Cómo crear contraseñas seguras en 2026: guía completa

A pesar del auge de la biometría y las passkeys, las contraseñas siguen siendo el método de autenticación principal para la gran mayoría de cuentas en línea. Según el informe Verizon Data Breach Investigations 2025, más del 80 % de las brechas relacionadas con hacking involucran credenciales débiles o robadas. Esto significa que tu contraseña suele ser la única barrera entre tus datos privados y un atacante.

Los atacantes modernos utilizan herramientas de fuerza bruta aceleradas por GPU que prueban miles de millones de combinaciones por segundo. Una contraseña simple de 8 caracteres en minúsculas se puede descifrar en menos de 5 minutos. Sin embargo, una contraseña bien construida de 16 caracteres con tipos mixtos tardaría siglos en romperse con la tecnología actual.

La buena noticia es que crear una contraseña segura no requiere memorizar cadenas aleatorias de caracteres. Enfoques modernos como las frases de contraseña y los gestores hacen que la seguridad sea accesible y práctica. Esta guía te lleva por cada técnica recomendada por los principales estándares de seguridad.

La entropía es una medida matemática de cuán impredecible es una contraseña. Se mide en bits: una contraseña con 40 bits de entropía tiene 2^40 (aproximadamente 1 billón) combinaciones posibles. Los expertos en seguridad generalmente recomiendan un mínimo de 60 bits para cuentas estándar y 80+ bits para objetivos de alto valor como banca o correo electrónico.

La fórmula es directa: entropía = log2(tamaño_del_conjunto^longitud). Una contraseña de 12 caracteres usando mayúsculas (26), minúsculas (26), dígitos (10) y símbolos (33) tiene un conjunto de 95 caracteres. Esto da aproximadamente 79 bits de entropía — protección sólida contra ataques fuera de línea.

Sin embargo, la entropía asume que la contraseña es verdaderamente aleatoria. Una contraseña como "Password123!" técnicamente usa las cuatro clases de caracteres pero tiene una entropía efectiva casi nula porque sigue un patrón predecible. Los atacantes mantienen diccionarios de millones de estos patrones comunes y los prueban primero.

El Instituto Nacional de Estándares y Tecnología (NIST) actualizó sus Directrices de Identidad Digital (SP 800-63B) para reflejar la investigación moderna sobre seguridad de contraseñas. Estas directrices se han convertido en el estándar de oro para organizaciones en todo el mundo.

Las recomendaciones clave de NIST incluyen: permitir contraseñas de hasta 64 caracteres; requerir un mínimo de 8 caracteres (12+ recomendado); NO imponer reglas de complejidad arbitrarias (como requerir mayúscula + número + símbolo); NO requerir cambios periódicos de contraseña a menos que haya evidencia de compromiso; verificar contraseñas contra listas de contraseñas filtradas conocidas; y soportar la función de pegado en campos de contraseña.

La razón detrás de eliminar las reglas de complejidad es convincente: la complejidad forzada lleva a los usuarios a crear patrones predecibles como "Spring2026!" o "P@ssw0rd" — contraseñas que satisfacen las reglas pero se descifran trivialmente. En cambio, NIST enfatiza la longitud y la impredecibilidad como los principales factores de seguridad.

NIST también recomienda que las organizaciones implementen limitación de velocidad en intentos de inicio de sesión, usen autenticación multifactor (MFA) y almacenen contraseñas con hash usando algoritmos modernos como Argon2id o bcrypt con factores de trabajo apropiados.

Una frase de contraseña es una secuencia de palabras aleatorias unidas, como "correct-horse-battery-staple" (el famoso ejemplo de XKCD). Cuando se genera correctamente — usando una lista de al menos 7.776 palabras (como la lista EFF Diceware) — cada palabra añade aproximadamente 12,9 bits de entropía.

Una frase de cuatro palabras proporciona aproximadamente 52 bits de entropía, mientras que una de seis palabras alcanza aproximadamente 78 bits — comparable a una contraseña aleatoria de 12 caracteres pero mucho más fácil de escribir y recordar. Para cuentas críticas, usa cinco o seis palabras.

Reglas importantes para frases de contraseña: usa un método de selección verdaderamente aleatorio (dados o un generador criptográfico — nunca elijas palabras tú mismo); evita citas famosas, letras de canciones o títulos de libros; añade un carácter separador entre palabras (guiones, puntos o espacios); y considera poner en mayúscula una palabra aleatoria o insertar un dígito para entropía adicional sin sacrificar memorabilidad.

Para cuentas cotidianas, usa un gestor de contraseñas para generar y almacenar contraseñas aleatorias únicas de 16 o más caracteres. Tu gestor se encarga de la complejidad, así que cada contraseña puede ser máximamente aleatoria sin necesidad de memorización.

Para tu contraseña maestra (la única que debes memorizar), usa el método de frase de contraseña: lanza dados o usa un generador criptográfico para seleccionar 5-7 palabras aleatorias de una lista grande. Anótala y guarda el papel en un lugar físico seguro hasta memorizarla, luego destruye el papel.

Para cuentas donde no puedes usar un gestor (como el inicio de sesión de tu ordenador o PIN del teléfono), crea una frase fácil de teclear rápidamente. Practica escribirla varias veces para desarrollar memoria muscular. Una frase como "arce-trueno-jirafa-enchufe-22" es fuerte y fácil de teclear.

Nunca reutilices contraseñas entre cuentas. Si un servicio sufre una brecha, los atacantes probarán automáticamente esas credenciales en cientos de otros sitios — una técnica llamada credential stuffing. Una contraseña única para cada cuenta limita el radio de explosión de cualquier brecha individual.

Usar información personal es el error más común y peligroso. Nombres de familiares, mascotas, cumpleaños, aniversarios, números de teléfono y direcciones son fácilmente descubribles a través de redes sociales. Los atacantes construyen diccionarios personalizados a partir de tus datos públicos antes de intentar cualquier ataque de fuerza bruta.

Los patrones de teclado como "qwerty", "123456", "zxcvbn" o "1qaz2wsx" parecen seguros porque lucen aleatorios, pero están entre los primeros patrones que prueban las herramientas de cracking. Del mismo modo, las sustituciones simples (@ por a, 3 por e, 0 por o) no añaden prácticamente ninguna seguridad porque toda herramienta de cracking incluye estas transformaciones leet-speak.

Incrementar contraseñas al cambiarlas forzosamente (Password1 → Password2 → Password3) no proporciona mejora real de seguridad. Si un atacante obtiene cualquier versión, puede adivinar trivialmente las demás. Esta es precisamente la razón por la que NIST ahora recomienda no hacer cambios periódicos obligatorios de contraseña.

Un gestor de contraseñas genera, almacena y rellena automáticamente contraseñas aleatorias únicas para cada cuenta. Las opciones principales incluyen 1Password, Bitwarden (código abierto) y KeePass (sin conexión). Cada uno utiliza cifrado AES-256 para proteger tu bóveda, con tu contraseña maestra como clave de descifrado.

La ventaja principal es eliminar completamente la reutilización de contraseñas. Con un gestor, cada cuenta obtiene una contraseña aleatoria única de 20+ caracteres. Solo necesitas memorizar una contraseña maestra fuerte. La mayoría de gestores también te alertan cuando las contraseñas aparecen en bases de datos de brechas conocidas.

Elige un gestor que soporte tus dispositivos y navegadores, ofrezca acceso de emergencia para contactos de confianza y haya pasado auditorías de seguridad independientes. Bitwarden es una excelente opción gratuita con código abierto que cualquiera puede auditar. Para equipos, 1Password Business o Bitwarden Organizations proporcionan capacidades de bóveda compartida.

Incluso la contraseña más fuerte puede verse comprometida por phishing, keyloggers o brechas del lado del servidor. La autenticación multifactor (MFA) añade un segundo paso de verificación — típicamente una contraseña temporal basada en tiempo (TOTP) de una app como Google Authenticator o Authy, o una llave de seguridad de hardware como YubiKey.

Activa MFA en cada cuenta que lo soporte, priorizando correo electrónico (tu centro de recuperación), banca, almacenamiento en la nube y redes sociales. Las llaves de seguridad de hardware (FIDO2/WebAuthn) proporcionan la protección más fuerte contra phishing porque verifican el dominio real del sitio web antes de autenticar.

Guarda tus códigos de respaldo MFA en tu gestor de contraseñas o en otra ubicación segura separada. Perder acceso a tu dispositivo MFA sin códigos de respaldo puede bloquearte permanentemente de tus cuentas.