Una contraseña segura no depende solamente de agregar una mayúscula, un número y un símbolo. La longitud, la imprevisibilidad, la generación aleatoria y el uso de una contraseña diferente para cada cuenta son factores más importantes.
También es importante entender los límites de una contraseña. Incluso una clave larga puede ser robada mediante phishing, malware, filtraciones o engaños. Por eso debe formar parte de una estrategia que incluya un gestor de contraseñas y autenticación multifactor cuando esté disponible.
Por qué la longitud de una contraseña importa
Cada carácter adicional aumenta la cantidad de combinaciones posibles. En una contraseña generada aleatoriamente, una longitud mayor hace que un ataque de prueba sistemática necesite explorar un espacio mucho más grande.
Esto no significa que cualquier texto largo sea automáticamente seguro. Expresiones conocidas, letras consecutivas, patrones de teclado, fechas, nombres y frases populares pueden ser probados antes que combinaciones realmente aleatorias.
¿Qué longitud conviene utilizar?
No existe una longitud única que garantice seguridad para todas las cuentas. El riesgo depende del servicio, de cómo se almacena la clave, de los límites de intentos y de si existe autenticación multifactor.
La guía actual de NIST para sistemas que verifican contraseñas establece un mínimo de 15 caracteres cuando la contraseña funciona como único factor de autenticación. Cuando forma parte de un proceso multifactor, permite un mínimo menor, aunque nunca inferior a ocho caracteres.
Para contraseñas aleatorias generadas por una herramienta, una regla práctica razonable es:
Para cuentas importantes, conviene utilizar el máximo razonable que permita el servicio y guardar la contraseña en un gestor confiable.
Qué significa la entropía de una contraseña
La entropía expresa cuánta incertidumbre existe sobre un valor. En una contraseña completamente aleatoria, puede estimarse a partir de la cantidad de caracteres disponibles y de la longitud.
Por ejemplo, si cada posición se elige de manera uniforme entre letras mayúsculas, minúsculas y números, existen 62 posibilidades por carácter. Cada carácter adicional multiplica por 62 el número total de combinaciones.
| Longitud | Conjunto | Entropía teórica aproximada | Interpretación |
|---|---|---|---|
| 8 caracteres | 62 caracteres posibles | 47,6 bits | Espacio limitado para ataques sin restricción |
| 12 caracteres | 62 caracteres posibles | 71,5 bits | Mejora considerable respecto de ocho |
| 16 caracteres | 62 caracteres posibles | 95,3 bits | Amplio espacio teórico para una clave aleatoria |
| 20 caracteres | 62 caracteres posibles | 119,1 bits | Margen teórico todavía mayor |
¿Agregar símbolos es mejor que aumentar la longitud?
Los símbolos aumentan el conjunto de caracteres disponibles y pueden mejorar una contraseña aleatoria. Sin embargo, agregar un único signo al final de una palabra predecible aporta mucho menos de lo que parece.
Patrones como una palabra conocida, la primera letra en mayúscula, un número y un signo final son comunes. Los atacantes pueden probar esas transformaciones antes de comenzar una búsqueda completamente aleatoria.
En general, aumentar la longitud de una contraseña generada al azar aporta un crecimiento más claro del espacio de búsqueda que realizar pequeñas modificaciones predecibles.
Frases de contraseña
Una frase de contraseña combina varias palabras para crear un secreto más largo y potencialmente más fácil de recordar.
Para que funcione bien, las palabras deben elegirse de manera poco predecible. Una cita famosa, el título de una canción o una expresión común puede ser larga y seguir siendo fácil de adivinar.
Una frase de contraseña útil debería
- Contener varias palabras no relacionadas.
- No ser una frase conocida.
- No incluir datos personales.
- No reutilizarse en otras cuentas.
- Ser suficientemente larga.
Cuando la contraseña será almacenada en un gestor, normalmente resulta más práctico generar una cadena aleatoria. Las frases pueden ser útiles para la contraseña maestra del gestor, porque esa sí debe recordarse.
Por qué no se debe reutilizar una contraseña
Una contraseña puede ser técnicamente fuerte y aun así causar problemas si se utiliza en varias cuentas. Cuando un servicio sufre una filtración, esas credenciales pueden probarse automáticamente en otros sitios.
Por eso cada cuenta debería utilizar una contraseña diferente. Así, la exposición de un servicio no entrega automáticamente acceso a todos los demás.
Por qué conviene utilizar un gestor de contraseñas
Un gestor permite crear y guardar contraseñas largas y únicas sin tener que recordarlas individualmente.
Esto facilita evitar la reutilización y reduce la tentación de elegir claves cortas o basadas en datos personales.
Buenas prácticas con un gestor
- Elegí una contraseña maestra larga y única.
- Activá autenticación multifactor.
- Mantené actualizada la aplicación.
- Protegé los dispositivos donde está instalado.
- Conservá de manera segura los códigos de recuperación.
Una contraseña fuerte no reemplaza MFA
La autenticación multifactor solicita una prueba adicional además de la contraseña. Puede ser una aplicación autenticadora, una llave de seguridad, un dispositivo o un factor biométrico.
Esto agrega una barrera cuando una contraseña fue robada o revelada. No elimina todos los riesgos, pero reduce la dependencia de un único secreto.
Cuando un servicio ofrece MFA, conviene activarlo especialmente en correo electrónico, servicios financieros, cuentas laborales, gestores de contraseñas y redes sociales.
¿Hay que cambiar las contraseñas periódicamente?
Obligar a realizar cambios frecuentes puede llevar a modificaciones predecibles, como incrementar un número al final o reutilizar una variante de la contraseña anterior.
La recomendación moderna es cambiarla cuando exista una razón concreta:
- La contraseña apareció en una filtración.
- Fue compartida con otra persona.
- Se utilizó en más de una cuenta.
- El dispositivo pudo estar comprometido.
- Existe actividad sospechosa.
Qué puede hacer un generador de contraseñas
Un generador puede crear combinaciones largas e impredecibles sin depender de hábitos humanos. También permite controlar longitud, mayúsculas, minúsculas, números y símbolos.
Sin embargo, un generador no puede proteger una contraseña después de copiarla. La seguridad posterior depende de dónde se guarda, si se reutiliza, cómo se protege el dispositivo y si la cuenta utiliza MFA.
Qué no garantiza un generador
- Que el sitio donde se usa almacene correctamente la contraseña.
- Que el dispositivo esté libre de malware.
- Que la contraseña no sea capturada mediante phishing.
- Que el usuario no la reutilice o comparta.
- Que una cuenta sin MFA quede protegida ante todos los ataques.
Generá contraseñas largas y aleatorias
Usá el generador de SWS Universe para elegir longitud, cantidad, mayúsculas, minúsculas, números, símbolos y exclusión de caracteres ambiguos. La generación se realiza localmente en el navegador.
Fuentes y referencias
Esta guía utiliza como referencia recomendaciones públicas de seguridad y autenticación. Las políticas concretas pueden variar entre servicios.