Simulador de crack de contraseñas

Comprueba cuánto tardan en probarse hashes débiles en tu navegador. Todo se ejecuta en local.

Algoritmo

Por qué importa el hashing

Las contraseñas normalmente no se guardan en texto plano: se guardan como hash, y el inicio de sesión compara hash con hash. Un hashing rápido y anticuado junto con contraseñas predecibles es mucho más fácil de romper.

Los hashes rápidos como MD5 y SHA-1 permiten miles de millones de intentos por segundo en una sola máquina, así que las contraseñas cortas o comunes se rompen pronto. Funciones costosas en memoria como bcrypt y Argon2 están pensadas para ser lentas y exigentes en RAM, lo que hace la fuerza bruta mucho más difícil.


¿Qué es el cracking de contraseñas?

Cracking significa probar intentos y comparar sus hashes con un hash objetivo. Si coinciden, ese intento era la contraseña.

  1. 1Empieza con un hash objetivo (el valor que quieres descifrar).
  2. 2Tomar un intento (por ejemplo, password123).
  3. 3Aplicar hash a ese intento con el mismo algoritmo que generó el hash objetivo.
  4. 4Comparar el resultado con el hash objetivo.
  5. 5Si coincide, se encontró la contraseña.

Cómo prueban los atacantes

Rápido

Ataques de diccionario — Probar primero contraseñas comunes.

Frecuente

Ataques por reglas — Modificar palabras comunes con patrones realistas.

Costoso

Fuerza bruta — Probar todas las combinaciones de un rango definido.


Por qué escala tan rápido

Cambios pequeños en longitud o caracteres multiplican el espacio de búsqueda.

Cada carácter nuevo multiplica el espacio de búsqueda por el tamaño del juego de caracteres. Con un juego realista de 89 símbolos, cada posición extra implica ×89, no +89.

4 dígitos10,000
8 car. a-z A-Z 0-9 + símbolos6,016,120,510,000,000

Pasar de unas 10 000 combinaciones a ~6 mil billones explica por qué las contraseñas aleatorias de 8+ caracteres son mucho más difíciles de forzar bruscamente que un PIN corto.

Crecimiento del espacio de búsqueda por longitud (juego realista: a-z, A-Z, 0-9, símbolos habituales (89 caracteres))

L=189
L=27,921
L=3704,969
L=46.27e+7
L=55.58e+9
L=64.97e+11
L=74.42e+13
L=83.94e+15
L=93.50e+17
L=103.12e+19
L=112.78e+21
L=122.47e+23

Large values are shortened on mobile for readability.

Las estimaciones de tiempo siguientes suponen un ataque sin conexión ideal donde el atacante prueba sin parar. En la realidad, el tiempo puede variar según hardware, implementación del algoritmo y si hay suerte al principio. También asumen contraseñas totalmente aleatorias, lo que rara vez ocurre en filtraciones reales. Los números sirven para ver la escala, no como predicción exacta.

Estimación aproximada del tiempo de cracking en esta sección (algoritmo seleccionado: SHA256)

L189

CPU móvil (aprox.)

<1 s

Clúster GPU potente (aprox.)

<1 s

L27,921

CPU móvil (aprox.)

<1 s

Clúster GPU potente (aprox.)

<1 s

L3704,969

CPU móvil (aprox.)

8 s

Clúster GPU potente (aprox.)

<1 s

L46.27e+7

CPU móvil (aprox.)

12 min

Clúster GPU potente (aprox.)

<1 s

L55.58e+9

CPU móvil (aprox.)

17 h

Clúster GPU potente (aprox.)

<1 s

L64.97e+11

CPU móvil (aprox.)

64 d

Clúster GPU potente (aprox.)

8 s

L74.42e+13

CPU móvil (aprox.)

15.6 y

Clúster GPU potente (aprox.)

12 min

L83.94e+15

CPU móvil (aprox.)

1387 y

Clúster GPU potente (aprox.)

18 h

PC hogar
L93.50e+17

CPU móvil (aprox.)

123441 y

Clúster GPU potente (aprox.)

68 d

L103.12e+19

CPU móvil (aprox.)

10986287 y

Clúster GPU potente (aprox.)

16.5 y

Gran cluster
L112.78e+21

CPU móvil (aprox.)

977779565 y

Clúster GPU potente (aprox.)

1467 y

L122.47e+23

CPU móvil (aprox.)

87022381323 y

Clúster GPU potente (aprox.)

130534 y

Marcas: L=8 ≈ tope de PC hogar; L=10 ≈ costoso incluso para clúster GPU.


Ciclo del ataque: por qué importan los hash filtrados

Los atacantes normalmente no adivinan contraseñas en una página de login en vivo. Atacan bases filtradas y rompen hash sin conexión.

La filtración: Se exfiltra la tabla de usuarios. Las contraseñas suelen estar como hash (no en texto plano), así que los atacantes extraen esos hash del volcado. Aquí tienes el enlace a nuestro test de brechas: Lanzar test de filtraciones

La ventaja sin conexión: Una vez robados los hash, el sitio ya no hace falta. Pueden probar candidatos en su hardware tan rápido como permita, sin bloqueos por intentos fallidos como en la web.

Defensa con sal: Una sal única por contraseña obliga a atacar cada cuenta por separado. Eso evita un único acierto con una contraseña común para muchos usuarios.

Por qué falla el cracking: Las contraseñas resisten cuando son largas, menos predecibles y fuera del juego de caracteres o reglas que supone el atacante, sobre todo con funciones de hash lentas. Ver también: Contraseñas fuertes y NIST SP 800-63B-4 (2025) También puede probar nuestra página Hash de contraseña — el hash se calcula por completo en tu navegador (MD5 a Argon2id).


Cómo usar este simulador

Este simulador muestra el proceso real: generar, hashear y comparar.

¿Sin coincidencia?

  • La contraseña es más larga que tu límite.
  • Usa caracteres fuera del conjunto elegido.
  • El hash o el algoritmo no coincide con el original.

¿Necesitas generar un hash primero?

Abrir herramienta de hash de contraseña

Kit del atacante (edición 2026)

Hoy adivinar es un proceso automatizado y muy rápido: clústeres GPU y modelos que imitan patrones humanos.

1. Hashcat: la bestia GPU

Hashcat Pensado para velocidad bruta con cargas masivas en paralelo en GPU. Los algoritmos antiguos pueden probarse a ritmos extremos en hardware moderno.

También se usan ataques por máscara —p. ej., mayúscula + 6 minúsculas + 2 dígitos— para apuntar a políticas de contraseña conocidas en lugar de fuerza bruta ciega.

2. John the Ripper: el emulador humano

John the Ripper Destaca en cracking por reglas y convierte palabras base en miles de variantes realistas que reflejan cómo la gente modifica contraseñas.

Los modos híbridos mezclan diccionario y fuerza bruta; por eso muchas contraseñas «que parecen complejas» siguen cayendo rápido.

3. Cracking guiado por IA (estilo PassGAN)

Los enfoques más recientes usan redes neuronales entrenadas con corpus de contraseñas filtradas. En lugar de reglas fijas de sustitución, los modelos aprenden hábitos y generan candidatos muy probables. El enfoque PassGAN original se describe en Hitaj et al., arXiv:1709.00440.

Comprobación de realidad

El cracking en la nube hace baratos y automáticos los ataques a gran escala. Las contraseñas cortas se pueden probar tan deprisa que «no ser un objetivo valioso» ya no protege de verdad.

Estas herramientas son estándar en pruebas de seguridad profesionales y también usadas por atacantes.