Frase de contraseña vs contraseña: entropía y seguridad explicadas
Comprende las matemáticas detrás de la entropía de contraseñas y aprende cuándo las frases de contraseña superan a las contraseñas tradicionales. Incluye cálculos de entropía, metodología Diceware y recomendaciones prácticas.
Lectura imprescindible
El problema de la entropía: por qué la mayoría de contraseñas fallan
Cada contraseña tiene una propiedad medible llamada entropía — el número de bits de aleatoriedad que contiene. Mayor entropía significa más combinaciones posibles que un atacante debe probar. Una contraseña con 50 bits de entropía tiene 2^50 (aproximadamente 1,1 cuatrillones) posibilidades. A mil millones de intentos por segundo, eso toma unos 13 días. A 80 bits, incluso un billón de intentos por segundo tomaría 38.000 años.
La idea clave es que la entropía depende de cómo se generó la contraseña, no de cómo se ve. "Tr0ub4dor&3" parece compleja pero tiene solo unos 28 bits de entropía porque sigue un patrón predecible. Mientras tanto, "correct horse battery staple" — cuatro palabras aleatorias — proporciona aproximadamente 44 bits de una lista de 2.048 palabras o 52 bits de la lista EFF de 7.776 palabras.
La mayoría de políticas de contraseñas se centran en la composición de caracteres en lugar de la entropía real. Esto crea una falsa sensación de seguridad: "Summer2026!" satisface cada requisito de complejidad pero cae ante un ataque de diccionario en segundos.
Orientación relacionada
Cómo se calcula la entropía de contraseñas
Para una contraseña verdaderamente aleatoria, la entropía es log₂(C^L), donde C es el tamaño del conjunto de caracteres y L es la longitud. Una contraseña de 12 caracteres de un conjunto de 95 caracteres tiene ≈ 79 bits. Una de 16 caracteres alcanza unos 105 bits.
Para frases de contraseña, la entropía es log₂(W^N), donde W es el tamaño de la lista y N es el número de palabras. Con la lista EFF (7.776 palabras): 4 palabras dan ≈ 51,7 bits; 5 palabras ≈ 64,6 bits; 6 palabras ≈ 77,5 bits; 7 palabras ≈ 90,5 bits.
Este cálculo asume que el atacante conoce tu método de generación. Si un atacante sabe que usaste una frase Diceware de 4 palabras, enfrenta 7.776^4 ≈ 3,7 billones de combinaciones.
- 8 caracteres aleatorios (a-z): log₂(26^8) ≈ 37,6 bits
- 12 caracteres aleatorios (a-z, A-Z, 0-9, símbolos): log₂(95^12) ≈ 78,8 bits
- 4 palabras Diceware: log₂(7776^4) ≈ 51,7 bits
- 6 palabras Diceware: log₂(7776^6) ≈ 77,5 bits
- 16 caracteres aleatorios (ASCII completo): log₂(95^16) ≈ 105 bits
- 8 palabras Diceware: log₂(7776^8) ≈ 103,4 bits
El caso a favor de las frases de contraseña
Las frases ofrecen una ventaja única: cambian complejidad de caracteres por longitud, logrando alta entropía mientras permanecen memorables y fáciles de teclear. Una frase de seis palabras como "monarch-fabric-eleven-radar-canopy-walrus" tiene aproximadamente 78 bits de entropía — igualando una contraseña aleatoria de 12 caracteres — pero es mucho más fácil de recordar.
El factor de memorabilidad no es solo conveniencia — es una ventaja de seguridad. Cuando las contraseñas son difíciles de recordar, los usuarios las anotan de forma insegura, las reutilizan o crean patrones predecibles.
Las frases también resisten mejor la observación por encima del hombro que las contraseñas de caracteres. Un observador que te ve teclear "k9$mP#2xLw" puede memorizar los caracteres, pero ver a alguien teclear "correct horse battery staple" es mucho más difícil de retener.
El método Diceware, originalmente desarrollado por Arnold Reinhold en 1995, usa dados físicos para seleccionar palabras de una lista numerada. Cada tirada de dado es verdaderamente aleatoria. La EFF actualizó la lista en 2016 para usar solo palabras inglesas comunes y fáciles de deletrear.
El caso a favor de las contraseñas aleatorias
Las contraseñas aleatorias logran mayor entropía por carácter que las frases por palabra. Una contraseña aleatoria de 16 caracteres del conjunto ASCII proporciona unos 105 bits — necesitarías 8 palabras Diceware para igualar eso.
Para cuentas gestionadas por un gestor de contraseñas (donde nunca tecleas la contraseña manualmente), las contraseñas aleatorias son estrictamente superiores. El gestor maneja la generación, almacenamiento y auto-rellenado, así que la memorabilidad es irrelevante.
Las contraseñas aleatorias también son más compactas, lo que importa en sistemas con límites bajos de longitud máxima. Algunos sistemas antiguos limitan a 16 o incluso 8 caracteres.
La desventaja clave es que son esencialmente imposibles de memorizar. Si pierdes acceso a tu gestor, la recuperación depende completamente de tu estrategia de respaldo.
Cuándo usar cada enfoque
Usa frases de contraseña para: tu contraseña maestra del gestor; contraseñas de inicio de sesión del ordenador; PINs de teléfono; contraseñas de cifrado de disco completo; y cualquier credencial donde no puedas depender del auto-rellenado.
Usa contraseñas aleatorias para: todas las cuentas en tu gestor; claves API y tokens; cuentas de servicio; contraseñas de bases de datos; y cualquier credencial que será copiada-pegada o auto-rellenada.
Para máxima seguridad, combina ambos enfoques: una frase fuerte como contraseña maestra y contraseñas aleatorias únicas para cada cuenta individual.
Fortaleciendo tu frase de contraseña
Comienza con un mínimo de 5 palabras para cuentas personales y 6-7 para objetivos de alto valor. Usa la lista EFF o equivalente con al menos 7.776 entradas.
Considera añadir una o dos modificaciones: capitaliza una palabra aleatoria, inserta un dígito entre dos palabras o usa un separador inusual. Sin embargo, no modifiques en exceso — la fortaleza viene del conteo de palabras y la aleatoriedad, no de trucos ingeniosos.
Nunca selecciones palabras tú mismo. La selección humana está fuertemente sesgada hacia palabras comunes y conceptos asociados. Siempre usa dados o un generador criptográfico.
- Mínimo 5 palabras para cuentas estándar, 6-7 para críticas
- Usa dados o CSPRNG — nunca elijas palabras manualmente
- Añade una pequeña modificación (mayúscula, dígito, separador)
- Usa lista de palabras con 7.776+ entradas (EFF Diceware)
- Practica teclear hasta desarrollar memoria muscular
- Guarda una copia escrita en un lugar físicamente seguro hasta memorizar
Conclusión
Tanto las frases como las contraseñas aleatorias pueden proporcionar excelente seguridad cuando se usan correctamente. La elección depende del contexto: frases para la memoria humana, contraseñas aleatorias para gestión por máquinas. La peor elección es una contraseña "de compromiso" que no es ni completamente aleatoria ni una frase apropiada.
Cualquiera que sea el método, el factor más importante es la unicidad. Una frase perfecta reutilizada en tres sitios es mucho menos segura que tres contraseñas mediocres pero únicas. Combinado con un gestor de contraseñas y autenticación multifactor, cualquier enfoque protegerá tus cuentas contra la gran mayoría de ataques reales.
¿Qué hacer con una contraseña segura?
Una contraseña segura es solo el primer paso. Para proteger realmente tus cuentas, necesitas un gestor de contraseñas fiable que almacene, autocomplete y sincronice tus credenciales en todos tus dispositivos.
Comparamos los gestores de contraseñas más populares de 2026 para ayudarte a elegir correctamente.
NordPass destaca por su cifrado XChaCha20 de conocimiento cero, soporte nativo de passkeys y la interfaz más intuitiva entre los gestores premium.
| Función | NordPass | 1Password | Bitwarden Free |
|---|---|---|---|
| Precio/mes | $1.49/mo | $2.99/mo | $0 |
| Dispositivos | Ilimitado | Ilimitado | Ilimitado |
| Passkeys | Sí | Sí | No |
| Escáner de filtraciones | Sí | Sí | No |
| 2FA integrado | Sí | Sí | Sí |
| Compartir seguro | Sí | Sí | Limitado |
| Autocompletar | Sí | Sí | Sí |
Este es un enlace de afiliado. Si realizas una compra, puedo recibir una comisión — esto ayuda a mantener el sitio gratuito.