Vida cotidiana

Medidor de Fuerza de Contraseña🇦🇷 Actualizado abril de 2026

Q: ¿Cuántos caracteres tiene que tener una contraseña para ser segura en 2026?

El estándar NIST SP 800-63B (actualizado en 2024) recomienda un mínimo de **8 caracteres** para cuentas generales, pero en la práctica la industria apunta a **12–16 caracteres** como piso para cuentas sensibles. Con 12 caracteres y ASCII completo (95 símbolos) obtenés ~79 bits de entropía, lo que requeriría millones de años para crackear con hardware actual. Para cuentas bancarias o de correo, apuntá a 16+ caracteres.

Q: ¿El medidor de fuerza garantiza que mi contraseña no puede ser hackeada?

No. El medidor evalúa resistencia a **ataques de fuerza bruta**, pero existen otros vectores: phishing (te engañan para que la escribas), keyloggers (malware que registra teclas), brechas en el servidor del sitio web, o ingeniería social. Una contraseña fuerte es necesaria pero no suficiente: combinala siempre con **autenticación de dos factores (2FA)** para protección real.

Q: ¿Por qué 'contraseña123' sigue siendo una de las más usadas si es tan insegura?

Según el informe anual de NordPass 2023, `123456` fue la contraseña más usada globalmente por tercer año consecutivo, con más de 4,5 millones de exposiciones. El problema es psicológico: el cerebro humano prefiere la memorabilidad sobre la seguridad. Las contraseñas fáciles de recordar son casi siempre fáciles de adivinar. Por eso la recomendación actual es usar un **gestor de contraseñas** (Bitwarden, KeePass) que las recuerde por vos.

Q: ¿Qué tan rápido puede crackear contraseñas una computadora moderna?

Depende del algoritmo de hash que use el sitio. Contra **MD5** (muy común en sitios viejos), una GPU RTX 4090 prueba ~164.000 millones de hashes/segundo. Contra **bcrypt** (más seguro, usado en sistemas modernos), la misma GPU solo alcanza ~184.000 intentos/segundo. Por eso el algoritmo de almacenamiento importa tanto como la longitud: una clave de 8 caracteres crackeada en 2 horas con MD5 requeriría 12 años con bcrypt.

Q: ¿El NIST ya no recomienda cambiar las contraseñas periódicamente?

Correcto. La guía **NIST SP 800-63B** (2017, reafirmada en 2024) eliminó la recomendación de cambios periódicos obligatorios, porque forzar cambios frecuentes lleva a los usuarios a elegir claves más débiles (`Verano2024 → Otoño2024`). Ahora se recomienda cambiarlas **solo si hay evidencia de compromiso** (breach conocido, sospecha de acceso no autorizado) y verificar regularmente en bases de datos de filtraciones.

Q: ¿Las passphrases de palabras (tipo Diceware) son realmente más seguras que una contraseña compleja corta?

Sí, en la mayoría de los casos. Una passphrase de 4 palabras aleatorias tipo Diceware (`luna-delta-faro-rio`) tiene entre 51 y 77 bits de entropía según el método de cálculo, es mucho más fácil de memorizar y teclear, y tiene más caracteres (longitud = ventaja). El método Diceware, creado por Arnold Reinhold en 1995, usa una lista de 7776 palabras y dados físicos para garantizar aleatoriedad verdadera.

Q: ¿Mi contraseña de la Clave Fiscal de AFIP cumple con los requisitos mínimos de seguridad?

AFIP exige para la Clave Fiscal nivel 2 y 3 contraseñas de al menos 8 caracteres con mayúsculas, minúsculas y números, pero **no obliga a usar símbolos**. Esto limita el alfabeto a N=62, lo que con 8 caracteres da apenas ~47 bits de entropía — suficiente hoy pero con margen justo. Se recomienda fuertemente usar 12+ caracteres y agregar símbolos aunque no sean obligatorios, dado que la Clave Fiscal da acceso a trámites impositivos críticos.

Q: ¿Qué es un ataque de diccionario y en qué se diferencia de la fuerza bruta?

Un **ataque de fuerza bruta** prueba todas las combinaciones posibles de caracteres (a, b, c... aa, ab...). Un **ataque de diccionario** usa listas prearmadas de contraseñas comunes, palabras del idioma, nombres propios y variaciones conocidas (reglas de leetspeak, sufijos de año, etc.). El diccionario RockYou2021 tiene 8.400 millones de entradas. Si tu contraseña está en esa lista, no importa cuán 'compleja' parezca: se crackea en segundos.

Calculadora Gratis · Privada

Revisado por: Martín Rodríguez (política editorial ) · Última revisión: 24 abr 2026

Reportar error

El Medidor de Fuerza de Contraseña analiza cuán resistente es tu clave frente a ataques de fuerza bruta, diccionario e ingeniería social. Evalúa cuatro dimensiones clave: longitud (el factor más crítico), variedad de caracteres (mayúsculas, minúsculas, números y símbolos), ausencia de patrones predecibles y no pertenencia a listas de contraseñas filtradas. La fórmula base calcula el espacio de búsqueda: si usás un alfabeto de N caracteres posibles y tu clave tiene L caracteres, existen N^L combinaciones posibles. Una contraseña de 16 caracteres con los 95 caracteres ASCII imprimibles genera 95^16 ≈ 4,4 × 10^31 combinaciones, lo que la hace prácticamente imposible de crackear con hardware actual. Usá esta herramienta antes de registrarte en bancos, redes sociales, correo o cualquier servicio que maneje tu información personal o financiera.

Última revisión: 23 de abril de 2026 Revisado por Martín Rodríguez Fuente: NIST SP 800-63B — Digital Identity Guidelines: Authentication and Lifecycle Management, Wikipedia ES — Seguridad de contraseñas 100% privado

Cuándo usar esta calculadora

Verificar si tu contraseña del home banking o cuenta de AFIP con Clave Fiscal es suficientemente fuerte antes de guardarla.
Comprobar la solidez de las claves de tus cuentas de e-commerce (Mercado Libre, Tienda Nube) donde tenés datos de tarjeta asociados.
Auditar contraseñas corporativas en PyMEs argentinas antes de una auditoría de seguridad informática o certificación ISO 27001.
Educar a familiares mayores sobre por qué '123456' o 'nombre+año de nacimiento' son peligrosas, mostrando el tiempo de hackeo en tiempo real.
Evaluar la seguridad de la clave de tu correo principal, que suele ser la llave maestra para recuperar todas las demás cuentas.

Ejemplo: MiContraseña123!

Longitud: 16 caracteres ✓
Mayúsculas: Sí ✓ Minúsculas: Sí ✓
Números: Sí ✓ Símbolos: Sí (!) ✓
Puntaje: 85/100 — Fuerte.

Resultado: Fuerte (85/100). Tiempo estimado de hackeo por fuerza bruta: miles de años. Buena contraseña.

Cómo funciona

4 min de lectura

Cómo se calcula

La fuerza de una contraseña se estima a partir de su entropía en bits, que mide cuánta incertidumbre (aleatoriedad) tiene la clave para un atacante.

Entropía (H) = L × log₂(N)

Donde:
  L = longitud de la contraseña (cantidad de caracteres)
  N = tamaño del alfabeto usado (ver tabla abajo)
  log₂ = logaritmo en base 2

Tiempo de crackeo estimado (segundos) = (N^L / 2) / velocidad_ataque

Velocidad de ataque típica (fuerza bruta offline con GPU 2024):
  ≈ 10^12 hashes/segundo para MD5
  ≈ 10^10 hashes/segundo para bcrypt (factor de costo 10)
  ≈ 10^9  hashes/segundo para SHA-256 con Hashcat

Puntaje (0–100) se calcula ponderando:
  +40 pts → longitud (escala logarítmica: 8c=20pts, 12c=32pts, 16c=40pts)
  +20 pts → variedad de clases de caracteres usadas (5 pts c/u)
  +20 pts → ausencia de patrones (fechas, teclado, palabras del diccionario)
  +20 pts → no aparece en bases de datos de contraseñas filtradas (HaveIBeenPwned)

---

Tabla de referencia

Alfabeto usado	N (caracteres posibles)	Entropía por carácter	Ejemplo típico
Solo números (PIN)	10	3,32 bits	`847291`
Minúsculas a–z	26	4,70 bits	`contrasena`
Minús. + mayús.	52	5,70 bits	`ConTrAsEnA`
Alfanumérico (a–z, A–Z, 0–9)	62	5,95 bits	`Contra2024`
ASCII imprimible completo	95	6,57 bits	`C0ntr@$3ñ@!`
Diceware (lista de 7776 palabras)	7776	12,92 bits/palabra	`cabra-luna-delta-faro`

Umbrales de fuerza por entropía total:

Fuerza	Entropía	Ejemplo (ASCII completo)	Tiempo de crackeo*
Muy débil	< 28 bits	`abc` (3 chars)	Menos de 1 segundo
Débil	28–35 bits	`casa123` (7 chars, alfanum.)	Segundos a minutos
Regular	36–59 bits	`Miperro2020` (11 chars)	Horas a semanas
Fuerte	60–127 bits	`G7#kLmQ!9xRt` (12 chars, ASCII)	Miles a millones de años
Muy fuerte	≥ 128 bits	`4xR!mK@9pL#2vQ$w` (16 chars, ASCII)	Astronomicamente imposible

\Considerando 10¹² intentos/segundo (ataque offline con hardware dedicado, 2024)*

---

Casos típicos

Caso 1 — Contraseña bancaria débil:
Un usuario usa Gonzalez1985 (12 caracteres, solo alfanumérico, contiene apellido y año de nacimiento).

N = 62, L = 12 → N^L ≈ 3,2 × 10²¹ combinaciones teóricas.

Pero al ser una palabra de diccionario + año, un ataque de diccionario la prueba en segundos.

Puntaje estimado: 32/100 — Débil. El penalizador de patrones baja drásticamente el puntaje.

Caso 2 — Contraseña fuerte con símbolo:
El usuario genera Tr0ub4dor&3 (11 caracteres, ASCII completo).

N = 95, L = 11 → H = 11 × 6,57 = 72,3 bits de entropía.

Tiempo de crackeo (10¹² intentos/s): ≈ 74.000 años.

Puntaje estimado: 72/100 — Fuerte.

Caso 3 — Passphrase tipo Diceware:
El usuario escribe cabra-luna-delta-faro (4 palabras Diceware, 21 caracteres con guiones).

Entropía: 4 × 12,92 = 51,7 bits (basada en vocabulario), pero longitud bruta con N=27 (minus+guión) da H = 21 × 4,75 ≈ 99,7 bits.

Es memorable Y muy segura. Puntaje estimado: 80/100 — Muy fuerte.

---

Errores comunes

1. Creer que la longitud no importa tanto como la complejidad. Falso: una contraseña de 20 caracteres solo con minúsculas (perrogatopajarocasa) tiene más entropía (94 bits) que X7!k con todos los tipos de caracteres (26 bits). La longitud es el factor dominante.

2. Usar sustituciones obvias de letras por números. Reemplazar a→4, e→3, o→0 es una técnica tan conocida que todos los crackers modernos la incluyen como regla por defecto (modo "leetspeak" en Hashcat). P4$$w0rd no es segura.

3. Reutilizar la misma contraseña en múltiples sitios. Si un sitio menor sufre un breach y tu clave queda expuesta en texto plano, el atacante la probará automáticamente en Gmail, Facebook, home banking y AFIP. Esto se llama credential stuffing.

4. Confiar solo en el medidor de fuerza sin verificar filtraciones. Una contraseña puede tener entropía alta pero haber sido filtrada en brechas masivas (como las de LinkedIn 2012 o RockYou 2021 con 8.400 millones de claves). Siempre verificá en HaveIBeenPwned.

5. Agregar el año o ! al final como "refuerzo". Patrones tipo Verano2024! son exactamente lo que los atacantes esperan: palabra del diccionario + año + símbolo final. Los crackers los prueban primero.

6. Usar información personal identificable (PII). DNI, fecha de nacimiento, nombre de mascota o pareja son los primeros candidatos en un ataque de ingeniería social dirigido.

---

Calculadoras relacionadas

Generador de Contraseña Segura — Creá una clave aleatoria y fuerte directamente, sin inventarla vos.

Generador de Código QR — Convertí tu contraseña Wi-Fi en un QR para compartirla sin escribirla.

Calculadora de Porcentajes — Entendé qué porcentaje de mejora implica pasar de una clave débil a una fuerte.

Calculadora de Aniversario de Pareja — Si usabas la fecha de tu aniversario como contraseña, ¡este es el momento de cambiarla!

Preguntas frecuentes

¿Cuántos caracteres tiene que tener una contraseña para ser segura en 2026?

El estándar NIST SP 800-63B (actualizado en 2024) recomienda un mínimo de 8 caracteres para cuentas generales, pero en la práctica la industria apunta a 12–16 caracteres como piso para cuentas sensibles. Con 12 caracteres y ASCII completo (95 símbolos) obtenés ~79 bits de entropía, lo que requeriría millones de años para crackear con hardware actual. Para cuentas bancarias o de correo, apuntá a 16+ caracteres.

¿El medidor de fuerza garantiza que mi contraseña no puede ser hackeada?

No. El medidor evalúa resistencia a ataques de fuerza bruta, pero existen otros vectores: phishing (te engañan para que la escribas), keyloggers (malware que registra teclas), brechas en el servidor del sitio web, o ingeniería social. Una contraseña fuerte es necesaria pero no suficiente: combinala siempre con autenticación de dos factores (2FA) para protección real.

¿Por qué 'contraseña123' sigue siendo una de las más usadas si es tan insegura?

Según el informe anual de NordPass 2023, 123456 fue la contraseña más usada globalmente por tercer año consecutivo, con más de 4,5 millones de exposiciones. El problema es psicológico: el cerebro humano prefiere la memorabilidad sobre la seguridad. Las contraseñas fáciles de recordar son casi siempre fáciles de adivinar. Por eso la recomendación actual es usar un gestor de contraseñas (Bitwarden, KeePass) que las recuerde por vos.

¿Qué tan rápido puede crackear contraseñas una computadora moderna?

Depende del algoritmo de hash que use el sitio. Contra MD5 (muy común en sitios viejos), una GPU RTX 4090 prueba ~164.000 millones de hashes/segundo. Contra bcrypt (más seguro, usado en sistemas modernos), la misma GPU solo alcanza ~184.000 intentos/segundo. Por eso el algoritmo de almacenamiento importa tanto como la longitud: una clave de 8 caracteres crackeada en 2 horas con MD5 requeriría 12 años con bcrypt.

¿El NIST ya no recomienda cambiar las contraseñas periódicamente?

Correcto. La guía NIST SP 800-63B (2017, reafirmada en 2024) eliminó la recomendación de cambios periódicos obligatorios, porque forzar cambios frecuentes lleva a los usuarios a elegir claves más débiles (Verano2024 → Otoño2024). Ahora se recomienda cambiarlas solo si hay evidencia de compromiso (breach conocido, sospecha de acceso no autorizado) y verificar regularmente en bases de datos de filtraciones.

¿Las passphrases de palabras (tipo Diceware) son realmente más seguras que una contraseña compleja corta?

Sí, en la mayoría de los casos. Una passphrase de 4 palabras aleatorias tipo Diceware (luna-delta-faro-rio) tiene entre 51 y 77 bits de entropía según el método de cálculo, es mucho más fácil de memorizar y teclear, y tiene más caracteres (longitud = ventaja). El método Diceware, creado por Arnold Reinhold en 1995, usa una lista de 7776 palabras y dados físicos para garantizar aleatoriedad verdadera.

¿Mi contraseña de la Clave Fiscal de AFIP cumple con los requisitos mínimos de seguridad?

AFIP exige para la Clave Fiscal nivel 2 y 3 contraseñas de al menos 8 caracteres con mayúsculas, minúsculas y números, pero no obliga a usar símbolos. Esto limita el alfabeto a N=62, lo que con 8 caracteres da apenas ~47 bits de entropía — suficiente hoy pero con margen justo. Se recomienda fuertemente usar 12+ caracteres y agregar símbolos aunque no sean obligatorios, dado que la Clave Fiscal da acceso a trámites impositivos críticos.

¿Qué es un ataque de diccionario y en qué se diferencia de la fuerza bruta?

Un ataque de fuerza bruta prueba todas las combinaciones posibles de caracteres (a, b, c... aa, ab...). Un ataque de diccionario usa listas prearmadas de contraseñas comunes, palabras del idioma, nombres propios y variaciones conocidas (reglas de leetspeak, sufijos de año, etc.). El diccionario RockYou2021 tiene 8.400 millones de entradas. Si tu contraseña está en esa lista, no importa cuán 'compleja' parezca: se crackea en segundos.

Fuentes y referencias

Metodología y confianza

Editorial

Contenido revisado por el equipo editorial de Hacé Cuentas, con apego a nuestra política editorial y metodología de cálculo.

Actualización

Última revisión: 23 de abril de 2026. Los parámetros fiscales, legales y datos se verifican periódicamente con las fuentes citadas.

Privacidad

Los cálculos corren 100% en tu navegador. No guardamos ni transmitimos tus datos. Leé nuestra política de privacidad.

Limitaciones

Resultados orientativos. Para decisiones financieras, médicas o legales críticas, consultá con un profesional.