🔐 Generador de Contraseñas Seguras
Crea contraseñas criptográficamente seguras con opciones personalizables
Contraseña Generada
Generando...
Fuerza: Muy débil
⚡ Presets Rápidos
⚙️ Personalizar Contraseña
🔐 Guía completa de seguridad digital: contraseñas y autenticación
Aprende sobre entropía, ataques de fuerza bruta, gestores de contraseñas y mejores prácticas para proteger tus cuentas
⚖️ Tipos de contraseña: seguridad vs. memorabilidad
| Tipo | Ejemplo | Entropía | Tiempo descifrado | Memorabilidad |
|---|---|---|---|---|
| 8 chars, solo letras | contraseñ | ~38 bits | Minutos | Alta |
| 8 chars, mixto | C0ntr4s3! | ~52 bits | Horas-días | Media |
| 12 chars, mixto | X#9mK$pL2&qR | ~78 bits | Siglos | Baja |
| 16 chars, mixto | 4@Tz!9xPmL#2vQ&k | ~104 bits | Inviable | Ninguna (gestor) |
| Frase de paso (4 palabras) | Caballo-Batería-Rosa-7 | ~70 bits | Cientos de años | Muy alta |
| Frase de paso (5+ palabras) | Lluvia-Mesa-Cohete-Azul-42 | ~90 bits | Inviable | Alta |
| PIN de 6 dígitos | 482901 | ~20 bits | Segundos | Alta |
🎯 Situaciones reales de seguridad de contraseñas
Cuenta bancaria online
Riesgo: máximo. Un atacante con tu contraseña bancaria puede vaciar tu cuenta en minutos. El banco puede no reembolsar si hay "negligencia" (contraseña débil o reutilizada).
Recomendación: 16+ chars únicos + 2FA con app (no SMS). Guardar en gestor.
💡 Activa siempre las notificaciones de transacción por email/SMS como segunda capa de alerta.
Email principal (cuenta maestra)
Riesgo: crítico. Tu email es la llave de todo: quien controla tu email puede resetear TODAS tus otras contraseñas. Es la cuenta más importante de proteger.
Recomendación: contraseña única de 20+ chars, 2FA con YubiKey o app TOTP, nunca SMS.
💡 El email es la "cuenta madre". Si cae, caen todas. Prioriza su seguridad sobre cualquier otra.
Cuenta de videojuegos / streaming
Riesgo: medio. Las cuentas gaming con skins o ítems de valor real son objetivo frecuente. Las cuentas de streaming se revenden en mercados negros cuando se reutiliza la contraseña de otra filtración.
Recomendación: contraseña única de 12+ chars. 2FA si la plataforma lo permite.
💡 La reutilización de contraseñas es el vector más común de robo de cuentas gaming. Una filtración en un sitio menor compromete todas.
Acceso VPN / cuentas corporativas
Riesgo: muy alto para tu empresa. Un empleado con contraseña corporativa débil o reutilizada puede ser el punto de entrada de un ransomware que paralice toda la organización.
Recomendación: gestor corporativo (1Password Teams, Bitwarden Enterprise), política de rotación + 2FA obligatorio.
💡 El 95% de los ataques de ransomware comienzan por credenciales robadas o débiles. La inversión en un gestor corporativo es la mejor ROI en ciberseguridad.
Servicios cloud (AWS, Google Cloud)
Riesgo: extremo. Credenciales de AWS expuestas accidentalmente (en GitHub, por ejemplo) pueden generar facturas de miles de euros en horas por mineros de criptomonedas.
Recomendación: NUNCA contraseñas en código. Usar IAM roles, MFA obligatorio para root, alertas de billing.
💡 Activa alertas de facturación en AWS/GCP con umbral de 10€. Si aparecen cargos inesperados, actúa en minutos.
WiFi doméstica y router
Riesgo: frecuentemente ignorado. Un router con contraseña por defecto o débil permite a vecinos o atacantes acceder a tu red, interceptar tráfico, y comprometer todos los dispositivos conectados.
Recomendación: WPA3 o WPA2, contraseña de 20+ chars aleatoria, cambiar usuario admin del router.
💡 Cambia siempre las credenciales por defecto del router (usuario "admin" + contraseña "admin" o "1234"). Es el primer paso de cualquier auditoría de seguridad doméstica.
❓ Preguntas frecuentes sobre contraseñas y seguridad digital
❓ ¿Es seguro usar un generador de contraseñas online?
Depende de cómo funcione. Esta herramienta usa crypto.getRandomValues(), la API criptográfica del navegador, que genera números verdaderamente aleatorios usando el hardware del dispositivo. La generación ocurre 100% en tu dispositivo, sin enviar ningún dato a servidores. Para verificar: abre DevTools → Network y comprueba que no hay requests al generar. Los generadores que generan en el servidor (con seed predecible o sin HTTPS) sí son peligrosos.
💡 Cómo verificar: Busca que el generador use crypto.getRandomValues() (JavaScript) o equivalente. Si envía datos a un servidor para generar, no lo uses.
❓ ¿Debo cambiar mis contraseñas regularmente?
La recomendación moderna (NIST 2023) es NO cambiar contraseñas regularmente si son únicas y fuertes. El cambio periódico obligatorio lleva a los usuarios a crear contraseñas débiles con pequeñas variaciones (Contraseña1 → Contraseña2). Sí debes cambiarlas cuando: hay sospecha de compromiso, el servicio anuncia una brecha, o aparece tu email en haveibeenpwned.com. Para cuentas críticas (banco, email), cambia cada 12-18 meses como buena práctica.
💡 Comprueba hoy: Ve a haveibeenpwned.com e introduce tu email para ver si aparece en filtraciones conocidas. Es gratuito y muy revelador.
❓ ¿Los gestores de contraseñas son seguros? ¿Qué pasa si los hackean?
Los gestores de contraseñas de referencia (Bitwarden, 1Password, KeePassXC) usan arquitectura zero-knowledge: ni la empresa puede ver tus contraseñas. Todo se cifra localmente con AES-256 antes de enviarse al servidor. Si hackean el servidor, solo obtienen datos cifrados ilegibles. El riesgo real es tu contraseña maestra: si es débil o la pierdes, pierdes el acceso. 1Password sufrió un incidente en 2022 y solo se expusieron metadatos cifrados, no contraseñas.
💡 Recomendación: Bitwarden (open-source, auditable, gratuito) o 1Password. Usa una contraseña maestra de 5+ palabras aleatorias y guarda una copia física en lugar seguro.
❓ ¿Qué es la autenticación de dos factores (2FA) y cuál es mejor?
El 2FA añade un segundo factor de verificación: algo que sabes (contraseña) + algo que tienes (código temporal). Opciones ordenadas de menor a mayor seguridad: SMS (vulnerable a SIM swapping) < Email OTP < App TOTP (Google Authenticator, Authy) < Passkeys < Llaves físicas (YubiKey). El SMS 2FA es 99% mejor que nada, pero puede vulnerarse mediante intercambio de SIM (llamar al operador haciéndose pasar por ti). Las apps TOTP son seguras y gratuitas.
💡 Empieza aquí: Activa 2FA con app TOTP (Authy, Google Authenticator) en email, banco y redes sociales. Es el mayor impacto en seguridad por el menor esfuerzo.
❓ ¿Qué es el SIM swapping y cómo protegerse?
El SIM swapping es un ataque donde el atacante llama a tu operador móvil, se hace pasar por ti y transfiere tu número a una nueva SIM que él controla. A partir de ese momento, recibe todos tus SMS, incluyendo los códigos 2FA por SMS. Para protegerte: usa 2FA por app (no SMS) en cuentas críticas, activa un PIN de seguridad con tu operador para cambios de SIM, y usa contraseñas fuertes y únicas para la cuenta del operador.
💡 Acción inmediata: Llama a tu operador y pide activar "bloqueo de portabilidad" o "PIN de seguridad de SIM". Muchos operadores ofrecen esta protección adicional gratuita.
❓ ¿Qué son las passkeys y van a reemplazar las contraseñas?
Las passkeys son el futuro de la autenticación. Funcionan con criptografía de clave pública: tu dispositivo guarda la clave privada (protegida por biometría o PIN local) y el servidor guarda solo la clave pública. No hay contraseña que robar. No son vulnerables a phishing (la autenticación está vinculada al dominio específico). Apple, Google y Microsoft ya las soportan. Se estima que en 5-7 años substituirán las contraseñas en la mayoría de servicios.
💡 Empieza ya: Servicios como Google, Apple, Microsoft, GitHub, PayPal y Amazon ya ofrecen passkeys. Actívalas donde estén disponibles para máxima seguridad sin fricción.
❓ ¿Cómo sé si mi contraseña ha sido filtrada en una brecha de datos?
haveibeenpwned.com (de Troy Hunt, experto en seguridad) es el servicio de referencia. Busca tu email y comprueba si aparece en las bases de datos de filtraciones conocidas. Para contraseñas, usa el servicio de contraseñas de HIBP: aplica k-anonymity (solo envía los primeros 5 caracteres del hash SHA-1 de tu contraseña, nunca la contraseña completa). Firefox Monitor y Google Password Checkup hacen lo mismo de forma integrada.
💡 Acción: Comprueba tu email en haveibeenpwned.com ahora mismo. Si aparece en alguna filtración, cambia la contraseña de ese servicio y de cualquier otro donde la hayas reutilizado.
❓ ¿Frase de paso vs. contraseña aleatoria: cuál es mejor para la contraseña maestra del gestor?
Para la contraseña maestra del gestor (la única que debes recordar): una frase de 4-5 palabras aleatorias es mejor porque tiene suficiente entropía (~70-90 bits), es memorizable y resistente a ataques de diccionario si las palabras son realmente aleatorias (usa dados o un generador). Para el resto de contraseñas (guardadas en el gestor): usa caracteres aleatorios de 16+ caracteres generados por esta herramienta, ya que no necesitas recordarlas.
💡 Método Diceware: Tira 5 dados 5 veces y busca las palabras correspondientes en una lista Diceware. El resultado es una frase verdaderamente aleatoria con ~65 bits de entropía. Muy segura y recordable.
📋 Cómo proteger tus cuentas digitales paso a paso
Instala un gestor de contraseñas hoy mismo
Bitwarden (gratuito, open-source) o 1Password (de pago, interfaz superior). Instala la extensión de navegador y la app móvil. Crea una contraseña maestra fuerte con una frase de 4-5 palabras aleatorias. Guarda esta contraseña maestra en papel físico en un lugar seguro (no en el móvil ni en otro servicio digital).
Cambia primero las contraseñas de tus cuentas críticas
Prioridad: email principal → banco → otras cuentas financieras → redes sociales → resto. Genera una contraseña nueva de 16+ caracteres con esta herramienta, guárdala en el gestor y úsala en el servicio. Haz esto para las 5-10 cuentas más importantes antes de hacer nada más.
Activa 2FA en email y banco
Instala Authy o Google Authenticator. Activa 2FA en tu email primero (es la cuenta más crítica), luego en el banco, y después en el resto de cuentas donde sea posible. Prefiere siempre app TOTP sobre SMS. Guarda los códigos de recuperación del 2FA en tu gestor de contraseñas.
Comprueba si tus cuentas han sido filtradas
Ve a haveibeenpwned.com e introduce tus emails. Para cada cuenta que aparezca en una filtración, cambia la contraseña inmediatamente (aunque ya lo hayas hecho, por si la antigua está en la lista). Si el gestor de contraseñas lo permite (Bitwarden, 1Password), usa su función de monitoreo de brechas integrado.
Migra gradualmente el resto de cuentas al gestor
No intentes cambiar todo de golpe. Cada vez que uses un servicio, si la contraseña no está en el gestor o es débil/reutilizada, cámbiala en ese momento. En 1-2 meses, la mayoría de tus cuentas activas tendrán contraseñas únicas y fuertes sin esfuerzo adicional concentrado.
Protege el dispositivo y la red
PIN o biometría en el móvil (sin él, quien lo tenga tiene acceso a tu gestor). Contraseña WiFi fuerte en casa (WPA2/WPA3, 20+ chars). Cambia las credenciales por defecto del router. Usa HTTPS siempre (el candado verde en la URL). En WiFi públicas, usa VPN antes de acceder a cuentas sensibles.
Mantén el sistema y revisa anualmente
Actualiza el gestor de contraseñas y las apps 2FA regularmente. Una vez al año: revisa en haveibeenpwned.com si aparecen nuevas filtraciones, cambia contraseñas de cuentas críticas como precaución, y desactiva cuentas en servicios que ya no uses (cuentas abandonadas con tu contraseña reutilizada son vectores de ataque).
✅ Mejores prácticas de seguridad digital
Una contraseña por servicio
Nunca reutilices. Si un sitio sufre una brecha, solo esa cuenta se ve comprometida. Con un gestor, reutilizar no tiene ningún sentido ni ventaja.
2FA siempre que sea posible
Actívalo en cada servicio que lo ofrezca. Incluso un 2FA por SMS es infinitamente mejor que ninguno. La app TOTP (Authy) es la mejor opción gratuita.
Longitud > Complejidad
"x#Km!" (5 chars) es infinitamente más débil que "correctocaballobateria" (21 chars). La longitud es el factor más importante en la entropía de una contraseña.
Desconfía del phishing
El 80% de robos de cuentas son por phishing, no por fuerza bruta. Verifica siempre la URL antes de introducir credenciales. Los gestores no autocompletarán en dominios falsos.
Backup de los códigos 2FA
Guarda los códigos de recuperación de cada servicio 2FA en el gestor de contraseñas. Si pierdes el móvil sin estos códigos, perderás acceso permanente a esas cuentas.
Monitorea las filtraciones
Comprueba haveibeenpwned.com mensualmente o activa las alertas de Firefox Monitor. Actuar rápido tras una filtración limita el daño al mínimo.
Errores críticos de seguridad que debes evitar
- ❌ Reutilizar contraseñas entre servicios: Es el error más común y peligroso. Si un servicio sufre una brecha (y ocurren miles al año), los atacantes prueban las credenciales en todos los sitios importantes (credential stuffing). Una filtración de un foro de videojuegos puede comprometer tu banco si usas la misma contraseña.
- ❌ Guardar contraseñas en el navegador sin protección: Las contraseñas guardadas en Chrome o Firefox sin contraseña maestra configurada se almacenan en texto plano (o con cifrado débil) en el disco. Cualquier malware con acceso al sistema puede extraerlas en segundos. Usa un gestor dedicado con cifrado AES-256.
- ❌ Usar información personal como contraseña: Nombre + año de nacimiento, apellidos, fecha de aniversario, nombre de mascota. Todo esto es predecible mediante ingeniería social o búsquedas en redes sociales. Los atacantes prueban primero las contraseñas basadas en información pública de la víctima.
- ❌ Confiar en el 2FA por SMS como única protección: El SIM swapping permite a un atacante recibir tus SMS en su propia SIM. Para cuentas críticas (banco, email), usa siempre 2FA por app TOTP o llave física, nunca solo SMS.
- ❌ No configurar respuestas de seguridad con información real: Las preguntas de seguridad ("¿Cuál es el apellido de tu madre?") son vectores de ataque. Responde con respuestas inventadas y aleatorias que guardes en el gestor. "¿Ciudad de nacimiento?" → "K#9xP!mL" (guardado en el gestor).
- ❌ Introducir contraseñas en WiFi públicas sin VPN: Las redes WiFi abiertas (cafeterías, aeropuertos) pueden ser monitoreadas o falsificadas. Sin VPN, el tráfico puede interceptarse. Usa siempre VPN en WiFi pública antes de acceder a cualquier cuenta sensible.
- ❌ Perder acceso al gestor de contraseñas sin backup: Si olvidas la contraseña maestra y no tienes backup, pierdes acceso a TODAS tus cuentas. Guarda la contraseña maestra en papel físico en lugar seguro (caja fuerte, banco). Configura un método de recuperación de emergencia.