Calculadora Fortaleza de Contraseña — Entropía🇦🇷 Actualizado mayo de 2026

La fórmula es E = L × log₂(N), donde L es el largo de la contraseña y N es el tamaño del alfabeto (los tipos de caracteres disponibles). Si usás solo minúsculas, N = 26. Si agregás mayúsculas, N = 52. Con números, N = 62. Con símbolos comunes, N ≈ 94. Ejemplo concreto: una contraseña de 12 caracteres con mix completo tiene E = 12 × log₂(94) = 12 × 6.55 ≈ 78.6 bits. Cada carácter extra de ese mismo tipo agrega 6.55 bits más. Por eso el largo importa tanto: es un multiplicador lineal, mientras que agregar un nuevo tipo de carácter solo amplía el logaritmo marginalmente.

Las guías NIST SP 800-63B (edición vigente) no fijan un número exacto de bits, pero la industria maneja estos umbrales prácticos: menos de 40 bits = débil, crackeable en minutos; 40-60 bits = baja, crackeable en días/semanas con hardware moderno; 60-80 bits = aceptable para cuentas de bajo riesgo; 80-100 bits = fuerte, recomendado para email, redes sociales, trabajo; más de 100 bits = muy fuerte, recomendado para cuentas bancarias, password manager master password y sistemas críticos. En Argentina, la Dirección Nacional de Ciberseguridad recomienda alinearse con estándares internacionales como NIST e ISO/IEC 27001 para sistemas gubernamentales y empresariales.

Porque el largo multiplica linealmente la entropía, mientras que agregar tipos de caracteres solo amplía el logaritmo. Tomemos dos ejemplos: 'P@ssw0rD!' tiene 9 caracteres con alfabeto de ~94 símbolos = 59 bits. En cambio, 'llama-techo-verde-martes' tiene 23 caracteres con solo 27 símbolos (minúsculas + guion) = 109 bits. La passphrase es casi el doble de segura matemáticamente, y encima es infinitamente más fácil de recordar. El concepto lo popularizó el cómic xkcd #936, pero la matemática es rigurosa. La condición clave: las palabras deben ser elegidas al azar, no una frase que tenga sentido para vos (eso reduce dramáticamente la entropía real).

Es una estimación del tiempo que le llevaría a un atacante probar todas las combinaciones posibles (ataque de fuerza bruta) en el peor escenario para vos: que obtuvo el hash de tu contraseña y usa hardware potente. La tasa de intentos varía enormemente según cómo el sitio almacenó tu contraseña: con MD5 o SHA-1 (hashing rápido, inseguro) una GPU moderna prueba 10.000 millones de combinaciones por segundo. Con bcrypt o Argon2 (hashing lento, correcto), baja a miles por segundo. Nuestra calculadora asume el peor caso (hashing débil) para darte el margen más conservador. Si el tiempo que muestra ya es 'millones de años' en el peor caso, tu contraseña es sólida en cualquier escenario.

Sí, y es importante entenderlo. La entropía calculada aquí asume que tu contraseña fue elegida completamente al azar del espacio de caracteres. Si tu contraseña es una palabra del diccionario, un nombre propio, una fecha de nacimiento o una sustitución obvia ('3' por 'e', '@' por 'a'), la entropía real es mucho menor que la calculada. Un diccionario de ataque moderno incluye las 10 millones de contraseñas más usadas, variaciones con números al final, sustituciones leetspeak y palabras en español. Por eso 'F@lc0n1!99' parece tener 72 bits pero en la práctica se crackea mucho antes. La calculadora mide el límite superior teórico; la entropía real depende de qué tan verdaderamente aleatoria fue tu elección.

Parcialmente, pero no es excusa para tener contraseñas débiles. El 2FA basado en app TOTP (Google Authenticator, Aegis) o en hardware key (YubiKey) protege incluso si tu contraseña fue filtrada en una brecha de datos, porque el atacante también necesita acceso físico a tu dispositivo o token. Sin embargo, el 2FA no protege en todos los escenarios: ataques de phishing sofisticados pueden capturar el código TOTP en tiempo real; el 2FA por SMS es vulnerable a SIM swapping (en Argentina el ENACOM regula esto pero los ataques ocurren). La combinación ideal es contraseña fuerte + 2FA por app o hardware key. Activá 2FA en email, homebanking, WhatsApp y cualquier cuenta que tenga acceso a dinero o datos sensibles.

El estándar NIST SP 800-63B (revisión de 2024) establece un mínimo de 8 caracteres para contraseñas generadas por usuarios, pero recomienda sistemas que soporten hasta 64 caracteres. En la práctica, con hardware actual, 8 caracteres es insuficiente para cuentas sensibles. Los umbrales recomendados son: 12 caracteres mínimo para cuentas cotidianas con mix de tipos (≈78 bits); 16-20 caracteres para cuentas bancarias, email principal y password master (≈100-130 bits); 4-6 palabras aleatorias si preferís passphrases (≈100-150 bits). Lo más importante: que sea única para cada sitio. Reutilizar una contraseña fuerte en 10 sitios la vuelve tan débil como el sitio menos seguro de los 10.

Podés consultar el servicio Have I Been Pwned (haveibeenpwned.com), creado por el investigador de seguridad Troy Hunt. Tiene una base de datos de más de 12.000 millones de credenciales filtradas en brechas conocidas. También ofrece una API que usan password managers como Bitwarden para verificar contraseñas en tiempo real sin enviar la contraseña completa al servidor (usa un sistema de hash parcial llamado k-anonymity). En Argentina, varias filtraciones importantes llegaron a esa base: datos del RENAPER, Mercado Libre (2022, 300.000 empleados afectados) y numerosos e-commerce locales. Si tu contraseña aparece en esa base, cambiala inmediatamente, especialmente si la estás reutilizando en múltiples sitios.

Un password manager es una aplicación que genera, almacena y autocompleta contraseñas únicas y aleatorias para cada sitio web o servicio. Resuelve el problema real: los humanos no podemos recordar 50 contraseñas de 16 caracteres aleatorios. Las opciones más reconocidas son Bitwarden (código abierto, gratuito, con opción de autoalojamiento) y 1Password (pago, muy pulido). Ambas están disponibles en español, tienen apps para Android e iOS, y extensiones para todos los navegadores. La contraseña maestra que protege tu vault sí necesita ser memorable: una passphrase de 5-6 palabras aleatorias es ideal (≈130 bits). Importante: activá 2FA en tu cuenta del password manager, es la llave de todo lo demás.

Esta calculadora no almacena, no envía ni registra ninguna contraseña que ingreses. El cálculo se hace completamente en tu navegador (JavaScript del lado del cliente). No hay servidor que reciba el texto de tu contraseña. De todas formas, como práctica de higiene digital: evitá ingresar contraseñas reales en cualquier sitio web, incluso en herramientas de análisis. Lo que sí podés hacer es ingresar la estructura de tu contraseña (largo y tipos de caracteres) sin escribir la contraseña en sí, que es exactamente cómo funciona esta calculadora.

Las guías NIST SP 800-63B de 2024 cambiaron bastante la recomendación tradicional. Ya no recomiendan forzar cambios de contraseña periódicos (eso lleva a contraseñas más débiles y predecibles), ni exigir mezcla de tipos de caracteres obligatoriamente. Lo que sí recomiendan: longitud mínima de 8 caracteres (idealmente 12+), permitir hasta 64 caracteres, aceptar todos los caracteres Unicode incluyendo espacios, verificar contra diccionarios de contraseñas comprometidas al momento del registro, no usar hints ni preguntas de seguridad, y ofrecer 2FA. Para sistemas críticos en Argentina que deban cumplir con normativas como la Ley 25.326 de Protección de Datos Personales (Habeas Data) o disposiciones de la ex AFIP/ARCA, las políticas de acceso son parte del cumplimiento obligatorio.

Sí, aunque no siempre tan específica como los estándares internacionales. La Ley 25.326 (Protección de Datos Personales) y su decreto reglamentario establecen obligaciones de seguridad para quienes almacenan datos personales, incluyendo medidas de control de acceso. La Disposición DNPDP 47/2018 detalla medidas de seguridad según el nivel de sensibilidad de los datos. Para organismos del Estado nacional, la Resolución 580/2011 de la ex Oficina Nacional de Tecnologías de Información (ONTI) fijó políticas de seguridad que incluyen requisitos de contraseñas. La Dirección Nacional de Ciberseguridad (bajo la Secretaría de Innovación Pública) publica guías y alertas sobre buenas prácticas. Para fintech y entidades financieras, el BCRA tiene comunicaciones sobre seguridad informática que incluyen gestión de accesos y autenticación.