadas

Las contraseñas y el hash son fáciles de confundir, así que conviene tenerlo claro: una contraseña es un secreto que guardas y reutilizas para iniciar sesión, mientras que un hash es una huella unidireccional de unos datos, que a menudo se usa para verificar la integridad en lugar de para autenticarte. Si necesitas producir una suma de comprobación de un archivo o una cadena, esa es tarea de un generador de hash, no un sustituto de una contraseña segura y única. No pegues tus contraseñas en una herramienta de hash esperando que las vuelva seguras de almacenar; eso no es lo que implica el hash de una contraseña para el inicio de sesión de una cuenta.

Conclusiones clave

• La longitud y la aleatoriedad ganan. Son los dos únicos factores que deciden de forma significativa lo difícil que es descifrar una contraseña.
• El mito de la complejidad no es más que eso. Una frase de contraseña larga y aleatoria supera siempre a una contraseña corta y «compleja» como P@ssw0rd!.
• Deja que una herramienta segura la genere. Usa una fuente construida sobre crypto.getRandomValues() de la Web Crypto API, no una cadena adivinable o elegida por una persona.
• Una contraseña única por sitio, siempre. Nunca la reutilices, nunca la bases en información personal y guárdalas en un gestor de contraseñas.
• Añade un segundo cerrojo. Activa la autenticación de dos factores para que una sola contraseña expuesta no signifique el fin del juego.

Que tu próxima contraseña sea una contraseña segura

El generador de contraseñas es gratuito, no requiere registro y se ejecuta por completo en tu navegador: tu contraseña se construye de forma local con la Web Crypto API y nunca sale de tu dispositivo. Genera una contraseña aleatoria de 16 caracteres con un clic, ponla en tu gestor de contraseñas y explora el resto de las herramientas privadas y dentro del navegador de Andev para más tareas de seguridad hechas de esa misma forma privada.