Tiempo crackeo password🌎 Actualizado abril de 2026
Esta calculadora te muestra cuántas combinaciones posibles tiene tu contraseña y cuánto tiempo tardaría un atacante en probarlas todas mediante fuerza bruta, asumiendo una velocidad de 1.000 millones de intentos por segundo (1B/seg), que es un valor realista para hardware de gama alta con GPUs modernas. La fórmula es C = charset^longitud, donde charset es la cantidad de caracteres posibles según el conjunto elegido. Por ejemplo, una contraseña de 8 caracteres alfanuméricos (62 símbolos) genera 62⁸ ≈ 218 billones de combinaciones, que a 1B/seg se agotan en unas 7 horas. Usá esta herramienta para evaluar la robustez de tus contraseñas actuales o para decidir cuántos caracteres necesitás para proteger una cuenta o sistema.
Cuándo usar esta calculadora
- Evaluar si tu contraseña actual de 8 dígitos numéricos (10⁸ = 100 millones de combinaciones) es segura: a 1B/seg se rompe en menos de 1 segundo.
- Decidir cuántos caracteres poner en la contraseña maestra de un gestor de contraseñas (KeePass, Bitwarden) para resistir al menos 1.000 años de ataque.
- Comparar la seguridad de un PIN de 6 dígitos (10⁶ = 1 millón de combinaciones) contra un patrón alfanumérico de 6 caracteres (62⁶ ≈ 57 mil millones).
- Diseñar políticas de contraseñas para una empresa o sistema interno: determinar la longitud mínima obligatoria según el nivel de sensibilidad de los datos.
- Demostrarle a un familiar o colega de manera visual y con números reales por qué 'perro123' es insegura y cuánto tarda en romperse con fuerza bruta.
Ejemplo de cálculo
- 8 alfanum
- 218 trillones
Cómo funciona
3 min de lecturaCómo se calcula
El espacio de búsqueda de una contraseña se obtiene elevando el tamaño del conjunto de caracteres (charset) a la potencia de la longitud de la contraseña. El tiempo de crackeo por fuerza bruta exhaustiva es simplemente ese espacio dividido por la velocidad de ataque.
Combinaciones = charset ^ longitud
Tiempo (seg) = Combinaciones / velocidad_intentos_por_segundo
Tiempo (años) = Tiempo (seg) / 31.536.000Parámetros típicos de charset:
| Conjunto | Símbolo | Tamaño |
|---|---|---|
| Solo dígitos (0-9) | D | 10 |
| Minúsculas (a-z) | L | 26 |
| Mayúsculas (A-Z) | U | 26 |
| Alfanumérico (a-z+A-Z+0-9) | AN | 62 |
| + símbolos básicos (!@#$…) | AS | 94 |
| ASCII imprimible extendido | EX | 128 |
Velocidad de referencia usada: 1.000.000.000 intentos/seg (1B/seg). Esto representa un ataque con GPU de gama media-alta (RTX 3090 o similar haciendo MD5 o contraseñas sin sal). Algoritmos de hash lentos como bcrypt o Argon2 reducen esta velocidad a apenas miles o decenas de miles de intentos por segundo.
---
Tabla de referencia
Tiempo estimado de crackeo a 1B intentos/seg para distintas longitudes y charsets:
| Longitud | Solo dígitos (10) | Alfanum. (62) | Con símbolos (94) |
|---|---|---|---|
| 6 | < 1 segundo | 57 segundos | 6 minutos |
| 8 | < 1 segundo | ~7 horas | ~53 horas |
| 10 | < 1 segundo | ~3,7 años | ~570 años |
| 12 | 1 segundo | ~7.600 años | ~5 millones años |
| 14 | ~2 minutos | ~29 millones años | impracticable |
| 16 | ~3 horas | impracticable | impracticable |
| 20 | ~3.171 años | impracticable | impracticable |
> Nota: "impracticable" = tiempo mayor al estimado de vida del universo (~13.800 millones de años).
---
Casos típicos
Caso 1 — PIN bancario de 6 dígitos10^6 = 1.000.000 combinaciones
A 1B/seg: 0,001 segundos. Protección real: los sistemas bancarios limitan a 3-5 intentos y bloquean la cuenta. Sin ese límite, el PIN sería inútil en milisegundos.
Caso 2 — Contraseña alfanumérica de 8 caracteres ("Perro123")62^8 = 218.340.105.584.896 ≈ 218 billones de combinaciones
A 1B/seg: ~218.340 segundos ≈ ~60 horas (poco más de 2 días). Sin mayúsculas o con palabras del diccionario, un ataque por diccionario la rompe en segundos. Esta es la contraseña más común en filtraciones masivas.
Caso 3 — Contraseña con símbolos de 12 caracteres94^12 ≈ 4,76 × 10²³ combinaciones
A 1B/seg: ~15 mil millones de años. Es prácticamente imposible de crackear por fuerza bruta pura, incluso con hardware futuro varias órdenes de magnitud más rápido.
---
Errores comunes
1. Confundir "contraseña compleja" con "contraseña larga": Una contraseña de 6 caracteres con símbolos (94^6 ≈ 689 millones) es infinitamente menos segura que una de 14 caracteres solo alfanumérica (62^14 ≈ 10²⁵). La longitud es el factor más poderoso.
2. Subestimar los ataques por diccionario: Esta calculadora asume fuerza bruta pura (todas las combinaciones). En la práctica, herramientas como Hashcat prueban primero millones de contraseñas filtradas reales, variantes con leetspeak (p3rr0), nombres propios y fechas. "Perro2024!" se rompe en segundos aunque el cálculo de fuerza bruta diga horas.
3. Usar la misma contraseña en múltiples sitios: Si un sitio con seguridad débil filtra tu contraseña en texto plano o con MD5, el tiempo de crackeo relevante es 0 segundos: ya la tienen directamente.
4. Creer que el charset 94 siempre es accesible: Muchos sistemas no aceptan todos los símbolos especiales, restringen a !@#$% (5-10 símbolos), lo que baja el charset real a ~70-75, reduciendo significativamente el espacio.
5. Ignorar el algoritmo de hash del sistema: A 1B/seg se crackan hashes MD5 o SHA-1 sin sal. Con bcrypt (factor 12) la velocidad cae a ~10.000-20.000 intentos/seg, multiplicando todos los tiempos de esta tabla por ~50.000.
---
Calculadoras relacionadas
Preguntas frecuentes
¿Qué velocidad de ataque usa la calculadora y es realista?
Usamos 1.000 millones de intentos por segundo (1B/seg), que es una estimación conservadora para un ataque con una GPU moderna (tipo NVIDIA RTX 3090) contra hashes rápidos como MD5 o SHA-1 sin sal. En la práctica, una RTX 4090 puede superar los 100B/seg contra MD5. Para hashes lentos como bcrypt o Argon2id, la velocidad baja drásticamente a 10.000-100.000 intentos/seg, haciendo que los tiempos reales sean miles de veces mayores.
¿Por qué una contraseña de 12 caracteres es tan superior a una de 8?
Porque el cálculo es exponencial, no lineal. Con charset alfanumérico (62): 8 caracteres = 62⁸ ≈ 218 billones de combinaciones (~7 horas a 1B/seg), mientras que 12 caracteres = 62¹² ≈ 3,2 × 10²¹ combinaciones (~7.600 años). Cada carácter extra multiplica el espacio por 62 (o por el tamaño del charset). Pasar de 8 a 12 caracteres lo hace 14 millones de veces más difícil.
¿Esta calculadora contempla ataques por diccionario o solo fuerza bruta?
Solo fuerza bruta exhaustiva (prueba de todas las combinaciones posibles), que es el escenario más lento para el atacante. Los ataques reales usan diccionarios de contraseñas filtradas (las bases de Have I Been Pwned tienen más de 600 millones de contraseñas reales), variantes con reglas y patrones comunes. 'Verano2024!' puede romperse en segundos por diccionario aunque fuerza bruta tarde semanas.
¿Cuántos caracteres mínimos recomienda una buena práctica de seguridad?
El NIST (National Institute of Standards and Technology), referencia mundial en seguridad informática, en su guía SP 800-63B recomienda contraseñas de mínimo 8 caracteres para cuentas de bajo riesgo y al menos 15 caracteres para cuentas de alto valor. También prioriza el largo sobre la complejidad arbitraria. En Argentina, la Disposición 7/2005 de la ex-ONTI (hoy parte de la Secretaría de Innovación) sigue lineamientos similares para sistemas del Estado.
¿Qué charset conviene usar: alfanumérico o con símbolos?
Agregar símbolos aumenta el charset de 62 a ~94, lo que sube el espacio de búsqueda pero no tanto como agregar longitud. Por ejemplo, 10 caracteres con símbolos (94¹⁰ ≈ 5,4 × 10¹⁹) es similar en seguridad a 11 caracteres alfanuméricos (62¹¹ ≈ 5,2 × 10¹⁹). El problema práctico es que muchos sitios no aceptan todos los símbolos, y las contraseñas complejas se olvidan fácil, fomentando su reutilización. Un gestor de contraseñas resuelve esto.
¿Qué pasa si el sistema limita los intentos de login (bloqueo por intentos fallidos)?
Los límites de intentos son una defensa clave en la interfaz de usuario (login web, pantalla de celular), pero no protegen contra ataques directos al hash. Si una base de datos con hashes es robada —como ocurrió en filtraciones de LinkedIn (2012, 117M cuentas) o RockYou (2009, 32M)— el atacante opera offline con su propia GPU, sin restricciones de intentos. Por eso la fortaleza intrínseca de la contraseña importa independientemente del sistema que la aloje.
¿Una passphrase (frase larga) es más segura que una contraseña compleja corta?
Sí, y el NIST SP 800-63B lo confirma. Una passphrase como 'mateamargoenlamadrugada' tiene 22 caracteres en minúsculas (26²² ≈ 10³¹ combinaciones), enormemente más segura que 'X@9mP!2q' de 8 caracteres con símbolos (94⁸ ≈ 6,1 × 10¹⁵). La passphrase tarda ~10²² años en crackear por fuerza bruta vs. ~70 días para la contraseña compleja corta. Además, las frases son mucho más fáciles de recordar.
¿La calculadora aplica para contraseñas de WiFi, ZIP, Windows, etc.?
La fórmula de combinaciones es universal, pero el tiempo varía porque cada sistema tiene un algoritmo de hash distinto. WPA2-WiFi: ~1 millón de intentos/seg con GPU. ZIP con AES: ~100.000 intentos/seg. Windows NTLM: hasta 100B/seg con GPU de alta gama. Los tiempos de esta calculadora (basados en 1B/seg) son un punto de referencia medio; para WPA2 los tiempos reales son ~1.000 veces mayores, y para NTLM podrían ser hasta 100 veces menores.
Fuentes y referencias
Metodología y confianza
Contenido revisado por el equipo editorial de Hacé Cuentas, con apego a nuestra política editorial y metodología de cálculo.
Última revisión: 18 de abril de 2026. Los parámetros fiscales, legales y datos se verifican periódicamente con las fuentes citadas.
Los cálculos corren 100% en tu navegador. No guardamos ni transmitimos tus datos. Leé nuestra política de privacidad.
Resultados orientativos. Para decisiones financieras, médicas o legales críticas, consultá con un profesional.