contraseña.org
● Análisis local

Verifica la seguridad de tu contraseña

Escribe una contraseña y mide su fuerza en tiempo real: entropía, tiempo estimado de descifrado y los patrones que la debilitan. Todo el análisis ocurre en tu navegador.

Tu contraseña no se envía a internet Todo el análisis ocurre en tu navegador. No se guarda, no se transmite, no se registra.
Empieza a escribir… 0 bits
Longitud
0
Tiempo estimado para descifrar
Las comprobaciones aparecerán aquí.

Cómo se calcula la fuerza de una contraseña

La fuerza de una contraseña se mide habitualmente en bits de entropía. Cada bit duplica el número de intentos que un atacante necesitaría para acertarla por fuerza bruta. Cuantos más bits, más segura, pero la diferencia entre 40 y 80 bits es la diferencia entre «la rompen en minutos» y «no la rompen en miles de años».

El cálculo aproximado es: bits ≈ longitud × log₂(tamaño del alfabeto). Si usas solo minúsculas (26 caracteres), cada letra aporta unos 4,7 bits; si añades mayúsculas, números y símbolos (más de 90 caracteres), cada posición aporta más de 6,5 bits. Por eso una contraseña corta con muchos tipos puede tener menos entropía que una larga con menos variedad.

Por qué los símbolos no salvan a una contraseña corta

«P@ssw0rd!» parece compleja: mayúscula, símbolos, número. Pero solo tiene nueve caracteres y se basa en una palabra del diccionario con sustituciones obvias. Los atacantes modernos prueban primero esas variantes; el símbolo final apenas añade un puñado de intentos al ataque. La longitud y la imprevisibilidad ganan siempre.

Qué comprueba este verificador

El análisis combina varias señales para darte una imagen más realista que un simple medidor de entropía:

  • Longitud: el primer y más importante factor. Una contraseña de menos de 10 caracteres se considera débil aunque tenga símbolos.
  • Variedad de caracteres: mezcla de mayúsculas, minúsculas, números y símbolos. Cada tipo amplía el espacio de búsqueda.
  • Lista de contraseñas comunes: «123456», «qwerty», «contraseña», «admin» y cientos más. Estas se prueban en los primeros segundos de cualquier ataque.
  • Patrones de teclado: secuencias como «qwerty», «asdf» o «12345» tienen entropía real cercana a cero porque están en cualquier diccionario de ataque.
  • Repeticiones: «aaaaaa» o «abcabc» son fáciles de detectar para los algoritmos de fuerza bruta optimizados.
  • Palabras del diccionario en español e inglés: los atacantes usan diccionarios masivos, no solo prueban combinaciones al azar.

Cómo interpretar el tiempo de descifrado

El tiempo estimado asume un ataque fuera de línea contra un hash bien implementado, con un atacante capaz de probar 10⁹ (mil millones) de combinaciones por segundo usando hardware moderno. Es una hipótesis intermedia: hay algoritmos lentos que harían el ataque mucho más caro y otros antiguos (MD5, SHA-1 sin sal) que permiten velocidades mucho mayores.

Las referencias útiles:

  • Menos de un día: la contraseña es inaceptable. Cámbiala ahora.
  • Meses o años: aguanta ataques superficiales, pero un atacante motivado puede romperla. Aceptable solo para cuentas poco importantes.
  • Siglos o más: está fuera del alcance práctico incluso de actores con muchos recursos. Es el objetivo razonable para cuentas importantes.
Lo que no comprueba ningún medidor Ninguna herramienta puede saber si tu contraseña ha aparecido en una filtración real. Para eso usa nuestra guía para detectar filtraciones. Una clave «fuerte» pero filtrada vale lo mismo que una débil.

Qué hacer si el resultado es débil

  1. No la uses. Por mucho que la tengas memorizada, una contraseña marcada como débil es un riesgo abierto.
  2. Genera una nueva aleatoria con nuestro generador de contraseñas con al menos 16 caracteres y todos los tipos activos.
  3. Cámbiala en la cuenta donde la usabas. Si la reutilizabas en otros sitios, cámbiala también allí.
  4. Guárdala en un gestor para no tener que recordarla. Mira nuestra guía de gestores de contraseñas.
  5. Activa la verificación en dos pasos en la cuenta para añadir una segunda capa.

¿Y si el resultado es «excelente» pero la contraseña es famosa?

El verificador detecta contraseñas comunes y patrones, pero su lista no es exhaustiva. Si tu clave incluye tu nombre, una fecha personal o palabras relacionadas contigo (mascota, equipo, ciudad), un atacante que te conozca o haya visto tus redes sociales puede acertarla mucho antes de lo que sugiere la entropía. Aleatoriedad real significa que ni tú ni alguien que te conozca podríais adivinar la contraseña.

Sigue aprendiendo

Generador de contraseñas

Si tu contraseña no aprueba, crea una nueva aleatoria en segundos.

Las contraseñas más comunes

La lista que los atacantes prueban primero. Comprueba que la tuya no está.

10 errores comunes con contraseñas

Hábitos cotidianos que dejan tus cuentas expuestas sin que te des cuenta.

¿Tu contraseña no aprueba el examen?

Genera ahora una nueva, totalmente aleatoria, con la longitud y los tipos que prefieras. En tu navegador, sin enviar nada.

Abrir generador