Cómo crear contraseñas que nadie pueda romper

SSe filtraron 16.000 millones de credenciales en 2025. Si tu contraseña estaba en alguno de esos dumps (y probablemente estaba), ya no vale nada. No importa si "creaste una contraseña fuerte" — importa si aparece en una wordlist que los hackers usan para probar logins en masa. Y aparece.

La buena noticia: crear una contraseña que sobreviva tanto al brute-force como al dictionary attack es simple si sigues 4 reglas.

El problema no es el contenido — es el patrón. "Contraseña@123" tiene mayúscula, minúscula, número y símbolo. Pasa los requisitos de cualquier formulario. Pero está en el top-50 de contraseñas más usadas. Los hackers la prueban ANTES de cualquier brute-force. Tu cuenta cae en 0,2 segundos.

Contraseña fuerte = NO está en ninguna wordlist conocida + suficientemente larga para que el brute-force sea inviable. La complejidad visual no tiene nada que ver.

• —Longitud ≥ 12 caracteres. Cada caracter extra duplica el tiempo de ruptura. 12 chars = años. 16 chars = siglos. 8 chars = horas.
• —Aleatoria. Las contraseñas generadas por humanos siguen patrones predecibles (palabra + número + símbolo al final). Usa un generador.
• —Única por servicio. ¿Filtrada en LinkedIn? Los hackers prueban la misma en tu banco. Si es diferente, se detienen ahí.
• —Guardada en un gestor. No necesitas memorizar — necesitas que 1Password, Bitwarden o KeePass la recuerden por ti.

• —8 caracteres (solo letras): instantáneo
• —8 caracteres (mixtos): 1 hora
• —12 caracteres (mixtos): 200 años
• —16 caracteres (mixtos): 1 billón de años
• —20+ caracteres (mixtos): esencialmente imposible con hardware actual

Estos tiempos asumen brute-force offline (tarjetas RTX 4090 probando 100 mil millones de hashes/seg). Los atacantes reales tardan más por rate limiting, pero el margen es claro: 12+ chars es el mínimo, 16 es el punto óptimo.

Cambiar letras por números (leet speak)

"C0ntr@señ@" no es más seguro que "Contraseña" — todas las wordlists modernas prueban las variantes leet automáticamente. Solo te complicaste a ti.

Frases (passphrases) sin aleatoriedad

"Me gusta el café por la mañana" tiene 30 caracteres pero es una frase común en español. Las wordlists de 4-5 palabras la rompen. Las passphrases funcionan solo si las palabras son ALEATORIAS (caballo-correcto-bateria-grapa, el clásico XKCD).

Usar la contraseña del email "para todo lo importante"

El email es la raíz. Quien toma tu email resetea TODAS las otras cuentas (banco, redes sociales, AWS) vía "olvidé mi contraseña". Tu contraseña de email tiene que ser la más única y la más larga de todas. Y 2FA por app autenticadora, no SMS.

• —Usa el generador abajo para crear una contraseña de 16+ caracteres con todo activado.
• —Guárdala en tu gestor (1Password, Bitwarden, o el de tu navegador).
• —Activa 2FA en cada cuenta que lo permita — prefiere app autenticadora (Authy, Aegis) sobre SMS.
• —Verifica si tu email se filtró en haveibeenpwned.com. Si sí, cambia esa contraseña en TODOS los servicios donde la usabas.