Probador de Fortaleza de Contraseña

Acerca del Probador de Fortaleza de Contraseña

El Probador de Fortaleza de Contraseña es una herramienta de seguridad integral que analiza la fortaleza de contraseñas usando algoritmos estándar de la industria. Evalúa múltiples factores incluyendo longitud, variedad de caracteres, entropía y patrones comunes de contraseñas para proporcionar calificaciones de seguridad precisas.

Nuestra herramienta te ayuda a crear contraseñas inquebrantables identificando debilidades y proporcionando recomendaciones accionables. El generador de contraseñas integrado usa generación de números aleatorios criptográficamente seguros para crear contraseñas verdaderamente aleatorias e impredecibles.

¿Cómo se calcula la fortaleza de la contraseña?

La fortaleza de la contraseña se calcula usando múltiples factores:

• Longitud: Las contraseñas más largas son exponencialmente más fuertes (8+ caracteres mínimo, 12+ recomendado)
• Variedad de Caracteres: Usar mayúsculas, minúsculas, números y símbolos aumenta la complejidad
• Entropía: Medida matemática de aleatoriedad e impredecibilidad
• Patrones Comunes: Penalizaciones por palabras de diccionario, caracteres secuenciales (abc, 123) y patrones repetitivos (aaa, 111)
• Contraseñas Comunes: Verificación contra base de datos de contraseñas débiles frecuentemente usadas

La puntuación final (0-100) representa la seguridad general, con recomendaciones para mejoras.

¿Qué es la entropía de contraseña?

La entropía mide la aleatoriedad de la contraseña en bits. Mayor entropía significa más combinaciones posibles y mejor seguridad:

• 0-28 bits: Muy Débil (descifrable instantáneamente)
• 28-35 bits: Débil (descifrable en segundos/minutos)
• 36-59 bits: Aceptable (descifrable en horas/días)
• 60-127 bits: Buena (descifrable en años)
• 128+ bits: Fuerte (descifrable en siglos)

Entropía = longitud contraseña × log₂(tamaño conjunto caracteres)

Ejemplo: Contraseña de 12 caracteres con mayúsculas, minúsculas, números y símbolos tiene ~79 bits de entropía.

¿Qué es el tiempo de descifrado?

El tiempo de descifrado estima cuánto tardaría en adivinar tu contraseña usando ataques de fuerza bruta (probando todas las combinaciones posibles). El cálculo asume:

• Una tasa de intentos definida por el modelo de velocidad del atacante seleccionado
• Probar la mitad de todas las combinaciones posibles en promedio
• Sin medidas de seguridad adicionales como limitación de tasa

El tiempo de descifrado real varía según:
• Poder computacional del atacante
• Si el hash de contraseña tiene sal
• Implementación de limitación de tasa
• Uso de autenticación multifactor

Una buena contraseña debería tardar años o siglos en descifrarse.

¿Qué tan rápido puede una GPU descifrar mi contraseña?

Depende totalmente del modelo de atacante, por eso esta herramienta te deja elegir uno y recalcula el tiempo de descifrado en vivo:

• En línea, limitado (~100 intentos/s): un formulario de inicio de sesión con limitación de tasa y bloqueos
• En línea, sin límite (~10K/s): una API o endpoint sin restricciones
• Hash lento sin conexión, bcrypt/scrypt/Argon2 (~10K/s): una base de datos robada con un KDF deliberadamente lento
• Hash rápido sin conexión, SHA-256 una GPU (~10 mil millones/s): un hash MD5/SHA sin sal filtrado en una GPU de consumo
• Equipo de GPU sin conexión (~1 billón/s): un clúster de descifrado con múltiples GPU

Una contraseña que resiste "siglos" a 100 intentos/s puede caer en horas frente a un equipo de GPU sin conexión, así que evalúa siempre según el modelo de amenaza real.

¿Cumple con NIST 800-63B, PCI-DSS u OWASP?

Usa esta herramienta para estimar entropía y tiempo de descifrado y luego asígnalo al estándar que debas cumplir:

• NIST SP 800-63B: requiere al menos 8 caracteres (se recomiendan 15+), permite todos los caracteres imprimibles y espacios, y desaconseja reglas de composición forzadas y restablecimientos periódicos. Enfatiza filtrar contra listas de contraseñas filtradas: la comprobación de contraseñas comunes aquí refleja esa intención.
• PCI-DSS v4.0: mínimo 12 caracteres con letras y números para sistemas en alcance (o complejidad/entropía equivalente).
• OWASP ASVS: recomienda 12+ caracteres, sin máximo arbitrario por debajo de 64 y bloquear contraseñas filtradas conocidas.

Como regla general, apunta a 60+ bits de entropía para cuentas ordinarias y 80+ bits para secretos de alto valor o atacables sin conexión. Esta herramienta no almacena ni transmite nada, así que es segura para redactar una política, pero es un estimador, no un certificador formal de cumplimiento.

¿Qué hace fuerte a una contraseña?

Una contraseña fuerte tiene estas características:

• Longitud: Al menos 12 caracteres (más largo es mejor)
• Variedad: Mezcla de mayúsculas, minúsculas, números y símbolos
• Aleatoriedad: Sin patrones predecibles o palabras de diccionario
• Unicidad: Contraseña diferente para cada cuenta
• No Reutilizada: Nunca reutilizada de otros servicios
• No Personal: Evitar nombres, cumpleaños o información personal

Ejemplos:
❌ Débil: password123, qwerty, abc123
❌ Mejor pero aún débil: Password123!
✅ Fuerte: K9#mL2pQ@vN8xR4t

¿Por qué evitar contraseñas comunes?

Las contraseñas comunes son las primeras que prueban los atacantes porque:

• Ataques de Diccionario: Los hackers usan listas de millones de contraseñas comunes
• Relleno de Credenciales: Contraseñas filtradas se reutilizan en sitios
• Ingeniería Social: Información personal hace las contraseñas predecibles

Las contraseñas más comunes incluyen:
• password, 123456, qwerty, abc123
• Nombres, equipos deportivos, cumpleaños
• Patrones simples como "password1" o "P@ssw0rd"

Incluso con complejidad (Password123!), palabras base comunes permanecen vulnerables.

¿Qué son patrones secuenciales y repetitivos?

Los patrones secuenciales siguen órdenes predecibles:
• Alfabéticos: abc, xyz, qwerty
• Numéricos: 123, 789, 2468
• Teclado: qwerty, asdfgh

Los patrones repetitivos repiten caracteres:
• Mismo carácter: aaa, 111, ***
• Segmentos repetidos: abcabc, 123123

Ambos tipos reducen significativamente la fortaleza de la contraseña porque son más fáciles de adivinar y aparecen en diccionarios de contraseñas comunes.

¿Cómo funciona el generador de contraseñas?

Nuestro generador de contraseñas usa Web Crypto API (window.crypto.getRandomValues()) para generación de números aleatorios criptográficamente seguros. Esto significa:

• Aleatoriedad Verdadera: Usa fuentes de entropía del sistema (ruido de hardware, movimientos del ratón, etc.)
• Criptográficamente Seguro: Adecuado para aplicaciones críticas de seguridad
• Impredecible: No puede predecirse ni reproducirse
• No Pseudo-Aleatorio: A diferencia de Math.random(), que es predecible

Puedes personalizar:
• Longitud (8-64 caracteres)
• Tipos de caracteres (mayúsculas, minúsculas, números, símbolos)

Las contraseñas generadas nunca se envían a ningún servidor - todo ocurre localmente en tu navegador.

¿Es segura mi contraseña cuando la pruebo?

¡Sí! Tu contraseña es completamente segura porque:

• Procesamiento Local: Todo el análisis ocurre en tu navegador usando JavaScript
• Sin Comunicación con Servidor: Tu contraseña nunca se envía a ningún servidor
• Sin Almacenamiento: Sin cookies, registros o almacenamiento en base de datos
• Sin Seguimiento: No rastreamos ni registramos lo que escribes
• Código Abierto: El código es transparente y auditable

Sin embargo, consejo de seguridad general:
• No uses contraseñas reales en sitios web no confiables
• Usa esta herramienta para probar contraseñas potenciales antes de usarlas
• Considera usar un administrador de contraseñas para almacenar contraseñas de forma segura

¿Debería usar un administrador de contraseñas?

¡Sí! Los administradores de contraseñas son altamente recomendados porque:

• Generan contraseñas fuertes y aleatorias para cada cuenta
• Almacenan contraseñas de forma segura con cifrado
• Autocompletar credenciales para prevenir phishing
• Te alertan sobre contraseñas débiles o reutilizadas
• Funcionan en todos los dispositivos

Administradores de contraseñas populares:
• 1Password, LastPass, Bitwarden (multiplataforma)
• iCloud Keychain (dispositivos Apple)
• Google Password Manager (Chrome/Android)

Con un administrador de contraseñas, solo necesitas recordar una contraseña maestra fuerte.

¿Qué más puedo hacer para estar seguro?

Más allá de contraseñas fuertes, implementa estas medidas de seguridad:

• Autenticación de Dos Factores (2FA): Agrega segundo paso de verificación (SMS, app, llave hardware)
• Contraseñas Únicas: Nunca reutilices contraseñas entre sitios
• Actualizaciones Regulares: Cambia contraseñas periódicamente, especialmente después de brechas
• Monitoreo de Brechas: Verifica si tus cuentas aparecen en filtraciones de datos (haveibeenpwned.com)
• Evita Phishing: Verifica URLs antes de ingresar credenciales
• Actualiza Software: Mantén SO, navegadores y apps actualizados
• Usa HTTPS: Solo ingresa contraseñas en sitios web seguros
• Cuidado con WiFi Público: Usa VPN al acceder cuentas en redes públicas