La respuesta honesta a la comparación entre frase de contraseña y contraseña es que ningún formato es inherentemente más seguro. Lo que hace fuerte un secreto es la entropía, la cantidad de aleatoriedad real que contiene, no si se ve como correct horse battery staple o T9$kq!mZ2vLp. Una frase de contraseña aleatoria de cuatro a seis palabras generada con Diceware y una cadena aleatoria de 15 caracteres pueden ser igual de difíciles de descifrar. El problema está en la palabra "aleatorio", y ahí es donde la mayoría se equivoca.
Esta guía te da la parte que los artículos de opinión omiten: los cálculos reales de entropía, la prueba de que aproximadamente 6 palabras de Diceware equivalen a una contraseña aleatoria de 15 caracteres, por qué una frase de contraseña basada en tu cita favorita es débil, y dónde gana cada formato en la vida real.
Frase de contraseña vs Contraseña: La respuesta breve#
Una contraseña suele ser una cadena corta de caracteres mixtos (Gx7!pQ). Una frase de contraseña es una secuencia más larga de palabras (ancla terciopelo jungla ozono). Ambas son solo secretos, y ambas se miden de la misma manera: en bits de entropía.
Aquí está la regla que resuelve la mayoría de los debates:
- Una contraseña verdaderamente aleatoria de 12 a 16 caracteres es fuerte.
- Una frase de contraseña verdaderamente aleatoria de 5 a 7 palabras de una buena lista de palabras es fuerte y mucho más fácil de recordar.
- Una "frase de contraseña" inventada a partir de una letra de canción o una oración suele ser débil, sin importar lo larga que sea.
La longitud ayuda, pero solo cuando los caracteres o palabras se eligen al azar. La longitud aplicada a algo inventado por un humano (una cita, un nombre más un año, un patrón de teclado) no te aporta casi nada contra un atacante real.
La razón se reduce a la entropía, así que cuantifiquémosla en lugar de divagar.
Lo que realmente mide la entropía#
La entropía, medida en bits, es la cantidad de posibilidades igualmente probables que un atacante debe buscar. Cada bit duplica el trabajo de adivinación. Un secreto con 40 bits de entropía tiene alrededor de un billón de posibilidades; uno con 80 bits tiene aproximadamente 1.2 seguido de 24 ceros.
Para un secreto generado aleatoriamente, la fórmula es simple:
entropía (bits) = log2(tamaño del conjunto) x longitud
El "tamaño del conjunto" es cuántas opciones existen en cada posición. Para una contraseña es el conjunto de caracteres. Para una frase de contraseña es el tamaño de la lista de palabras.
Entropía por carácter (contraseña aleatoria)#
| Conjunto de caracteres | Tamaño del conjunto | Bits por carácter |
|---|---|---|
| Solo minúsculas (a-z) | 26 | ~4.7 |
| Minúsculas + mayúsculas (a-z, A-Z) | 52 | ~5.7 |
| Letras + dígitos | 62 | ~5.95 |
| Teclado completo (~95 imprimibles) | 95 | ~6.55 |
Así que una contraseña aleatoria de 15 caracteres usando el teclado completo tiene aproximadamente 15 x 6.55 = unos 98 bits de entropía. Elimina los símbolos y usa solo letras y dígitos, y los mismos 15 caracteres dan unos 89 bits.
Entropía por palabra (frase Diceware)#
La lista larga de Diceware de la Electronic Frontier Foundation tiene 7,776 palabras (es decir, 6^5, una palabra por cada cinco tiradas de dado). Cada palabra elegida al azar de esa lista añade:
log2(7,776) = ~12.9 bits por palabra
Ese único número es la clave de toda la comparación. Ahora podemos probar la afirmación del titular.
La Prueba de Entropía Equivalente: 6 Palabras Diceware ≈ 15 Caracteres Aleatorios#
Aquí están los cálculos que todos debaten pero casi nadie muestra. Alinea los dos formatos por entropía y se encuentran en el medio.
| Formato | Entropía por unidad | Unidades | Entropía total |
|---|---|---|---|
| Contraseña de letras + dígitos aleatorios | ~5.95 bits/car | 15 caracteres | ~89 bits |
| Frase de contraseña Diceware (lista EFF) | ~12.9 bits/palabra | 7 palabras | ~90 bits |
| Contraseña aleatoria de teclado completo | ~6.55 bits/car | 14 caracteres | ~92 bits |
| Frase de contraseña Diceware | ~12.9 bits/palabra | 6 palabras | ~77 bits |
Una frase Diceware de 6 palabras alcanza alrededor de 77 bits. Una de 7 palabras llega a unos 90 bits, lo que coincide casi exactamente con una contraseña alfanumérica aleatoria de 15 caracteres. Por lo tanto, la abreviatura popular "6 palabras Diceware equivalen a 15 caracteres aleatorios" es aproximada: 6 palabras son un poco más ligeras, y 7 palabras igualan a una cadena aleatoria fuerte.
La conclusión práctica:
- 4 palabras (~52 bits): adecuadas para inicios de sesión de bajo riesgo, débiles para cualquier cosa sensible.
- 5 palabras (~64 bits): un mínimo sólido para el uso diario.
- 6 palabras (~77 bits): fuertes, el punto óptimo para cuentas importantes.
- 7 palabras (~90 bits): equivalen a una contraseña aleatoria de 15 caracteres, úsalas para la clave maestra de tu gestor de contraseñas.
Tú eliges el formato que realmente recordarás, porque con igual entropía son igualmente difíciles de descifrar. Ese es el punto principal.
Tiempo de descifrado: lo que esos bits significan en el mundo real#
Los bits son abstractos, así que tradúzcalos en esfuerzo del atacante. Suponga un ataque fuera de línea donde un ladrón ha robado una base de datos de contraseñas con hash y está adivinando a una velocidad de hardware rápida. Las configuraciones modernas de GPU pueden intentar decenas de miles de millones de conjeturas por segundo contra un hash débil, así que trate estas cifras como el peor caso para un hash rápido como un solo SHA-256.
| Entropía | Posibilidades | Tiempo de descifrado fuera de línea aprox. (10 mil millones/seg) |
|---|---|---|
| 40 bits | ~1.1 billón | menos de 2 minutos |
| 52 bits (4 palabras) | ~4.5 cuatrillones | ~5 días |
| 64 bits (5 palabras) | ~1.8 x 10^19 | ~58 años |
| 77 bits (6 palabras) | ~1.5 x 10^23 | ~470,000 años |
| 90 bits (7 palabras / 15 caracteres) | ~1.2 x 10^27 | miles de millones de años |
Estas cifras asumen que el atacante conoce su formato exacto y lista de palabras, y está atacando un hash rápido. Un hash de contraseña adecuadamente lento (bcrypt, Argon2id) hace que las conjeturas sean miles de veces más lentas, por lo que la forma en que un sitio almacena su contraseña importa tanto como cómo la elige.
La conclusión principal: una vez que supera aproximadamente los 70 bits, está más allá del punto donde la fuerza bruta es realista para cualquiera, incluido un estado-nación, contra una sola cuenta. Más longitud más allá de eso lo protege contra hardware futuro y mal hashing, no contra un ataque factible hoy. Para ver dónde se encuentra una de sus propias contraseñas, pruébela con un verificador de fortaleza de contraseñas antes de confiar en ella.
Por qué "aleatorio" es la palabra que rompe la mayoría de las frases de contraseña#
Esta es la parte que los artículos de opinión ignoran, y es la sección más importante. Las matemáticas de entropía anteriores solo se cumplen si cada palabra (o carácter) se elige aleatoriamente mediante una máquina o dados. En el momento en que un humano elige las palabras, las matemáticas se derrumban.
Las frases de contraseña autoelegidas son débiles#
Si construyes una frase de contraseña a partir de un versículo bíblico, una cita de película, una letra de canción o tu propia frase ingeniosa, no has creado 77 bits de entropía. Has elegido de un pequeño conjunto de frases famosas y adivinables. Los atacantes lo saben. Introducen bases de datos de citas, letras, pasajes de libros y plantillas de frases comunes directamente en sus herramientas de descifrado.
Considera estas dos "frases de contraseña":
MayTheForceBeWithYou1(larga, con mayúsculas y minúsculas, tiene un dígito). Descifrada en segundos, porque es una cita famosa en todas las listas de palabras.tractor mellow button drift(cuatro palabras aburridas y aleatorias de Diceware, sin mayúsculas, sin dígitos). Mucho más fuerte, porque nadie puede predecir la combinación.
La primera parece compleja y es trivialmente débil. La segunda parece simple y es genuinamente fuerte. La apariencia casi no tiene nada que ver con la seguridad.
Las cuatro reglas para una frase de contraseña real#
- Usa un generador, no tu cerebro. Dados o una herramienta criptográficamente segura, nunca una frase que hayas compuesto.
- Usa una lista de palabras buena y conocida. La lista EFF Diceware es el estándar, con 7,776 palabras y sin pares confusos.
- Mantén las palabras sin relación. La salida aleatoria te da
velvet anchor jungle ozone, no una oración. Resiste la tentación de "arreglarla" para que sea memorable, eso reintroduce previsibilidad. - Elige una longitud acorde a lo que está en juego. Mínimo cinco palabras para cuentas reales, seis o siete para tus secretos más sensibles.
Un generador que haga Diceware correctamente hace todo esto por ti. Nuestro generador de contraseñas gratuito produce tanto cadenas de caracteres aleatorios como frases de contraseña con palabras aleatorias, y elige cada palabra con una fuente aleatoria segura en lugar de permitirte modificarla hacia algo adivinable.
Frase de contraseña vs Contraseña: Dónde gana cada una#
Con la misma entropía, ambas son igual de seguras, así que la decisión real depende de cómo usarás y recordarás el secreto.
| Caso de uso | Mejor opción | Por qué |
|---|---|---|
| Algo que debes escribir seguido de memoria | Frase de contraseña | Las palabras son mucho más fáciles de recordar y escribir que símbolos aleatorios |
| Un secreto guardado en un gestor de contraseñas | Contraseña aleatoria | Nunca la escribes, así que la memorabilidad es irrelevante; maximiza la densidad |
| La contraseña maestra de tu gestor de contraseñas | Frase larga (6-7 palabras) | Debes memorizarla y debe ser muy fuerte |
| Un PIN o inicio de sesión que dices en voz alta | Frase de contraseña | Más fácil de dictar sin errores |
| Un campo con límite estricto de caracteres | Contraseña aleatoria | Aporta más entropía en menos caracteres |
| Un sistema que prohíbe espacios o entradas largas | Contraseña aleatoria | Algunos formularios antiguos rechazan la longitud o los espacios de las frases |
Una estrategia limpia para la mayoría:
- Usa un gestor de contraseñas como bóveda.
- Protégelo con una frase de 6 o 7 palabras fuerte que memorices.
- Deja que el gestor genere contraseñas aleatorias largas para cada sitio individual, ya que nunca las escribes.
Así obtienes un secreto fuerte y memorable, y detrás de él, infinitos secretos de máxima seguridad. Si quieres comparar los formatos tú mismo, genera una frase de contraseña y una contraseña de 16 caracteres con el generador de contraseñas, luego pégalas en el verificador de fortaleza de contraseñas y observa cómo coinciden las estimaciones de entropía.
Mitos comunes, corregidos rápidamente#
Mito: "Agregar símbolos siempre hace que una contraseña sea más segura." Solo si el símbolo es aleatorio. Reemplazar a por @ en una palabra del diccionario (p@ssw0rd) es lo primero que prueba cualquier herramienta de cracking.
Mito: "Las frases de contraseña son inseguras porque usan palabras reales." Falso cuando las palabras son aleatorias. Un ataque de diccionario adivina palabras individuales y combinaciones comunes, no cadenas aleatorias de cuatro a siete palabras de 7,776 opciones.
Mito: "Lo más largo siempre vence a lo más corto." Solo con igual aleatoriedad. Una contraseña aleatoria de 12 caracteres vence a una letra de canción de 40 caracteres siempre.
Para un análisis más profundo de cómo interactúan la longitud y la entropía, consulta nuestra guía sobre cuánto debe medir una contraseña en 2026.
El veredicto final: frase de contraseña vs contraseña#
En el debate entre frase de contraseña y contraseña, el formato es un empate y la aleatoriedad lo es todo. Una frase de contraseña aleatoria de 7 palabras con el método Diceware tiene aproximadamente los mismos 90 bits de entropía que una contraseña aleatoria de 15 caracteres, y ambas son prácticamente indescifrables hoy en día. Elige una frase de contraseña cuando tengas que recordar y escribir el secreto, y una contraseña larga y aleatoria cuando un gestor la almacene por ti.
El único error que debes evitar es inventar la frase de contraseña tú mismo. En cuanto un humano elige las palabras, la matemática de la entropía deja de protegerte. Deja que una herramienta tire los dados, elige una longitud acorde a los riesgos, y obtendrás un secreto que es tanto fuerte como fácil de recordar.
Preguntas Frecuentes#
¿Una frase de contraseña es más segura que una contraseña? No inherentemente. Con la misma entropía, una frase de contraseña y una contraseña son igualmente seguras. Una frase de contraseña generada aleatoriamente suele ser más fuerte en la práctica porque las personas eligen frases más largas y las encuentran más fáciles de recordar, pero una contraseña aleatoria con la misma entropía es igual de difícil de descifrar. El factor decisivo es la verdadera aleatoriedad, no el formato.
¿Cuántas palabras debe tener una frase de contraseña? Usa al menos cinco palabras elegidas al azar de una buena lista como EFF Diceware para cualquier cuenta real (alrededor de 64 bits de entropía). Usa seis o siete palabras (aproximadamente 77 a 90 bits) para cuentas sensibles y para la clave maestra de tu gestor de contraseñas. Cuatro palabras solo es aceptable para inicios de sesión de bajo riesgo.
¿Es "correct horse battery staple" una contraseña segura para usar? No, ya no. Es el ejemplo de frase de contraseña más famoso en internet, por lo que está en las listas de palabras de todos los atacantes y se descifraría al instante. La tira cómica de xkcd que la popularizó enseñaba el método, no daba una contraseña. Genera tus propias palabras al azar y nunca reutilices un ejemplo publicado.
¿Por qué es débil una frase de contraseña de mi cita favorita? Porque no creaste aleatoriedad real. Las citas, letras de canciones y frases famosas están en los diccionarios de descifrado, por lo que un atacante las adivina mucho antes que combinaciones de palabras aleatorias. La matemática de entropía que hace fuertes las frases de contraseña solo se aplica cuando cada palabra se elige con dados o un generador seguro, no con tu memoria.
¿Puede una frase de contraseña reemplazar la autenticación de dos factores? No. Una frase de contraseña fuerte protege contra adivinanzas y fuerza bruta, pero no hace nada si el secreto es robado mediante phishing, filtrado en una brecha o malware. La autenticación de dos factores defiende contra esas amenazas separadas. Usa una frase de contraseña o contraseña única y fuerte junto con 2FA, ya que cubren diferentes vectores de ataque.
¿Cuál es la forma más segura de generar una frase de contraseña? Usa dados físicos con la lista de palabras EFF Diceware, o una herramienta que use una fuente criptográficamente segura. Evita cualquier cosa que te permita elegir o editar las palabras manualmente, ya que reintroduce la previsibilidad humana. Un generador adecuado selecciona cada palabra de forma independiente y aleatoria, que es exactamente lo que asume el cálculo de entropía.


