¿Qué es la entropía de la contraseña?

La entropía mide cuánto imprevisible es una contraseña. Se calcula como H = L × log₂(N), donde L es la longitud de la contraseña y N es el tamaño del conjunto de caracteres utilizado. Una entropía mayor implica que se necesitan más intentos para romperla. Una contraseña aleatoria de 16 caracteres tomada de un conjunto completo de caracteres imprimibles ASCII tiene aproximadamente 105 bits de entropía — mucho más que una palabra con sustituciones de l33t-speak.

¿Es una frase de contraseña más segura que una contraseña compleja?

Sí, si las palabras se eligen al azar. Una frase de 4 palabras con Diceware tiene aproximadamente 51 bits de entropía — comparable o mejor que la mayoría de las contraseñas 'complejas' que realmente crean las personas, y logra esa entropía en la práctica porque los dados son realmente aleatorios. Una palabra con sustituciones aplicadas no es aleatoria, incluso si parece compleja.

¿Qué dice NIST sobre la complejidad de las contraseñas?

El documento NIST SP 800-63B (2017) recomienda contra reglas obligatorias de complejidad y rotación periódica. Se recomienda la longitud como factor principal, la verificación de contraseñas frente a bases de datos de brechas conocidas y la permitencia de hasta 64+ caracteres. La mayoría de las políticas empresariales aún no han llegado a estas directrices.

¿Por qué los cambios forzados de contraseña empeoran las cosas?

Cuando las personas son obligadas a cambiar sus contraseñas según un calendario, realizan cambios predecibles y progresivos: Password1 → Password2, o añaden la temporada actual y el año. Esto está bien documentado en los datos de violaciones. NIST ahora recomienda evitar la rotación programada a menos que exista evidencia específica de compromiso.

¿Odias los anuncios? Ir Sin publicidad Hoy 

¿Por qué P@ssword1 no es realmente seguro?

Actualizado en 6 jun 2026

Las reglas de complejidad de la contraseña supuestamente nos hacían más seguros. En cambio, nos dieron siempre 'Password1!' en todos lados. Aquí se explica qué significa realmente la entropía, por qué la longitud supera la complejidad y qué descubrió NIST en 2017.

¿Por qué P@ssword1 no es realmente seguro 1?

ANUNCIO · ¿ELIMINAR?

La política de contraseñas en la mayoría de las empresas es algo así: al menos 8 caracteres, al menos una mayúscula, una minúscula, un número y un carácter especial. Y en algún lugar, un gerente de TI piensa que esto está protegiendo los sistemas.

Mientras tanto, «Password1!» cumple cada una de esas exigencias. Lo hace también «P@ssw0rd1» y «Summer2024!». Estos tipos de contraseñas aparecen regularmente en bases de datos de violaciones — no a pesar de las reglas de complejidad, sino en parte por ellas.

¿Por qué las reglas de complejidad fallan?

Cuando se obliga a las personas a incluir una letra mayúscula, un número y un símbolo, no generan aleatoriedad, sino que siguen patrones. Mayúscula al inicio. Sustituir 'a' por '@' y 'o' por '0'. Terminar con '1!' o el año actual. Cada conjunto de reglas para la fuerza bruta incluye estas transformaciones. Ejecutar «diccionario + sustituciones comunes + añadir números/símbolos» contra una base de datos de contraseñas filtradas es un ataque estándar, y funciona porque eso es exactamente lo que la política ha entrenado a las personas para hacer.

La exigencia de complejidad da la ilusión de seguridad, mientras que sistemáticamente guía a los usuarios hacia patrones predecibles. Es teatro de seguridad con pasos adicionales.

Entropía: Lo que realmente importa

La fuerza de una contraseña se reduce a la entropía — una medida de imprevisibilidad. La fórmula es sencilla:

H = L × log₂(N)

Donde L es la longitud de la contraseña y N es el tamaño del conjunto de caracteres de los que se selecciona. Más bits = más intentos necesarios = más difícil de romper.

La palabra clave es seleccionada. Esta fórmula asume que cada carácter se elige aleatoriamente de N posibilidades. El momento en que un humano elige los caracteres, todo se pone en riesgo — porque los humanos son malos de forma predecible al ser aleatorios.

Los números

Aquí cómo comparan las estrategias comunes de contraseñas:

Tipo de contraseña	Ejemplo	Entropía máxima teórica	Entropía efectiva en el mundo real
8 caracteres «complejos» (palabra + sustituciones)	P@ssw0rd	~52 bits	~20 bits — los atacantes usan ataques basados en reglas
10 caracteres «complejos» (palabra + número + símbolo)	P@ssw0rd1!	~65 bits	~28 bits — el mismo problema, un poco más largo
Pasaje de 4 palabras Diceware	correct horse battery staple	~52 bits	~52 bits — genuinamente aleatorio si se usan dados
16 caracteres aleatorios (conjunto completo de caracteres imprimibles)	Xk9#mP2vQw7&nZ4j	~105 bits	~105 bits — solo alcanzable con un gestor de contraseñas

«correct horse battery staple» y «P@ssw0rd» tienen una entropía teórica similar en papel — pero solo el pasaje realmente la alcanza, porque el lanzamiento de dados es genuinamente aleatorio y «contraseña con o→0 y a→@» no lo es. Los atacantes conocen cada regla de sustitución que tú conoces.

Lo que NIST descubrió en 2017

La publicación especial de NIST 800-63B invertió silenciosamente décadas de sabiduría convencional. Los principales cambios en la versión de 2017 son:

No hay reglas obligatorias de complejidad. Exigir mayúsculas/minúsculas/números/símbolos no mejora la seguridad de la forma que creíamos.
No hay rotación forzada periódica. «Cambia tu contraseña cada 90 días» produce Password1 → Password2 → Password3. A menos que haya evidencia de compromiso, la rotación hace más daño que bien.
Longitud sobre complejidad. Una contraseña más larga es casi siempre más segura que una más corta y compleja. NIST recomienda un mínimo de 8 caracteres y sugiere permitir hasta al menos 64.
Verificar contra contraseñas conocidas en violaciones. Bloquear contraseñas que aparecen en bases de datos de violaciones. Eso es mucho más efectivo que exigir un carácter especial.

La mayoría de los departamentos de TI empresarial están ejecutando políticas de 2003 en 2025. La guía cambió. Los diálogos de contraseñas no han cambiado.

Pasphrases frente a contraseñas «complejas»

El cómic xkcd «correct horse battery staple» no era solo una broma — la matemática se sostiene. Una pasphrases compuesta por cuatro palabras comunes genuinamente aleatorias tiene entre 44 y 52 bits de entropía, dependiendo de la lista de palabras. Esto supera a la mayoría de las contraseñas «complejas» que las personas crean en la práctica, y es algo que un humano puede recordar y escribir.

La trampa: las palabras deben ser genuinamente aleatorias. «Mi perro Max ama la pizza» no es una pasphrases — es una oración con contexto personal que reduce significativamente el espacio de búsqueda. Elige palabras usando dados (Diceware) o un generador de números aleatorios adecuado, no tu mente.

Mitos comunes sobre la seguridad de contraseñas

Mitó: Los caracteres especiales hacen que las contraseñas sean seguras. Solo si la contraseña subyacente es aleatoria. Añadir «!» a una contraseña basada en palabras aporta quizás 6 bits de entropía y casi nada en un ataque basado en reglas.
Mitó: Las contraseñas más largas son más difíciles de escribir, por lo que son peores en términos de experiencia de usuario. Una pasphrases de cuatro palabras es más larga en caracteres pero a menudo más fácil de escribir que Tr0ub4dor&3.
Mitó: La rotación frecuente equivale a mayor seguridad. Los datos de violaciones muestran consistentemente que las rotaciones forzadas generan cambios predecibles. NIST recomienda ahora explícitamente contra ello, salvo en casos de compromiso confirmado.
Mitó: Un gestor de contraseñas es riesgoso porque un solo incidente expone todo. La alternativa — reutilizar contraseñas débiles en diferentes sitios — expone todo en el primer incidente de cualquier servicio que uses. Los gestores de contraseñas ganan en valor esperado.

Lo que realmente funciona

Usa un gestor de contraseñas y deja que genere contraseñas largas y verdaderamente aleatorias (16+ caracteres, conjunto completo de caracteres). Recuerdas una sola contraseña fuerte de acceso; el gestor maneja todo lo demás. Bitwarden, 1Password y KeePassXC son las opciones razonables según si deseas sincronización en la nube o solo local.

Usa pasphrases Diceware para cualquier cosa que necesites escribir o recordar. Lanza dados reales, busca las palabras en la lista de palabras grande de EFF, une cuatro o cinco juntas. No saltes los dados — elegir palabras tú mismo anula por completo el propósito.

Puedes verificar dónde una contraseña realmente se sitúa en la escala de entropía con el Analizador de fuerza de contraseñas — muestra el tiempo estimado de crackeo real en lugar del teatro de colores (verde/amarillo/rojo) que ofrecen la mayoría de los sitios. Y si necesitas una contraseña verdaderamente aleatoria generada para ti, el Generador de contraseñas te permite establecer longitud y conjunto de caracteres y produce algo que no sea «Summer2025!».

La conclusión real

Las reglas de complejidad ganaron. Están integradas en todas las políticas empresariales, en todos los registros de usuarios de consumidores, en cada diálogo «tu contraseña debe contener…». Pero también fallaron — las bases de datos de violaciones están llenas de exactamente los tipos de contraseñas que producen esas reglas.

La longitud y la aleatoriedad genuina son los elementos que realmente mueven la entropía. Todo lo demás es una casilla que hace que el diálogo de contraseñas parezca que está haciendo algo.