Guía de seguridad

Entropía de contraseñas explicada

Comprende la entropía de contraseñas, el espacio de búsqueda, el tamaño del alfabeto, la longitud y por qué los bits teóricos son solo una estimación superior.

Resumen

La entropía de contraseñas es una forma de describir el tamaño del espacio de búsqueda que un atacante necesitaría explorar. Para una contraseña uniformemente aleatoria, una fórmula útil de límite superior es:

bits = length × log2(alphabet size)

Usa la calculadora de tiempo de descifrado de contraseñas para comparar suposiciones.

Tamaño del alfabeto

El tamaño del alfabeto es el número de caracteres posibles. Las letras minúsculas ofrecen 26 opciones. Mayúsculas más minúsculas dan 52. Agregar dígitos da 62. Los símbolos pueden aumentar aún más el conjunto, pero solo si el servicio los acepta y el generador los selecciona aleatoriamente.

Longitud

La longitud multiplica el espacio de búsqueda. Una contraseña aleatoria más larga suele proporcionar una mejora práctica mayor que una contraseña corta decorada con símbolos predecibles.

Advertencia de límite superior

La fórmula asume que cada posición se selecciona uniformemente del alfabeto. No se aplica a frases humanas, contraseñas reutilizadas, palabras de diccionario, fechas, patrones de teclado, credenciales filtradas o salidas editadas. Tampoco modela el hashing del lado del servicio ni los límites de velocidad en línea.

Recomendaciones prácticas

• Trata la entropía como una herramienta de comparación, no como una garantía.
• Prefiere valores generados aleatoriamente.
• Usa más longitud para alfabetos restringidos.
• Mantén cada contraseña única.
• Almacena los resultados de forma segura.

Guía detallada

Esta guía se centra en interpretar la entropía de contraseñas sin exageraciones. Está escrita para lectores que comparan longitud, tamaño del alfabeto y listas de palabras de frases de contraseña, por lo que el objetivo práctico no es crear una afirmación de seguridad dramática. El objetivo es elegir un hábito de contraseña que pueda sobrevivir al uso diario: formularios de inicio de sesión, gestores de contraseñas, teclados móviles, recuperación de cuentas, dispositivos compartidos y el servicio ocasional con reglas de validación extrañas. Una recomendación segura solo es útil si una persona real puede seguirla de manera consistente.

El punto de partida más seguro es aleatoriedad más unicidad. Aleatoriedad significa que el valor se selecciona de un espacio grande mediante una fuente aleatoria criptográficamente adecuada, no inventado a partir de un cumpleaños, un nombre de mascota, un patrón de teclado o una cita favorita. Unicidad significa que la misma contraseña no se usa en ningún otro lugar. Una contraseña larga pero reutilizada puede fallar rápidamente después de una filtración no relacionada, mientras que una contraseña aleatoria única limita el daño a la única cuenta donde se usó.

Para este tema, un ajuste práctico es la longitud multiplicada por log2 del tamaño del alfabeto aleatorio para contraseñas uniformemente aleatorias. Puedes aplicar ese ajuste con el verificador de fortaleza de contraseñas y luego almacenar el valor final en un gestor de contraseñas de confianza. PwdGen genera valores localmente en el navegador con Web Crypto; la contraseña generada no se envía a un servidor de PwdGen. Ese diseño local reduce la exposición del lado del servidor, pero no protege contra todas las amenazas. Una extensión de navegador maliciosa, un dispositivo comprometido, una página de phishing o un manejo inseguro del portapapeles aún pueden exponer un secreto después de generado.

Los problemas más comunes a evitar son aplicar la fórmula simple a contraseñas elegidas por humanos, ignorar la reutilización y tratar las estimaciones como garantías. Estos problemas importan porque los atacantes rara vez necesitan forzar por fuerza bruta todas las contraseñas posibles cuando los hábitos humanos les dan un atajo. El relleno de credenciales, el phishing, las listas de contraseñas filtradas y el abuso de recuperación de cuentas suelen ser más realistas que una búsqueda matemática pura. Por eso, el mejor consejo combina la calidad de la contraseña con controles a nivel de cuenta como MFA, claves de acceso, almacenamiento de códigos de recuperación y revisión periódica de la configuración de correo electrónico o teléfono de recuperación.

Usa esta lista de verificación al aplicar la recomendación:

• Usa entropía solo para generación aleatoria.
• Usa verificaciones estilo zxcvbn para entrada humana.
• Aumenta la longitud cuando se apliquen restricciones de alfabeto.
• Recuerda que los hashes de almacenamiento afectan la velocidad de ataque.

Si un sitio web rechaza la configuración ideal, no fuerces la contraseña a un patrón más débil manualmente. Ajusta una variable a la vez. Si se rechazan los símbolos, mantén habilitadas mayúsculas, minúsculas y números y aumenta la longitud. Si la longitud máxima es baja, usa la longitud aceptada más grande y asegúrate de que el valor sea único. Si una contraseña debe leerse en voz alta, imprimirse o escribirse en una pantalla de televisión o enrutador, considera excluir caracteres confusos y aumentar la longitud para compensar el alfabeto más pequeño.

Finalmente, recuerda el límite del consejo sobre contraseñas. Una contraseña fuerte es una capa de defensa, no una garantía. No puede hacer que una página de phishing sea segura, arreglar malware ni compensar un servicio que almacena credenciales de manera deficiente. El hábito útil es aburrido pero duradero: genera un valor único, almacénalo de forma segura, protege la ruta de recuperación y reemplázalo rápidamente si sospechas exposición.

Un próximo paso seguro

Después de leer esta guía, haz una pequeña auditoría de cuentas en lugar de intentar arreglar todo a la vez. Elige la cuenta que causaría más problemas si fuera tomada, confirma que su contraseña es única y verifica el correo electrónico de recuperación, el teléfono de recuperación, el método MFA y el almacenamiento de códigos de respaldo. Si alguna parte de esa cadena es débil, mejora esa parte antes de pasar a cuentas de menor riesgo. Este orden mantiene el trabajo manejable y protege las cuentas que los atacantes probablemente usarán como trampolín. Para la entropía de contraseñas explicada, el mejor resultado es un hábito repetible: generar localmente, almacenar con cuidado y evitar la reutilización.

Preguntas frecuentes

¿Cuál es la fórmula simple de entropía?

Para caracteres uniformemente aleatorios, una fórmula común de límite superior es la longitud multiplicada por log2 del tamaño del alfabeto.

¿Por qué la entropía es solo una estimación?

Asume selección aleatoria uniforme y no tiene en cuenta la reutilización, filtraciones, ediciones humanas, dispositivos comprometidos o almacenamiento de destino.

¿Los símbolos siempre añaden más entropía?

Los símbolos aumentan el tamaño del alfabeto cuando se seleccionan aleatoriamente, pero agregar longitud a menudo proporciona un beneficio mayor y más fácil de usar.