Guía de seguridad

Cómo crear una contraseña segura

Una guía práctica para crear contraseñas seguras y únicas con generación local, gestores de contraseñas, MFA y hábitos seguros de recuperación.

Resumen

Una contraseña segura no es solo una cadena que “parece complicada”. Es lo suficientemente larga para el caso de uso, generada aleatoriamente, única para una cuenta y almacenada de forma segura. El flujo de trabajo diario más fiable es simple: generar un valor aleatorio único, guardarlo en un gestor de contraseñas y activar MFA o una passkey siempre que el servicio lo admita.

Usa el generador de contraseñas aleatorias gratuito o el generador de contraseñas de 16 caracteres cuando necesites una nueva contraseña para una cuenta.

Qué hace que una contraseña sea segura

Las contraseñas prácticas más seguras son seleccionadas mediante un proceso aleatorio, no inventadas por una persona. Las contraseñas creadas por humanos suelen contener nombres, fechas, patrones de teclado, marcas, letras de canciones o sustituciones familiares. Los atacantes conocen esos patrones y los prueban al principio.

La generación aleatoria cambia la situación. Una contraseña generada, como un valor de 16, 20 o 32 caracteres, no tiene historia personal, ni fecha de calendario, ni estructura de diccionario conveniente. Solo sigue siendo útil si se mantiene única y privada.

Recomendaciones prácticas

1. Genera una nueva contraseña para cada cuenta.
2. Prefiere al menos 15–16 caracteres aleatorios para cuentas ordinarias.
3. Usa 20 o más caracteres para correo electrónico, banca, trabajo y acceso de administración cuando sea aceptado.
4. Incluye símbolos cuando el destino los acepte.
5. Almacena las contraseñas en un gestor de contraseñas de confianza.
6. Activa MFA o passkeys.
7. Revisa la configuración de recuperación de la cuenta, porque los atacantes a menudo atacan las rutas de recuperación.

Qué resuelve y qué no resuelve la generación local

PwdGen genera valores localmente con Web Crypto y no sube las contraseñas generadas. Eso protege contra la recolección intencional del valor generado por el sitio web. No protege contra una extensión de navegador comprometida, un gestor de portapapeles inseguro, malware, una página de phishing o un servicio que maneje mal el almacenamiento de contraseñas.

Guía detallada

Esta guía se centra en crear una contraseña segura desde cero. Está escrita para personas que reemplazan contraseñas débiles o reutilizadas, por lo que el objetivo práctico no es crear una afirmación de seguridad dramática. El objetivo es elegir un hábito de contraseña que pueda sobrevivir al uso diario: formularios de inicio de sesión, gestores de contraseñas, teclados móviles, recuperación de cuentas, dispositivos compartidos y el servicio ocasional con reglas de validación extrañas. Una recomendación segura solo es útil si una persona real puede seguirla de manera consistente.

El punto de partida más seguro es aleatoriedad más unicidad. Aleatoriedad significa que el valor se selecciona de un espacio grande mediante una fuente aleatoria criptográficamente adecuada, no inventado a partir de un cumpleaños, un nombre de mascota, un patrón de teclado o una cita favorita. Unicidad significa que la misma contraseña no se usa en ningún otro lugar. Una contraseña larga pero reutilizada puede fallar rápidamente después de una filtración no relacionada, mientras que una contraseña aleatoria única limita el daño a la única cuenta donde se usó.

Para este tema, un preset práctico es 20 caracteres, mayúsculas, minúsculas, números y símbolos cuando sean aceptados. Puedes aplicar ese preset con el generador de contraseñas de 20 caracteres y luego almacenar el valor final en un gestor de contraseñas de confianza. PwdGen genera valores localmente en el navegador con Web Crypto; la contraseña generada no se envía a un servidor de PwdGen. Ese diseño local reduce la exposición del lado del servidor, pero no protege contra todas las amenazas. Una extensión de navegador maliciosa, un dispositivo comprometido, una página de phishing o un manejo inseguro del portapapeles aún pueden exponer un secreto después de generado.

Los problemas más comunes a evitar son nombres personales, cumpleaños, recorridos de teclado, finales reutilizados y sustituciones predecibles como reemplazar a con @. Estos problemas importan porque los atacantes rara vez necesitan forzar por fuerza bruta todas las contraseñas posibles cuando los hábitos humanos les dan un atajo. El relleno de credenciales, el phishing, las listas de contraseñas filtradas y el abuso de recuperación de cuentas suelen ser más realistas que una búsqueda matemática pura. Por eso, el mejor consejo combina la calidad de la contraseña con controles a nivel de cuenta como MFA, passkeys, almacenamiento de códigos de recuperación y revisión periódica de la configuración de correo electrónico o teléfono de recuperación.

Usa esta lista de verificación al aplicar la recomendación:

• Usa un valor diferente para cada cuenta.
• Prefiere la generación aleatoria sobre los patrones personales.
• Almacena el resultado en un gestor de contraseñas.
• Activa MFA o passkeys cuando estén disponibles.

Si un sitio web rechaza la configuración ideal, no fuerces la contraseña a un patrón más débil manualmente. Ajusta una variable a la vez. Si se rechazan los símbolos, mantén mayúsculas, minúsculas y números habilitados y aumenta la longitud. Si la longitud máxima es baja, usa la longitud más grande aceptada y asegúrate de que el valor sea único. Si una contraseña debe leerse en voz alta, imprimirse o escribirse en una pantalla de televisión o enrutador, considera excluir caracteres confusos y aumentar la longitud para compensar el alfabeto más pequeño.

Finalmente, recuerda el límite del consejo sobre contraseñas. Una contraseña segura es una capa de defensa, no una garantía. No puede hacer que una página de phishing sea segura, arreglar malware ni compensar un servicio que almacena credenciales de manera deficiente. El hábito útil es aburrido pero duradero: generar un valor único, almacenarlo de forma segura, proteger la ruta de recuperación y reemplazarlo rápidamente si sospechas exposición.

Preguntas frecuentes

¿Cuál es la regla más simple para una contraseña segura?

Usa una contraseña larga, aleatoria y única para cada cuenta y guárdala en un gestor de contraseñas de confianza.

¿Es mejor una contraseña corta y compleja que una larga y aleatoria?

Generalmente no. La longitud y la imprevisibilidad importan más que las sustituciones familiares como reemplazar letras con símbolos.

¿Debo usar MFA con una contraseña segura?

Sí. MFA o passkeys añaden protección cuando una contraseña es phishada, reutilizada en otro lugar o expuesta por una filtración del servicio.