Por qué tu contraseña vieja ya no vale
La mayoría de la gente sigue creyendo que una contraseña fuerte es meterle !@#$ y un número al final. Esa creencia tiene veinte años y ha envejecido fatal.
Los atacantes de hoy no teclean intentos a mano. Lanzan listas filtradas, miles de millones de contraseñas reales de brechas pasadas, contra tu cuenta desde una tarjeta gráfica que prueba millones de combinaciones por segundo. Tu Tr0ub4dor&3 está en todas las listas y cae en segundos, por muy lista que te pareciera cuando la elegiste.
Lo que sí funciona es la longitud. El truco en 2026 es hacer una contraseña tan larga que sea irrompible y a la vez fácil de recordar.
La longitud es lo único que importa
Cada letra aleatoria que añades multiplica las opciones que un atacante tiene que probar. Añade una más y el trabajo se duplica. Añade diez y el trabajo es mil veces más grande. Añade veinte y se pasa de lo que dura cualquier ordenador que la humanidad haya construido.
Una contraseña corta y astuta es débil. Una larga y aburrida es fuerte. La matemática es sosa pero es inflexible.
Hay un detalle. Las letras tienen que estar elegidas al azar. Una contraseña que te inventaste tú, aunque sea larga, está llena de patrones que los crackers ya saben buscar: un nombre, un año, un pueblo, la misma sustitución que hace todo el mundo (@ por a, 0 por o). Tu cerebro no es un generador aleatorio, por mucho que lo intentes.
Así que la regla queda simple. Si la tecleaste de memoria, es débil. Si una máquina la generó con aleatoriedad real, es fuerte.
De dónde tiene que venir la aleatoriedad
No todo lo que se llama “aleatorio” sirve. Las funciones simples de aleatoriedad de JavaScript son lo bastante predecibles para que un atacante decidido reconstruya lo que generaron.
Lo que quieres es la fuente criptográfica que el navegador trae de fábrica, la que tira de ruido real del sistema operativo. El generador de contraseñas de AldeaCode usa exactamente eso. Eliges la longitud, haces clic, te sale una contraseña. Nada sale de tu pestaña, nada se loguea, nada se guarda en un servidor. Todo sucede delante de ti.
Si quieres echar un vistazo a cómo funciona, este fragmento corre en cualquier consola del navegador:
const bytes = new Uint8Array(16);
crypto.getRandomValues(bytes);
const contrasena = Array.from(bytes)
.map((b) => "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"[b % 62])
.join("");Dieciséis caracteres, sacados de aleatoriedad real, en tu navegador, en tu máquina. Eso es una contraseña fuerte.
El truco para recordar una
Si no aceptas una contraseña que parece gK4!pZ8nQwM2xV9b, no estás solo. La solución no es hacerla más corta. La solución es cambiar caracteres aleatorios por palabras aleatorias.
Coge cuatro a seis palabras al azar de una lista larga, sepáralas con un espacio o un guion, y obtienes algo memorable que sigue siendo imposible de crackear.
correcto caballo bateria grapa
silencioso-hexagono-arquero-termico-pivote-cuarzoLa matemática aquí es la misma que con caracteres aleatorios: más palabras, más combinaciones. Cuatro palabras al azar te dan seguridad decente, seis son a prueba de balas para cualquier cuenta normal.
La condición es la misma de antes. Las palabras tienen que estar elegidas al azar por algo que no sea tu cerebro. Hay listas de palabras pensadas para esto (busca “EFF word list” o lista diceware) y apps que eligen por ti. Si las eliges tú, aunque sea con la mejor intención, vuelves al “inventado por humano, fácil de crackear”.
La negociación honesta: gestor de contraseñas
La contraseña más fuerte del mundo no sirve si la reutilizas. Cada brecha de la que has oído hablar, más miles de las que no, está pública en internet. En el momento que un sitio pierde tu contraseña, cualquier otro sitio donde la usaste también está en riesgo.
El sentido entero de tener contraseñas únicas y fuertes es que el daño quede contenido. Un sitio se filtra, solo ese sitio está en peligro.
La respuesta realista para una persona normal es un gestor de contraseñas. Memorizas una passphrase fuerte (usa el truco de las palabras aleatorias) y el gestor se encarga del resto, generando y guardando contraseñas de 20 caracteres para cada sitio, rellenándolas por ti, sincronizando entre tus dispositivos.
La gran decisión es local (KeePassXC, o Bitwarden que tú mismo alojas) frente a sincronización en la nube (1Password, Bitwarden en la nube). Las dos son inmensamente mejores que reutilizar una contraseña en doce sitios o tenerlas en una nota. Si Bitwarden es tu gestor, el generador de contraseñas afinado para Bitwarden saca el set de caracteres que la bóveda guarda limpio.
Cuando necesites una contraseña suelta sin abrir el gestor, el generador de contraseñas te da una en dos clics. Para la passphrase maestra, el invertir texto y el revolver palabras no son defensa por sí solos, pero ayudan si quieres ofuscar una pista escrita que apunta hacia ella.
Una rutina práctica que puedes empezar hoy
Para cuentas que guardan algo que te importa (correo, banco, trabajo, gobierno), usa un gestor de contraseñas y deja que genere contraseñas de 20 caracteres para cada una.
Para la passphrase maestra, coge seis palabras al azar de una lista real, tecléala dos veces al día durante una semana y la tendrás en los dedos para siempre.
Activa el doble factor donde exista. Una llave física (YubiKey) o una app de autenticación (Aegis, 2FAS) son mucho más seguras que un SMS. Mira tus cuentas en haveibeenpwned.com una vez al año y cambia cualquier contraseña que el sitio te marque.
El mejor movimiento que puedes hacer hoy es cambiar la contraseña de tu correo principal, porque esa cuenta es el punto de recuperación de todo lo demás. Desde ahí, baja por la lista.
El generador de contraseñas, el generador de hash para esa vez rara que necesitas inspeccionar un formato hash, y el generador de UUIDs para identificadores sueltos corren en tu navegador, sin subida, sin log, sin cuenta. Una contraseña fuerte no es una frase ingeniosa. Es una larga, aburrida y aleatoria.
Aviso: Algunos de los enlaces de producto de arriba (Bitwarden, 1Password, YubiKey) apuntan a vendors que recomendamos. Conforme se activen programas de afiliados, esos enlaces pueden generarnos una pequeña comisión sin coste extra para ti. Solo recomendamos herramientas que usamos nosotros y que enlazaríamos igual.