Volver al blog

Conceptos básicos de seguridad

¿Qué hace segura una contraseña en 2026?

15 de enero de 2026 · 7 min de lectura

Black and silver door knob
Photo by Jason Dent on Unsplash

Los consejos sobre contraseñas han cambiado. Las reglas antiguas insistían en símbolos, rotaciones forzadas y requisitos artificialmente incómodos. A los atacantes modernos no les importa si añades un signo de exclamación más. Les importa sobre todo que la contraseña sea predecible, reutilizada o demasiado corta.

En 2026, una contraseña segura se basa en la longitud, la aleatoriedad, la unicidad y una buena higiene de cuentas. Eso es lo que explica este artículo.

La longitud importa más que la complejidad artificial

Una contraseña larga amplía enormemente el espacio de búsqueda del atacante. Eso es mucho más importante que reglas cosméticas como «una mayúscula, un número y un símbolo».

Una contraseña aleatoria de 16 caracteres es mucho más fuerte que una contraseña corta con sustituciones previsibles como P@ssw0rd!.

Qué recomiendan las prácticas modernas

La orientación actual favorece secretos largos y fáciles de usar. NIST SP 800-63B-4, publicado en 2025, exige al menos 15 caracteres para contraseñas verificadas centralmente como factor único y dice que los servicios no deben imponer reglas de composición como símbolos o mayúsculas obligatorias.

Hay un matiz importante con MFA: NIST permite contraseñas más cortas cuando solo se usan como parte de un inicio de sesión multifactor, pero aun así exige un mínimo de 8 caracteres. Es un suelo para sistemas con otro factor, no un buen objetivo para contraseñas generadas por un gestor. Si el gestor puede crear 16, 20 o más caracteres aleatorios, usa el valor más largo.

Es un cambio importante frente a la idea antigua de que una contraseña se vuelve segura por contener varios tipos de caracteres. La longitud, las listas de bloqueo, los límites de intentos y el almacenamiento seguro importan más.

Adivinación en línea vs. cracking fuera de línea

Una contraseña segura debe resistir dos situaciones distintas. En un ataque en línea, el atacante intenta iniciar sesión en el servicio. Límites de velocidad, MFA, detección de fraude y bloqueos de cuenta pueden frenarlo.

En un ataque fuera de línea, el atacante robó una base de hashes y puede probar conjeturas sin hablar con el servicio. Eso es mucho más peligroso. La fuerza de la contraseña y la calidad del esquema de hashing se vuelven la barrera principal.

Cómo es una buena contraseña en la práctica

  • Usar una contraseña única para cada cuenta.
  • Dejar que un gestor de contraseñas genere claves aleatorias.
  • Usar 5 o 6 palabras aleatorias para secretos que debas recordar.
  • Activar MFA en correo, banca y cuentas cloud.
  • Usar nuestro test de filtraciones de forma periódica para comprobar si contraseñas importantes aparecen en filtraciones conocidas.

Qué debes evitar

  • Palabras de diccionario con cambios previsibles
  • Fechas de nacimiento, nombres, mascotas y patrones de teclado
  • Reutilizar la misma contraseña en varios servicios
  • Contraseñas cortas que parecen fuertes solo por los símbolos

La higiene del nombre de usuario también importa

La contraseña es solo una parte del inicio de sesión. Reutilizar el mismo nombre de usuario facilita vincular cuentas, hacer credential stuffing, suplantar identidad y preparar phishing dirigido, sobre todo si contiene tu nombre real, año de nacimiento, empresa o alias habitual.

Usa tu nombre real cuando la responsabilidad o la identificación sean importantes, por ejemplo en trabajo, servicios profesionales, banca o trámites públicos. Para foros, juegos, newsletters, tiendas y servicios sensibles en privacidad, un nombre de usuario neutro separado reduce el rastreo fácil entre sitios.

Puedes crear un identificador de alta entropía con nuestro generador de nombres de usuario aleatorios cuando la privacidad importe más, o elegir un estilo adjetivo-sustantivo más legible con el generador de nombres de usuario compuestos cuando el nombre todavía deba ser memorable.

No pongas información de recuperación en el propio nombre de usuario. Evita años de nacimiento, nombres de empresa, ubicaciones, fragmentos de teléfono y el mismo alias público que usas en redes sociales. Si el servicio también permite alias de correo, combínalo con el nombre de usuario neutro para que ambas partes del login sean menos reutilizables.

Longitudes recomendadas

Para cuentas normales guardadas en un gestor, 16 a 20 caracteres aleatorios son una base sólida. Para cuentas de alto valor como correo o banca, 20 o más caracteres es una decisión razonable.

Para una contraseña maestra o un secreto memorizado, 5 a 7 palabras aleatorias suelen ofrecer el mejor equilibrio entre comodidad y seguridad.

Contraseñas generadas vs. frases memorizadas

Para cuentas guardadas en un gestor, usa cadenas aleatorias generadas. No tienes que recordarlas, así que no hay motivo para que parezcan humanas.

Para los pocos secretos que debes memorizar, usa una frase de contraseña formada por palabras elegidas al azar. Las palabras deben venir de un proceso aleatorio, no de una frase, cita, canción o historia personal.

Si no confías en el azar automatizado del navegador, igual puedes crear una frase memorizable de la forma más transparente: lanza dados físicos y busca cada palabra en una lista impresa. También puedes usar nuestro rodador manual de Diceware para escribir tú mismo o tú misma cada tirada de cinco cifras: todo sigue en tu navegador, pero eliges cada lanzamiento.

Usa un gestor de contraseñas

Para la mayoría de personas, un gestor de contraseñas es el centro práctico de la seguridad de contraseñas. Permite que cada cuenta tenga una contraseña aleatoria distinta, elimina la necesidad de inventar patrones y hace mucho más fácil evitar la reutilización.

Si ya vives dentro de un ecosistema, los gestores integrados suelen ser el punto de partida más sencillo: Apple Passwords o iCloud Keychain para usuarios de Apple, y Google Password Manager para Chrome y Android. La facilidad importa, porque el gestor que realmente usas es mejor que la herramienta perfecta que abandonas.

Si necesitas mejores opciones de compartición, flujos entre plataformas, funciones familiares o de equipo, o más control, mira gestores dedicados como Bitwarden, 1Password, Proton Pass, Dashlane, Keeper, o el enfoque local/open source de KeePassXC. La elección depende de si priorizas comodidad, compartición, autoalojamiento, almacenamiento sin nube o administración empresarial.

Una advertencia: los gestores son software de seguridad de alto valor, así que también merecen escrutinio. En Zero Knowledge (About) Encryption, Scarlata, Torrisi, Backendal y Kenneth G. Paterson analizaron varios gestores cloud bajo un modelo de servidor malicioso y encontraron ataques contra detalles de diseño como integridad, vinculación de metadatos, compartición y recuperación. Los investigadores dicen explícitamente que no hay que dejar de usar gestores; la lección es mantenerlos actualizados, activar MFA o passkeys en la cuenta del gestor, usar una contraseña maestra fuerte y preferir proveedores que respondan con transparencia a auditorías criptográficas.

¿Cuándo debes cambiar una contraseña?

La rotación periódica está en gran parte obsoleta. Cambiar cada 30, 60 o 90 días suele empujar a patrones más débiles como Verano2026! y luego Otono2026!.

Cambia una contraseña cuando haya un motivo: fue reutilizada, apareció en una filtración, la compartiste, la escribiste en una página de phishing, pudo capturarla malware o el servicio informa de un incidente.

Las contraseñas no son resistentes al phishing

Una contraseña larga y aleatoria sigue siendo una contraseña. Si la escribes en un sitio de phishing convincente, el atacante puede capturarla. Por eso las cuentas importantes deben usar MFA y, cuando sea posible, passkeys o llaves de seguridad hardware.

Piensa en una contraseña fuerte como una capa. Debe ser única y difícil de adivinar, pero no debería ser la única protección para correo, banca, nube, paneles de administración o cuentas de desarrollo.

La regla práctica en 2026

No intentes superar a los atacantes con patrones «ingeniosos». Usa secretos más largos, únicos, sin estructura adivinable y guárdalos en un gestor de contraseñas.

La regla más simple hoy es esta: contraseñas aleatorias generadas para cuentas guardadas, frases de palabras aleatorias para los pocos secretos memorizados, y reemplazar todo lo reutilizado o filtrado.

Genera una contraseña más fuerte

Usa nuestro generador para crear una contraseña larga y aleatoria alineada con las recomendaciones de seguridad actuales.

Generar contraseña segura