En 2026 una contraseña debe tener al menos 15 caracteres, y más para cualquier cosa sensible. La guía moderna del NIST considera la longitud como el factor más importante, por encima de símbolos forzados y mayúsculas/minúsculas. Apunta a 15 a 20 caracteres o una frase de cuatro a cinco palabras para obtener la entropía que derrota los ataques de fuerza bruta.
Durante años las reglas fueron "usa 8 caracteres con una mayúscula, un número y un símbolo". Ese consejo está desactualizado y, en algunos casos, es contraproducente. El consenso actual de los investigadores de seguridad y el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) es más simple y más fuerte: hazla larga. Esta guía explica por qué la longitud supera a la complejidad, los objetivos de entropía que vale la pena alcanzar y aproximadamente cuánto tiempo tardan diferentes contraseñas en descifrarse.
¿Cuánto Debe Medir una Contraseña? La Respuesta Corta#
El mínimo práctico en 2026 es 15 caracteres. Las guías actuales de identidad digital del NIST recomiendan que los sistemas permitan contraseñas de al menos 64 caracteres y verifiquen un mínimo de 8, pero los equipos de seguridad consideran ampliamente que 15 es el mínimo real para una contraseña segura, porque cada carácter adicional multiplica el trabajo que un atacante debe realizar.
Aquí tienes una forma escalonada de pensar en ello:
- Mínimo aceptable: 12 caracteres. Funcional, pero cada vez más el límite inferior.
- Predeterminado seguro: 15 a 16 caracteres para cuentas cotidianas.
- Cuentas sensibles: 20+ caracteres para correo electrónico, banca, gestor de contraseñas e inicios de sesión de administrador. Estas son las llaves de todo lo demás.
La razón por la que la longitud gana es mecánica, no una cuestión de opinión. Cada carácter que agregas multiplica el número de combinaciones posibles que un atacante debe probar. A continuación, cuantificaremos eso con entropía.
Por qué la longitud supera a la complejidad#
La regla antigua imponía la complejidad: incluir una mayúscula, un dígito y un símbolo. El problema es que los humanos cumplen esas reglas de formas predecibles. "Contraseña" se convierte en "Contraseña1!". El símbolo forzado apenas aporta nada porque los atacantes conocen los patrones y, peor aún, las reglas de complejidad llevan a las personas a usar cadenas cortas y difíciles de recordar que luego reutilizan en todas partes.
El NIST revirtió explícitamente esta tendencia. Las pautas actuales indican que dejes de imponer reglas de composición arbitrarias (sin mezcla obligatoria de tipos de caracteres) y dejes de forzar cambios periódicos de contraseña a menos que haya evidencia de compromiso. Ambos hábitos antiguos dificultaban las contraseñas para los humanos sin hacerlas significativamente más difíciles para las computadoras.
La longitud hace lo contrario. Una frase de contraseña larga como caballo-correcto-batería-grapa es fácil de recordar para ti y brutal para que una máquina la adivine, porque su fuerza proviene de la gran cantidad de combinaciones, no de un $ que olvidarás que añadiste.
El cambio en una frase: una frase de contraseña memorable de 16 caracteres supera a una cadena críptica de 8 caracteres en todos los aspectos que importan, tanto en seguridad como en usabilidad.
Entropía: el número que realmente mide la fortaleza#
"Fortaleza" suena vago hasta que le pones un número. Ese número es la entropía, medida en bits. La entropía estima qué tan impredecible es una contraseña y se duplica con cada bit adicional. La fórmula para una contraseña generada aleatoriamente es:
Entropía (bits) = longitud x log2(tamaño del conjunto de caracteres)
El conjunto de caracteres es cuántos símbolos podría tener cada posición:
- solo minúsculas: 26
- minúsculas + mayúsculas + dígitos: 62
- agregando símbolos comunes: aproximadamente 95
Al usar valores reales, el papel de la longitud destaca:
| Contraseña | Conjunto de caracteres | Entropía (bits) |
|---|---|---|
| 8 caracteres, letras + dígitos | 62 | ~48 bits |
| 12 caracteres, letras + dígitos | 62 | ~71 bits |
| 15 caracteres, letras + dígitos | 62 | ~89 bits |
| 16 caracteres, con símbolos | 95 | ~105 bits |
| Frase de 4 palabras aleatorias | 7,776 palabras | ~52 bits |
| Frase de 5 palabras aleatorias | 7,776 palabras | ~65 bits |
Los objetivos a alcanzar:
- 60+ bits: un mínimo razonable para cuentas cotidianas. Una contraseña alfanumérica aleatoria de 12 caracteres lo supera.
- 80+ bits: cómodamente fuerte. Una contraseña alfanumérica aleatoria de 15 caracteres llega aquí.
- 128 bits: el estándar de oro para secretos de alto valor, el tipo de entropía usado en claves criptográficas. Una contraseña de 20 caracteres con conjunto mixto se acerca.
Observa las filas de frases de contraseña. Una frase de 4 palabras aleatorias (el método Diceware, donde las palabras se eligen con dados o un generador aleatorio seguro de una lista de 7,776 palabras) tiene alrededor de 52 bits, y agregar una quinta palabra supera los 65. Por eso una frase larga es tanto memorable como fuerte, siempre que las palabras se elijan al azar, no de una letra de canción.
Longitud de la contraseña vs tiempo de descifrado#
La entropía es abstracta, así que aquí está lo que significa en tiempo real. Las cifras a continuación asumen un ataque offline contra un equipo rápido acelerado por GPU que adivina alrededor de 100 mil millones de candidatos por segundo, un límite realista para descifrar una base de datos filtrada de contraseñas con hash débil. (Los ataques online contra un inicio de sesión en vivo son mucho más lentos debido a los límites de velocidad).
| Contraseña | Entropía | Tiempo de descifrado (ataque offline rápido) |
|---|---|---|
| 8 caracteres, letras + dígitos | ~48 bits | Minutos |
| 12 caracteres, letras + dígitos | ~71 bits | Siglos |
| 15 caracteres, letras + dígitos | ~89 bits | Millones de años |
| 16 caracteres, con símbolos | ~105 bits | Efectivamente para siempre |
| Frase de 4 palabras aleatorias | ~52 bits | Horas |
| Frase de 5 palabras aleatorias | ~65 bits | Muchos años |
Observe el salto de 8 a 15 caracteres. Agregar siete caracteres lleva el tiempo de descifrado de minutos a millones de años, con el mismo hardware. Ese es el argumento completo a favor de la longitud en una sola fila. Una contraseña de 8 caracteres, incluso una "compleja", ya no es segura contra un atacante que tenga su contraseña con hash offline.
Dos advertencias mantienen esto honesto:
- Estos tiempos asumen una contraseña verdaderamente aleatoria. Una contraseña de 15 caracteres construida a partir de una palabra del diccionario más un año es mucho más débil de lo que sugiere su longitud, porque los atacantes adivinan patrones primero, no cadenas aleatorias.
- Los números dependen de cómo el sitio almacenó su contraseña. Un hash lento y con sal (bcrypt, Argon2) hace que los ataques sean mucho más lentos que el límite de hash rápido anterior. Usted no controla eso, que es una razón más para apostar por la longitud.
Puede ver estimaciones de entropía y tiempo de descifrado en vivo para cualquier candidato con un comprobador de fortaleza de contraseñas gratuito, que es la forma más rápida de sentir la diferencia entre 8 y 16 caracteres.
Cómo crear una contraseña segura en 2026#
Tienes dos buenas opciones: una cadena aleatoria de un generador (la mejor, combinada con un gestor de contraseñas) o una frase de contraseña aleatoria (la mejor cuando debes memorizarla). Aquí está el flujo de trabajo para ambas.
Paso 1: Elige la longitud antes que nada#
Decide la longitud primero según el valor de la cuenta: 15 a 16 caracteres para inicios de sesión comunes, 20+ para tu correo electrónico, banco y gestor de contraseñas. La longitud es la palanca, así que establécela alta y deja que las demás opciones sigan.
Paso 2: Genérala aleatoriamente, no la inventes#
Los humanos somos pésimos generadores de números aleatorios. Recurrimos a nombres, fechas y patrones de teclado que los atacantes prueban primero. Usa un generador de contraseñas gratuito para producir una cadena genuinamente aleatoria de la longitud elegida. Para cuentas que debas escribir de memoria, genera una frase de contraseña de varias palabras, mínimo cuatro, cinco para inicios de sesión sensibles.
Paso 3: Haz que cada contraseña sea única#
La longitud solo protege una cuenta si la contraseña no se reutiliza. Cuando un sitio es vulnerado, los atacantes reutilizan ese mismo par de correo electrónico y contraseña contra bancos, correo y tiendas, una táctica llamada relleno de credenciales. Una contraseña única por sitio limita el daño a una cuenta. Esto es imposible de hacer de memoria a gran escala, que es la razón principal para un gestor de contraseñas.
Paso 4: Almacénalas en un gestor y activa la autenticación de dos factores#
Un gestor de contraseñas genera, almacena y autocompleta contraseñas largas y únicas para que solo memorices una frase de contraseña maestra fuerte. Luego agrega autenticación de dos factores (una aplicación de autenticación o una clave de hardware, no SMS si es evitable) en tus cuentas importantes. Incluso una contraseña perfecta es más fuerte con un segundo factor detrás.
Paso 5: Verifica tus cuentas contra filtraciones conocidas#
Una contraseña larga no sirve si ya fue expuesta en una filtración pasada y ahora está en una lista de palabras. Verifica tus direcciones de correo electrónico en un servicio como Have I Been Pwned y rota cualquier contraseña que aparezca. En adelante, solo cambia las contraseñas cuando haya una razón para hacerlo, no en un ciclo arbitrario de 90 días que el NIST ya no recomienda.
Frase de contraseña vs Contraseña: ¿Cuál usar?#
Ambas pueden ser seguras. La elección correcta depende de si debe recordarla una máquina o su cerebro.
- Cadena de caracteres aleatorios (ej.
7vQ!pL2m@Rk9zXw4): máxima entropía por carácter, ideal para todo lo que su gestor de contraseñas rellena por usted. Nunca la escribe, así que no necesita ser memorable. - Frase de contraseña aleatoria (ej.
velvet-anchor-puzzle-cinder-flint): entropía ligeramente menor por carácter pero mucho más fácil de memorizar, ideal para los pocos secretos que debe escribir a mano, como la contraseña maestra de su gestor de contraseñas o el inicio de sesión de su portátil.
El error es el término medio: una contraseña corta e "inteligente" que no es lo suficientemente aleatoria para ser segura ni lo suficientemente larga para compensar. Sea cual sea el estilo que elija, genérelo con un generador de contraseñas gratuito en lugar de inventarlo, para que el resultado sea realmente aleatorio y no un patrón humano adivinable. Para más información sobre cómo crear credenciales difíciles de descifrar, consulte nuestra guía sobre el generador de contraseñas para contraseñas a prueba de hackers, y si también trabaja con hash, nuestro generador de hash cubre el lado del algoritmo.
Preguntas Frecuentes#
¿Cuánto debe medir una contraseña en 2026? Al menos 15 caracteres para una contraseña diaria segura, y 20 o más para cuentas sensibles como correo electrónico, banca y tu gestor de contraseñas. NIST considera la longitud como el factor más importante y ya no recomienda reglas de complejidad forzada ni caducidad periódica de contraseñas.
¿Sigue siendo segura una contraseña de 12 caracteres? Una contraseña de 12 caracteres realmente aleatoria es viable, con aproximadamente 71 bits de entropía que resisten la mayoría de ataques. Pero 15 caracteres es el estándar más seguro en 2026, porque cada carácter adicional multiplica el trabajo del atacante, llevando el tiempo de descifrado de siglos a millones de años contra hardware offline rápido.
¿Es más importante la longitud o la complejidad en una contraseña? La longitud. Agregar caracteres aumenta el número de combinaciones posibles mucho más rápido que agregar un solo símbolo, y las reglas de complejidad forzada llevan a las personas a usar contraseñas cortas, predecibles y reutilizadas. Una frase de contraseña larga y aleatoria supera a una cadena críptica corta tanto en seguridad como en memorabilidad.
¿Qué es una frase de contraseña y es más segura que una contraseña? Una frase de contraseña son varias palabras aleatorias unidas, como cuatro o cinco palabras elegidas por el método Diceware. Puede ser muy segura, alrededor de 52 bits para cuatro palabras y 65 o más para cinco, siendo mucho más fácil de recordar que una cadena de caracteres aleatorios. La seguridad proviene de que las palabras sean aleatorias, no de una cita conocida.
¿Cómo se mide realmente la seguridad de una contraseña? Por entropía, en bits, calculada como la longitud multiplicada por el logaritmo en base 2 del tamaño del conjunto de caracteres. Más bits significa más imprevisibilidad y un mayor tiempo de descifrado. Apunta a 60 bits o más para cuentas ordinarias y 128 bits para secretos de alto valor. Un comprobador de seguridad de contraseñas muestra la estimación en vivo.
¿Cuánto se tarda en descifrar una contraseña? Depende de la longitud, la aleatoriedad y cómo el sitio la almacenó. Contra un ataque offline rápido, una contraseña de 8 caracteres cae en minutos, mientras que una de 15 caracteres aleatoria tardaría millones de años. Las contraseñas basadas en diccionario caen mucho más rápido de lo que sugiere su longitud, porque los atacantes prueban patrones comunes primero.
