Guía de seguridad
¿Qué es el tiempo de descifrado de contraseñas?
Aprenda qué significan las estimaciones de tiempo de descifrado de contraseñas, por qué importan las suposiciones sobre la tasa de ataque y por qué las estimaciones no son garantías.
Resumen
El tiempo de descifrado de contraseñas es una estimación de cuánto podría tardar un ataque de adivinación bajo un modelo específico. El modelo importa. Adivinar en línea contra un servicio en vivo es diferente de descifrar offline un hash de contraseña filtrado. Un número universal de “tiempo para descifrar” es engañoso sin suposiciones.
Use la calculadora de tiempo de descifrado de contraseñas y el verificador de fortaleza para comparar escenarios localmente.
Adivinación en línea
La adivinación en línea está limitada por el servicio. Los límites de tasa, bloqueos, monitoreo, MFA y detección de anomalías pueden ralentizar o detener los ataques. Un PIN corto puede ser aceptable solo porque el sistema limita los intentos.
Descifrado offline
El descifrado offline ocurre cuando los atacantes tienen hashes de contraseñas o material cifrado. La velocidad depende del algoritmo hash, factor de costo, sal, hardware y estrategia de ataque. El hash lento de contraseñas como Argon2id, bcrypt o PBKDF2 está diseñado para reducir las adivinaciones por segundo.
Aleatoriedad y patrones
Las matemáticas del tiempo de descifrado solo tienen sentido cuando la contraseña es realmente aleatoria. Password123! puede parecer compleja, pero aparece temprano en la adivinación basada en patrones. Una contraseña aleatoria de 20 caracteres es diferente porque carece de estructura humana.
Guía detallada
Esta guía se centra en leer las estimaciones de tiempo de descifrado de contraseñas de manera responsable. Está escrita para usuarios que ven estimaciones basadas en años y quieren saber qué significan realmente, por lo que el objetivo práctico no es crear una afirmación de seguridad dramática. El objetivo es elegir un hábito de contraseñas que pueda sobrevivir al uso diario: formularios de inicio de sesión, gestores de contraseñas, teclados móviles, recuperación de cuentas, dispositivos compartidos y el servicio ocasional con reglas de validación extrañas. Una recomendación segura solo es útil si una persona real puede seguirla de manera consistente.
El punto de partida más seguro es aleatoriedad más unicidad. Aleatoriedad significa que el valor se selecciona de un espacio grande mediante una fuente aleatoria criptográficamente adecuada, no inventado a partir de un cumpleaños, un nombre de mascota, un patrón de teclado o una cita favorita. Unicidad significa que la misma contraseña no se usa en ningún otro lugar. Una contraseña larga pero reutilizada puede fallar rápidamente después de una filtración no relacionada, mientras que una contraseña única y aleatoria limita el daño a la cuenta única donde se usó.
Para este tema, un preset práctico son estimaciones basadas en escenarios para límites en línea, hashes lentos y adivinación offline rápida. Puede aplicar ese preset con la calculadora de tiempo de descifrado de contraseñas y luego almacenar el valor final en un gestor de contraseñas de confianza. PwdGen genera valores localmente en el navegador con Web Crypto; la contraseña generada no se envía a un servidor de PwdGen. Ese diseño local reduce la exposición del lado del servidor, pero no protege contra todas las amenazas. Una extensión de navegador maliciosa, un dispositivo comprometido, una página de phishing o un manejo inseguro del portapapeles aún pueden exponer un secreto después de generado.
Los problemas más comunes a evitar son afirmaciones universales de tiempo de descifrado, suposiciones solo de hardware, hashes filtrados, almacenamiento débil y patrones de usuario predecibles. Estos problemas importan porque los atacantes rara vez necesitan fuerza bruta en todas las contraseñas posibles cuando los hábitos humanos les dan un atajo. El relleno de credenciales, el phishing, las listas de contraseñas filtradas y el abuso de recuperación de cuentas suelen ser más realistas que una búsqueda matemática pura. Por eso, el mejor consejo combina la calidad de la contraseña con controles a nivel de cuenta como MFA, passkeys, almacenamiento de códigos de recuperación y revisión regular del correo electrónico o teléfono de recuperación.
Use esta lista de verificación al aplicar la recomendación:
- Compare más de un escenario de ataque.
- No trate un número grande como una garantía.
- Evite contraseñas reutilizadas independientemente de la estimación.
- Use MFA para cuentas que lo admitan.
Si un sitio web rechaza la configuración ideal, no fuerce la contraseña a un patrón más débil manualmente. Ajuste una variable a la vez. Si se rechazan los símbolos, mantenga mayúsculas, minúsculas y números habilitados y aumente la longitud. Si la longitud máxima es baja, use la longitud aceptada más grande y asegúrese de que el valor sea único. Si la contraseña debe leerse en voz alta, imprimirse o escribirse en una pantalla de televisión o enrutador, considere excluir caracteres confusos y aumentar la longitud para compensar el alfabeto más pequeño.
Finalmente, recuerde el límite del consejo sobre contraseñas. Una contraseña fuerte es una capa de defensa, no una garantía. No puede hacer que una página de phishing sea segura, arreglar malware o compensar un servicio que almacena credenciales deficientemente. El hábito útil es aburrido pero duradero: genere un valor único, almacénelo de forma segura, proteja la ruta de recuperación y reemplácelo rápidamente si sospecha exposición.
Un próximo paso seguro
Después de leer esta guía, haga una pequeña auditoría de cuentas en lugar de intentar arreglar todo a la vez. Elija la cuenta que causaría más problemas si fuera tomada, confirme que su contraseña es única y verifique el correo electrónico de recuperación, el teléfono de recuperación, el método MFA y el almacenamiento de códigos de respaldo. Si alguna parte de esa cadena es débil, mejore esa parte antes de pasar a cuentas de menor riesgo. Este orden mantiene el trabajo manejable y protege las cuentas que los atacantes tienen más probabilidades de usar como trampolín. Para ¿qué es el tiempo de descifrado de contraseñas?, el mejor resultado es un hábito repetible: generar localmente, almacenar con cuidado y evitar la reutilización.
Preguntas frecuentes
¿Por qué las calculadoras de tiempo de descifrado no coinciden?
Usan diferentes suposiciones sobre aleatoriedad, tipo de hash, hardware, límites en línea y si la contraseña ya se conoce por filtraciones.
¿Es el descifrado offline más rápido que la adivinación en línea?
Generalmente sí. Los atacantes offline pueden probar adivinaciones sin límites de tasa, mientras que los sistemas en línea pueden limitar, bloquear y monitorear intentos.
¿Debo confiar en un resultado único de “millones de años”?
Trátelo como una estimación bajo suposiciones declaradas, no como una garantía de seguridad.