Generador de contraseñas gratuito en línea

Lo que realmente hace fuerte a una contraseña

La fortaleza de una contraseña proviene de la entropía: el número de bits de aleatoriedad que un atacante debe adivinar. Se calcula como log₂(tamaño_del_juego ^ longitud): una contraseña de 12 caracteres tomada uniformemente de los 94 caracteres ASCII imprimibles tiene unos 79 bits de entropía; una de 16 caracteres alcanza unos 105. Las directrices de seguridad modernas consideran que cualquier valor superior a 80 bits resiste los ataques de fuerza bruta sin conexión en el futuro previsible, incluso con hardware especializado. NIST SP 800-63B (la guía federal estadounidense vigente sobre identidad digital, publicada en 2017 con revisiones hasta 2024) recomienda exactamente lo mismo: mínimo 8 caracteres, hasta 64 permitidos, todo el Unicode imprimible aceptado, espacios incluidos. Y, fundamentalmente, esa misma guía revierte décadas de malos consejos sobre contraseñas, pide a los administradores que dejen de exigir rotación periódica, que dejen de imponer reglas de composición («debe contener un símbolo»), y que empiecen a comprobar las nuevas contraseñas contra corpus de filtraciones (la API Pwned Passwords de Have I Been Pwned, creada por Troy Hunt en 2018, es la implementación estándar). El consejo práctico en 2026: larga, aleatoria, única por cuenta, almacenada en un gestor de contraseñas.

Frases de paso, la tradición Diceware

Una frase de paso es una contraseña construida con palabras aleatorias en lugar de caracteres aleatorios. La técnica fue formalizada por Diceware de Arnold G. Reinhold en 1995, una lista de 7.776 palabras inglesas cortas y comunes, cada una con una dirección de cinco dígitos obtenidos al lanzar dados (5⁵ = 7.776). Lance cinco dados, busque la palabra y repita tantas veces como quiera. Seis palabras Diceware dan unos 77 bits de entropía, equivalente a una contraseña ASCII aleatoria de 12 caracteres, pero mucho más fácil de teclear y recordar. La tira cómica XKCD #936 («correcthorsebatterystaple», septiembre de 2011) popularizó el concepto y cambió la cultura de la seguridad; los gestores de contraseñas y los proyectos de defaults seguros como Bitwarden, 1Password, KeePassXC y las listas actualizadas de la EFF admiten la generación de frases de paso. La ventaja no es la seguridad (una contraseña por caracteres y otra por palabras con la misma entropía son igual de resistentes a la fuerza bruta) sino la facilidad de escritura. Una frase de paso es el formato adecuado cuando realmente hay que teclear la contraseña (contraseña maestra del gestor, contraseña de cifrado de disco completo, todo lo que precede al autorrelleno del gestor).

Por qué importa la aleatoriedad, y la cuestión del CSPRNG

La fortaleza de una contraseña presupone que es uniformemente aleatoria. Los patrones que un atacante puede predecir, paseos por el teclado (qwerty), fechas, palabras del diccionario, sustituciones l33t: destruyen la entropía mucho más rápido de lo que sugiere el simple recuento de caracteres. Hashcat y John the Ripper, las herramientas estándar para romper contraseñas, prueban primero millones de patrones comunes; una contraseña de 8 caracteres que siga uno de esos patrones cae en segundos. Este generador utiliza la Web Crypto API del navegador, concretamente crypto.getRandomValues(): un generador de números aleatorios criptográficamente seguro (CSPRNG) que toma entropía del sistema operativo. A diferencia de Math.random() (rápido pero predecible, jamás debe usarse para seguridad), crypto.getRandomValues() es la misma primitiva que el navegador usa para generar las claves de sesión TLS. La aleatoriedad sirve para cualquier uso criptográfico, contraseñas incluidas.

El compañero imprescindible: usa un gestor de contraseñas

Generar contraseñas fuertes y únicas solo sirve si tienes dónde guardarlas. El panorama de gestores de contraseñas en 2026: Bitwarden (Kyle Spearrin, 2016, código abierto, plan gratuito con mejora de pago opcional) es la opción de código abierto dominante. 1Password (AgileBits, fundada en 2006) es la opción comercial pulida. KeePassXC (bifurcación comunitaria de KeePass, totalmente sin conexión, bóveda en archivo) es la elección de quienes desconfían de la sincronización en la nube. iCloud Keychain de Apple, Google Password Manager y el gestor de Microsoft Edge son las opciones por defecto sin fricción integradas en cada plataforma. Proton Pass (2023) es la opción reciente centrada en la privacidad, de los creadores de Proton/ProtonMail. Los gestores integrados en el navegador son los de menor fricción; los gestores dedicados ofrecen mejor sincronización entre plataformas y funciones adicionales. La recomendación de 2026: cualquier gestor de contraseñas reputado + una contraseña única generada por cuenta + una contraseña maestra única y fuerte (la única que realmente hay que memorizar) + una llave de seguridad de hardware (YubiKey o similar) para las cuentas de mayor valor.

¿Qué tan fuerte es tu contraseña?

Una contraseña de 12 caracteres tomada uniformemente de los 94 caracteres ASCII imprimibles tiene 94¹² ≈ 4,75 × 10²³ valores posibles, unos 79 bits de entropía. Forzar por fuerza bruta un espacio de 79 bits a un ritmo de un billón de intentos por segundo (alcanzable con un equipo GPU de gama alta) lleva unos 19.000 años. Cada carácter adicional multiplica el espacio de búsqueda por 94, duplicando el tiempo de ruptura aproximadamente cada 1,4 caracteres. Una contraseña de 16 caracteres tarda unos 1,5 billones de años en romperse al mismo ritmo. Conclusión: 12 caracteres bastan para la mayoría de cuentas; 16 o más conviene a las contraseñas maestras, claves de cifrado y cuentas de gran valor. El medidor de fortaleza de este generador estima la entropía a partir del juego de caracteres habilitado y la longitud que hayas elegido.

Preguntas frecuentes

¿Es seguro este generador de contraseñas?

Sí. Utilizamos la Web Crypto API (crypto.getRandomValues), que proporciona números aleatorios criptográficamente seguros. Ninguna contraseña se almacena, transmite ni registra. Todo se ejecuta en tu navegador.

¿Qué longitud de contraseña debo usar?

Recomendamos al menos 16 caracteres para cuentas importantes. Para máxima seguridad (contraseñas maestras, claves de cifrado), usa 20-32 caracteres. Cuanto más larga sea la contraseña, más difícil será descifrarla.

¿Debo incluir símbolos?

Sí, cuando sea posible. Los símbolos aumentan drásticamente el número de combinaciones posibles. Sin embargo, algunos sitios restringen qué caracteres puedes usar. Si un sitio rechaza los símbolos, desmarca esa opción y aumenta la longitud para compensar.

¿Por qué nunca debo reutilizar contraseñas?

Si un sitio es vulnerado, los atacantes prueban la misma combinación de correo/contraseña en otros sitios (relleno de credenciales). Usar contraseñas únicas para cada cuenta significa que una sola brecha no puede comprometer tus demás cuentas.

Herramientas relacionadas