Vida cotidiana

¿Qué tan segura es mi contraseña? Evaluala en segundos

Q: ¿Qué tan segura tiene que ser mi contraseña?

La recomendación del **NIST SP 800-63B** es usar contraseñas de al menos **12 caracteres** con variedad de tipos. En términos de entropía: apuntá a **60 bits o más**. Eso equivale, por ejemplo, a 12 caracteres con mayúsculas, minúsculas, números y símbolos (~78 bits).

Q: ¿Qué es la entropía de una contraseña?

Es una medida de **aleatoriedad** en bits. Se calcula como `log₂(tamaño_del_alfabeto ^ longitud)`. Más bits = más combinaciones posibles = más tiempo para crackear. Cada bit extra **duplica** el tiempo de ataque.

Q: ¿Qué contraseñas son más fáciles de crackear?

Las más vulnerables son: **123456, password, 12345678, qwerty, abc123, contraseña, admin, letmein**. También cualquier palabra del diccionario con sustituciones predecibles como 'P@ssw0rd' o 'Admin123!'. Los atacantes las prueban primero con listas de diccionario.

Q: ¿Es mejor una contraseña larga o compleja?

**Larga.** La longitud aumenta las combinaciones **exponencialmente**. `cielo-roto-mesa-verde` (20 chars, solo letras) supera a `P@s5!Rd` (7 chars con símbolos). Una passphrase de 4-5 palabras al azar es más segura y más fácil de recordar.

Q: ¿Cuánto tarda en crackearse una contraseña de 8 caracteres?

Depende del alfabeto usado. Una contraseña de **8 caracteres con solo minúsculas** (~37 bits) puede caer en **segundos** con hardware moderno (GPU). Con los 4 tipos de caracteres sube a ~52 bits: horas a días. Con 12+ caracteres y 4 tipos ya llegás a **millones de años**.

Q: ¿Debería usar un password manager?

**Sí, absolutamente.** Te permite usar contraseñas únicas de 20+ caracteres para cada servicio sin memorizarlas. Las opciones más recomendadas son **Bitwarden** (gratis y open source), **1Password** y **KeePass**. Recordar solo la contraseña maestra del gestor es mucho mejor que reutilizar la misma contraseña en todos lados.

Q: ¿La autenticación en dos pasos (2FA) reemplaza una buena contraseña?

No la reemplaza, la **complementa**. El 2FA bloquea al atacante incluso si consiguió tu contraseña. Usá los dos: contraseña fuerte **y** 2FA (preferentemente con una app como Google Authenticator o Authy, no por SMS que puede ser interceptado).

Q: ¿Cada cuánto cambio mis contraseñas?

La recomendación moderna del **NIST** es **no cambiarlas por rutina** (eso lleva a elegir contraseñas peores). Cambialás solo si: (1) hubo un breach del servicio, (2) creés que fue comprometida, o (3) la reutilizaste en un sitio hackeado. Revisá tus cuentas en **[Have I Been Pwned](https://haveibeenpwned.com)**.

Q: ¿Esta herramienta guarda mi contraseña?

**No.** El evaluador corre completamente en tu navegador (JavaScript del lado cliente). Tu contraseña nunca se envía a ningún servidor. Podés verificarlo desconectando Internet y usando la herramienta: sigue funcionando.

Evaluá qué tan segura es tu contraseña: entropía en bits, tiempo estimado de crackeo y sugerencias concretas. Basado en NIST SP 800-63B. Gratis, sin guardar datos.

🗓️ Actualizado junio de 2026 Revisado por Martín Rodríguez

Calculadora Gratis · Privada

Revisado por: Martín Rodríguez (política editorial ) · Última revisión: 22 jun 2026

Tu contraseña*

🧮 Seguí calculando

Medidor de Fuerza de ContraseñaEvaluá qué tan segura es tu password. Análisis de longitud, complejidad y tiempo para hackearla. Probalo gratis.Fortaleza de Contraseña — Entropía y SeguridadCalculá la entropía de tu contraseña en bits, cuánto tardaría un atacante en crackearla y si cumple estándares NIST 2025. Gratis.Calculadora: tiempo de crackeo de contraseña por fuerza brutaCalculá cuánto tiempo tardaría un atacante en romper tu contraseña por fuerza bruta. Ingresá la longitud y el tipo de caracteres: verás las combinaciones posibles y el tiempo estimado a 1.000 millones de intentos/seg. Incluye tabla de referencia por longitud.Calculadora de entropía en cambio de fase (ΔS = Q/T)Calculá el cambio de entropía ΔS en fusión, vaporización o sublimación con la fórmula exacta Q/T. Tabla de valores para agua, nitrógeno, etanol y más. Resultado al instante.

¿Tenés una web? Incrustá esta calculadora gratis Gratis — copiá el código y pegalo en tu web Embeber en tu sitio

<iframe src="https://hacecuentas.com/embed/calculadora-generador-contrasena-segura" width="100%" height="560" style="border:1px solid #e2e8f0;border-radius:12px;max-width:720px" loading="lazy" title="¿Qué tan segura es mi contraseña? Evaluala en segundos"></iframe>
<p style="font-size:13px;text-align:center;margin:8px 0">Powered by <a href="https://hacecuentas.com" target="_blank" rel="noopener">Hacé Cuentas</a> — <a href="https://hacecuentas.com/calculadora-generador-contrasena-segura" target="_blank" rel="noopener">¿Qué tan segura es mi contraseña? Evaluala en segundos</a></p>

Ver preview →

Pegalo en tu sitio. Dejá el link de crédito — gracias por compartir. Más widgets →

¿Querés saber si tu contraseña resistiría un ataque de fuerza bruta? Esta herramienta evalúa la entropía (aleatoriedad medida en bits) y estima cuánto tiempo tardaría un atacante en descifrarla. También detecta patrones predecibles que reducen la seguridad real, incluso si la contraseña parece compleja.

Cuándo usar esta calculadora

Querés verificar si tu contraseña actual resiste un ataque.
Tu empresa exige una contraseña 'fuerte' y querés comprobar que la cumple.
Estás creando una nueva contraseña y querés saber si es suficientemente larga.
Querés entender por qué 'P@ssw0rd' sigue siendo débil.
Comparás passphrases vs contraseñas complejas cortas.
Necesitás explicarle a alguien más qué hace fuerte a una contraseña.

Fortaleza de contraseña por entropía y tiempo de crackeo (GPU moderna, 10B intentos/s)

Entropía (bits)	Nivel	Tiempo estimado de crackeo
< 28 bits	🔴 Muy débil	Menos de 1 segundo
28–35 bits	🟠 Débil	Segundos a minutos
36–59 bits	🟡 Moderada	Horas a días
60–127 bits	🟢 Fuerte	Años a siglos
≥ 128 bits	🟢 Excelente	Millones de años

Fuente: NIST SP 800-63B – Digital Identity Guidelines (https://pages.nist.gov/800-63-3/sp800-63b.html). Tiempo estimado asume ataque de fuerza bruta a 10.000 millones de intentos por segundo con GPU moderna; ataques con diccionario o reglas pueden reducir significativamente estos tiempos.

Cómo funciona

Cómo saber si una contraseña es segura: la entropía

La entropía mide aleatoriedad en bits: entropía = log₂(alfabeto ^ longitud). Cuanto más grande el alfabeto y más larga la contraseña, más combinaciones tiene que probar un atacante por fuerza bruta.

Cómo se calcula el tamaño del alfabeto

Caracteres usados	Tamaño del alfabeto
Solo minúsculas (a–z)	26
Minúsculas + mayúsculas	52
Letras + dígitos	62
Letras + dígitos + símbolos comunes	~95 (ASCII imprimible)

Ejemplo: TigreAzul7! usa letras + dígitos + símbolo → alfabeto ≈ 95, longitud 11 → log₂(95¹¹) ≈ 72 bits.

---

Tabla de fortaleza por entropía

Entropía (bits)	Nivel	Tiempo estimado de crackeo (GPU moderna, 10 000 M intentos/s)
< 28 bits	🔴 Muy débil	Menos de 1 segundo
28–35 bits	🟠 Débil	Segundos a minutos
36–59 bits	🟡 Moderada	Horas a días
60–127 bits	🟢 Fuerte	Años a siglos
≥ 128 bits	🟢 Excelente	Millones de años

> Referencia de velocidad real: una GPU RTX 4090 alcanza ~164 000 M hashes/s para MD5 y ~7 100 M hashes/s para bcrypt (costo 5), según benchmarks públicos de Hashcat. Los tiempos de la tabla asumen hashing rápido (MD5/SHA-1), que es lo que usan sitios mal configurados. Con bcrypt, scrypt o Argon2, los tiempos se multiplican por miles.

---

Tabla de ejemplos reales

Contraseña	Largo	Entropía	Nivel	Tiempo estimado (fuerza bruta)
`123456`	6	20 bits	🔴 Muy débil	< 1 segundo
`password`	8	28 bits	🔴 Muy débil	< 1 segundo
`P@ssw0rd`	8	52 bits	🟡 Moderada	Días (con diccionario: segundos)
`TigreAzul7!`	11	72 bits	🟢 Fuerte	Millones de años
`cielo-roto-mesa-verde`	21	99 bits	🟢 Fuerte	Trillones de años
`x#9Kp!2mLqW@vR4`	16	105 bits	🟢 Excelente	Trillones de años

---

Por qué la longitud importa más que la complejidad

Cada carácter extra multiplica el espacio de búsqueda. Pasar de 8 a 16 caracteres no duplica el tiempo: lo eleva a una potencia. Agregar un símbolo a una contraseña de 8 letras amplía el alfabeto de 52 a ~95 (ganancia: ×1,8 por carácter). Agregar 4 caracteres más al mismo alfabeto de 52 da una ganancia de ×52⁴ ≈ ×7 millones. La longitud gana.

Una passphrase de 4–5 palabras al azar (cielo roto mesa verde azul) es más larga, más fácil de recordar y más segura que sustituciones predecibles como P@ssw0rd!. El método Diceware —palabras elegidas tirando dados— produce passphrases con entropía medible y verificable.

---

Qué NO incluye este cálculo (limitaciones importantes)

Esta calculadora mide entropía teórica, no seguridad real completa. Hay vectores de ataque que la entropía no captura:

Ataques de diccionario y reglas: herramientas como Hashcat incluyen millones de contraseñas filtradas y reglas de mutación (password → P@ssw0rd). Una contraseña predecible tiene entropía práctica mucho menor que la teórica.

Filtraciones de bases de datos: si tu contraseña exacta aparece en Have I Been Pwned (más de 10 000 millones de contraseñas comprometidas indexadas), no importa cuántos bits tenga.

Reutilización: una contraseña fuerte usada en 10 sitios queda expuesta si cualquiera de esos sitios filtra sus datos.

Phishing y keyloggers: ninguna entropía protege contra robo directo de credenciales.

Hashing del sitio: si el servicio guarda contraseñas en MD5 sin sal (práctica insegura pero existente), el tiempo de crackeo real cae drásticamente respecto a algoritmos modernos.

---

Errores comunes que debilitan contraseñas

Sustituciones obvias: a→@, e→3, i→1, o→0. Los diccionarios de ataque incluyen todas estas variantes por defecto.

Patrones de teclado: qwerty, 123456, zxcvbn. Son las primeras en probarse.

Información personal: nombre, fecha de nacimiento, nombre de mascota. Reducen el espacio de búsqueda real a cientos de opciones en ataques dirigidos.

Contraseña + año: Verano2024 parece compleja pero sigue un patrón ampliamente conocido.

Longitud justa con símbolo forzado: Sol! cumple requisitos de formulario pero tiene < 25 bits de entropía.

---

Recomendación práctica

El NIST SP 800-63B (guía de referencia global para autenticación) recomienda desde 2017 priorizar longitud sobre complejidad arbitraria, y no forzar cambios periódicos salvo evidencia de compromiso. Para cuentas críticas: contraseña única, generada aleatoriamente, de 16+ caracteres, almacenada en un gestor de contraseñas. Para cuentas cotidianas: passphrase de 4+ palabras al azar.

Ejemplo: evaluar 'Verano2025!'

Datos: contraseña = Verano2025! (11 caracteres: minúsculas, mayúscula, números y símbolo).

Entropía teórica: log₂(95^11) ≈ 72 bits — parece fuerte.

Problema real: 'Verano' es una palabra del diccionario; '2025' es un año común; '!' es el sufijo más frecuente. Los crackers con reglas la resuelven en minutos.

Alternativa recomendada: cielo-roto-mesa-verde-42 (25 chars, ~117 bits de entropía real). Más larga, más fácil de recordar, infinitamente más segura.

72 bits teóricos, pero la predecibilidad la baja a ~30 bits efectivos. Usá passphrases largas con palabras aleatorias.

Preguntas frecuentes

¿Qué tan segura tiene que ser mi contraseña?

La recomendación del NIST SP 800-63B es usar contraseñas de al menos 12 caracteres con variedad de tipos. En términos de entropía: apuntá a 60 bits o más. Eso equivale, por ejemplo, a 12 caracteres con mayúsculas, minúsculas, números y símbolos (~78 bits).

¿Qué es la entropía de una contraseña?

Es una medida de aleatoriedad en bits. Se calcula como log₂(tamaño_del_alfabeto ^ longitud). Más bits = más combinaciones posibles = más tiempo para crackear. Cada bit extra duplica el tiempo de ataque.

¿Qué contraseñas son más fáciles de crackear?

Las más vulnerables son: 123456, password, 12345678, qwerty, abc123, contraseña, admin, letmein. También cualquier palabra del diccionario con sustituciones predecibles como 'P@ssw0rd' o 'Admin123!'. Los atacantes las prueban primero con listas de diccionario.

¿Es mejor una contraseña larga o compleja?

Larga. La longitud aumenta las combinaciones exponencialmente. cielo-roto-mesa-verde (20 chars, solo letras) supera a P@s5!Rd (7 chars con símbolos). Una passphrase de 4-5 palabras al azar es más segura y más fácil de recordar.

¿Cuánto tarda en crackearse una contraseña de 8 caracteres?

Depende del alfabeto usado. Una contraseña de 8 caracteres con solo minúsculas (~37 bits) puede caer en segundos con hardware moderno (GPU). Con los 4 tipos de caracteres sube a ~52 bits: horas a días. Con 12+ caracteres y 4 tipos ya llegás a millones de años.

¿Debería usar un password manager?

Sí, absolutamente. Te permite usar contraseñas únicas de 20+ caracteres para cada servicio sin memorizarlas. Las opciones más recomendadas son Bitwarden (gratis y open source), 1Password y KeePass. Recordar solo la contraseña maestra del gestor es mucho mejor que reutilizar la misma contraseña en todos lados.

¿La autenticación en dos pasos (2FA) reemplaza una buena contraseña?

No la reemplaza, la complementa. El 2FA bloquea al atacante incluso si consiguió tu contraseña. Usá los dos: contraseña fuerte y 2FA (preferentemente con una app como Google Authenticator o Authy, no por SMS que puede ser interceptado).

¿Cada cuánto cambio mis contraseñas?

La recomendación moderna del NIST es no cambiarlas por rutina (eso lleva a elegir contraseñas peores). Cambialás solo si: (1) hubo un breach del servicio, (2) creés que fue comprometida, o (3) la reutilizaste en un sitio hackeado. Revisá tus cuentas en Have I Been Pwned.

¿Esta herramienta guarda mi contraseña?

No. El evaluador corre completamente en tu navegador (JavaScript del lado cliente). Tu contraseña nunca se envía a ningún servidor. Podés verificarlo desconectando Internet y usando la herramienta: sigue funcionando.

Fuentes y referencias

Metodología y confianza

Editorial

Calculadora de vida cotidiana revisada por el equipo editorial de Hacé Cuentas, contrastada con NIST SP 800-63B - Digital Identity Guidelines, según nuestra política editorial y metodología.

Actualización

Última revisión: 22 de junio de 2026. Los parámetros se verifican periódicamente con las fuentes citadas.

Privacidad

Los cálculos corren 100% en tu navegador. No guardamos ni transmitimos tus datos.

Limitaciones

Resultados orientativos. Para decisiones críticas, consultá con un profesional.

📌 Cómo citar esta calculadora

Rodríguez, M. (2026). ¿Qué tan segura es mi contraseña? Evaluala en segundos. Hacé Cuentas. https://hacecuentas.com/calculadora-generador-contrasena-segura

Contenido bajo licencia CC-BY 4.0 — reutilizable citando la fuente con enlace a Hacé Cuentas.

✉️ Reportar un error en esta calculadora