¿Qué es crypto.getRandomValues y por qué importa?

crypto.getRandomValues es una API de Criptografía Web incorporada en todos los navegadores modernos. Produce números aleatorios criptográficamente seguros usando la fuente de entropía del sistema operativo, lo que lo hace muy superior a Math.random() para fines de seguridad. Todos los gestores de contraseñas principales utilizan la misma API.

¿Cuál es la diferencia entre una contraseña y una frase de contraseña?

Una contraseña es una cadena de caracteres aleatorios (p. ej., 'kX9#mZp2'). Una frase de contraseña es una secuencia de palabras aleatorias (p. ej., 'caballo-correcto-batería-grapadora'). Las frases de contraseña son más fáciles de recordar y escribir mientras proporcionan excelente seguridad. Una frase de 4 palabras tiene aproximadamente la misma entropía que una contraseña aleatoria de 10 caracteres.

¿Cómo se calcula el tiempo de descifrado?

El tiempo de descifrado se estima asumiendo un atacante realizando 10 mil millones de adivinanzas por segundo (un clúster GPU de gama alta). El número total de contraseñas posibles se divide por esta velocidad. Por ejemplo, una contraseña mixta de 16 caracteres tiene aproximadamente 4x10^31 combinaciones, que a 10 mil millones de adivinanzas por segundo tomaría más de un billón de años.

¿Por qué excluir caracteres ambiguos?

Los caracteres ambiguos como 0/O, 1/l/I y 2/Z se ven similares en muchas fuentes, lo que puede causar confusión al leer o escribir contraseñas manualmente. Excluirlos es útil cuando necesitas escribir o dictar una contraseña. Para contraseñas almacenadas en un gestor, incluye todos los caracteres para máxima entropía.

¿Puedo usar este generador de contraseñas sin conexión?

Sí. Como la generación de contraseñas ocurre completamente en tu navegador usando JavaScript y la API de Criptografía Web, la herramienta funciona sin conexión a internet una vez que la página se carga. Se realizan cero llamadas de servidor durante la generación de contraseñas.

¿Es un PIN de 4 dígitos seguro?

Un PIN de 4 dígitos tiene solo 10,000 combinaciones posibles, lo que es muy débil contra ataques sin conexión. Sin embargo, los PINs típicamente se usan con mecanismos de bloqueo (p. ej., 3 intentos fallidos bloquean el dispositivo), lo que los hace adecuados para teléfonos y tarjetas bancarias. Para cualquier cosa sin protección de bloqueo, usa un PIN de 6-8 dígitos o una contraseña completa.

Generador de Contraseñas

Genera contraseñas fuertes y aleatorias al instante. Completamente del lado del cliente — nada sale de tu navegador.

100% Del Lado del Cliente Sin Registro Instantáneo

Longitud 16

Mayúsculas A–Z

Minúsculas a–z

Números 0–9

Símbolos !@#$%^&*()

Excluir ambiguo O 0 I l 1 |

Palabras 4

Separador

Capitalizar palabras Primera letra mayúscula

Incluir número Agregar un número aleatorio entre palabras

Longitud 6

Cantidad:

Generado completamente en tu navegador usando crypto.getRandomValues(). Nada se envía a ningún servidor.

Cómo Usar el Generador de Contraseñas

Elige tu Modo

Selecciona Aleatorio para contraseñas basadas en caracteres, Frase de Contraseña para contraseñas basadas en palabras, o PIN para códigos numéricos.

Ajusta la Configuración

Establece la longitud deseada, activa o desactiva tipos de caracteres, y elige presets para longitudes comunes.

Copia y Usa

Tu contraseña se genera al instante. Haz clic en Copiar para guardarla en tu portapapeles, o regenera para obtener una nueva.

¿Qué Hace una Contraseña Fuerte?

Según NIST SP 800-63B (2024) y las directrices de CISA, la fortaleza de una contraseña depende de tres factores: longitud, aleatoriedad y unicidad. Los estándares federales actualizados eliminaron las reglas de complejidad obligatorias (mayúsculas mixtas, caracteres especiales) a favor de contraseñas más largas, porque cada carácter adicional aumenta exponencialmente la dificultad de ataques de fuerza bruta.

Aquí hay 5 reglas para crear contraseñas fuertes en 2026:

Hazla larga — Mínimo 16 caracteres. NIST ahora recomienda al menos 15 caracteres para autenticación de un solo factor (SP 800-63B Rev. 4). Cada carácter adicional multiplica la dificultad de descifrado exponencialmente.
Hazla aleatoria — Usa un generador de contraseñas. Los humanos son terribles en la aleatoriedad — gravitamos hacia patrones, palabras de diccionario e información personal que los atacantes explotan.
Hazla única — Una contraseña por cuenta. El 94% de las contraseñas se reutilizan en varias cuentas. Cuando un servicio se ve comprometido, todas tus cuentas que usan esa contraseña están comprometidas.
Salta los trucos de complejidad — “P@$$w0rd!” se ve compleja pero es trivialmente descifrable. Una cadena aleatoria en minúsculas de 20 caracteres es mucho más fuerte que una cadena de 8 caracteres con símbolos forzados.
Usa un gestor de contraseñas — La única forma práctica de mantener contraseñas únicas de 16+ caracteres para cada cuenta. Un generador crea las contraseñas; un gestor las almacena.

Por Qué las Contraseñas Fuertes Importan en 2026

Las filtraciones de datos ya no son eventos raros — son constantes. Solo en 2024, más de 1.7 mil millones de credenciales fueron expuestas en filtraciones públicamente reportadas, y el número real probablemente sea mucho mayor. Bases de datos como la compilación “RockYou2024” contienen casi 10 mil millones de entradas de contraseñas únicas, dando a los atacantes un enorme diccionario para usar en ataques de relleno de credenciales.

El problema central es reutilización de contraseñas. Cuando un servicio se ve comprometido, los atacantes automáticamente prueban los mismos pares de correo electrónico-y-contraseña contra miles de otros sitios — bancos, proveedores de correo electrónico, almacenamiento en la nube, redes sociales. Una única contraseña filtrada puede desencadenar un compromiso total de identidad si desbloquea tu correo electrónico principal, que a su vez reinicia cada otra cuenta.

Por eso un gestor de contraseñas ya no es opcional. La persona promedio tiene 70-100 cuentas en línea. Nadie puede memorizar tantas contraseñas únicas de alta entropía. Un gestor de contraseñas te permite generar una contraseña aleatoria distinta para cada servicio y recordarla al instante. Recuerdas una contraseña maestra fuerte; el gestor maneja el resto. Combinado con autenticación de dos factores, este enfoque elimina la gran mayoría de ataques basados en credenciales antes de que comiencen.

Fortaleza de Contraseña por Longitud

¿Cuánto tiempo tomaría descifrar tu contraseña? Estas estimaciones se basan en datos de 2025 de Hive Systems, asumiendo un clúster GPU moderno (12× RTX 5090) atacando hashes bcrypt (factor de costo 10):

Longitud	Solo Números	Minúsculas	+ Mayúsculas	Todos los Caracteres	Entropía (todos)
6	Instantáneo	Instantáneo	Instantáneo	1 segundo	39 bits
8	Instantáneo	57 minutos	4 días	8 meses	53 bits
10	Instantáneo	2 años	300 años	58K años	66 bits
12	3 minutos	2,000 años	880K años	3 mil millones de años	79 bits
14	5 horas	2M años	600M años	31 billones de años	92 bits
16	21 días	477M años	380B años	30 cuatrillones de años	105 bits
20	5 años	39T años	253,000T años	Efectivamente nunca	131 bits
32	1B años	Más allá de la muerte térmica del universo			210 bits

Los tiempos asumen ataques de fuerza bruta sin conexión contra hashes bcrypt. Los ataques en línea con limitación de velocidad son mucho más lentos. El hash débil (MD5, SHA-1) reduce los tiempos en órdenes de magnitud.

Contraseña vs. Frase de Contraseña

Una frase de contraseña es una secuencia de palabras aleatorias e independientes (p. ej., “caballo-correcto-batería-grapadora”). Aquí se comparan con contraseñas aleatorias tradicionales:

Criterios	Contraseña Aleatoria	Frase de Contraseña
Ejemplo	`k7#mQ9$xL2!pN4w`	`caballo-correcto-batería-grapadora`
Longitud típica	12-20 caracteres	20-40 caracteres
Entropía (típica)	79-131 bits	52-108 bits (4-7 palabras)
Memorabilidad	Imposible sin un gestor	Moderada — las imágenes mentales ayudan
Facilidad de escritura	Baja — símbolos mixtos	Alta — palabras regulares
Mejor para	Cuentas de sitios web (almacenadas en gestor)	Contraseñas maestras, encriptación de dispositivo
Conforme con NIST	Sí (si 15+ caracteres)	Sí (si 15+ caracteres)

Insight clave: Las frases de contraseña intercambian densidad de entropía por memorabilidad. Una frase aleatoria de 5 palabras (~86 bits) es más fácil de recordar que una contraseña aleatoria de 12 caracteres (~79 bits) mientras es más segura. Para máxima seguridad, usa contraseñas aleatorias almacenadas en un gestor de contraseñas.

Errores Comunes de Contraseña

Según el análisis de 2025 de NordPass de datos de dark web, las 10 contraseñas más comunes son:

#	Contraseña	Ocurrencias	Tiempo para Descifrar
1	`123456`	179.9M	Instantáneo
2	`123456789`	67.4M	Instantáneo
3	`12345678`	63.9M	Instantáneo
4	`password`	46.6M	Instantáneo
5	`12345`	28.3M	Instantáneo
6	`qwerty`	22.0M	Instantáneo
7	`1234567`	16.3M	Instantáneo
8	`1234567890`	15.8M	Instantáneo
9	`111111`	12.2M	Instantáneo
10	`qwerty123`	12.0M	Instantáneo

Cada uno de estos se descifra instantáneamente. Los 5 errores principales de contraseña que comete la gente:

Reutilizar contraseñas — El 80-85% de las personas reutilizan contraseñas en varios sitios. Una filtración compromete todas tus cuentas.
Usar información personal — Nombres, fechas de nacimiento, nombres de mascotas y direcciones se encuentran fácilmente en redes sociales y registros públicos.
Patrones de teclado — “qwerty,” “asdf,” y “zxcv” están entre las primeras combinaciones que los atacantes prueban.
Sustituciones simples — Reemplazar “a” con “@” o “e” con “3” (lenguaje de élite) es bien conocido por los descifrador y agrega negligencia de seguridad.
Cambios incrementales — Cambiar “Password1” a “Password2” cuando se ve forzado a rotar. NIST ahora recomienda explícitamente contra la rotación obligatoria de contraseñas.

Preguntas Frecuentes

¿Es seguro usar este generador de contraseñas?

Sí. Este generador se ejecuta completamente en tu navegador usando JavaScript. Las contraseñas nunca se envían a ningún servidor. Usa crypto.getRandomValues(), el generador de números aleatorios criptográficamente seguro incorporado del navegador — la misma API utilizada por gestores de contraseñas como Bitwarden y 1Password.

¿Qué hace que una contraseña sea fuerte?

Una contraseña fuerte tiene tres propiedades: longitud (al menos 16 caracteres, según las recomendaciones de CISA), aleatoriedad (sin palabras de diccionario, nombres, fechas o patrones), y unicidad (nunca reutilizada en cuentas). NIST eliminó los requisitos obligatorios de caracteres especiales a favor de la longitud, porque cada carácter adicional aumenta exponencialmente la dificultad de ataques de fuerza bruta.

¿Cuál debe ser la longitud de mi contraseña?

NIST ahora recomienda un mínimo de 15 caracteres para autenticación de un solo factor (SP 800-63B Rev. 4). CISA recomienda 16 o más caracteres. Para autenticación multifactor, 8 caracteres es el mínimo. El punto dulce para la mayoría de los usuarios es 16-20 caracteres — lo suficientemente largo para ser seguro durante décadas, manejable con un gestor de contraseñas.

¿Qué es una frase de contraseña y es mejor que una contraseña?

Una frase de contraseña es una secuencia de 4-7 palabras aleatorias e independientes (p. ej., “caballo-correcto-batería-grapadora”). Una frase aleatoria de 5 palabras tiene aproximadamente 86 bits de entropía — más fuerte que una contraseña compleja de 12 caracteres (~79 bits) — mientras es más fácil de recordar. Las frases de contraseña son ideales para contraseñas maestras donde necesitas escribir de memoria. Para cuentas de sitios web, las contraseñas aleatorias de caracteres almacenadas en un gestor de contraseñas son igualmente seguras y más prácticas.

¿Con qué frecuencia debo cambiar mis contraseñas?

NIST ya no recomienda cambios de contraseña rutinarios. Las directrices actualizadas de 2024 explícitamente afirman que las organizaciones “no deben” requerir rotación de contraseñas periódica a menos que haya evidencia de compromiso. Los cambios forzados llevaban a patrones predecibles. Cambia tu contraseña solo cuando sospechas que fue comprometida, un servicio reporta una filtración de datos, o has estado compartiendo la contraseña y deseas revocar acceso.

¿Qué es entropía de contraseña?

La entropía mide la impredecibilidad de la contraseña en bits. La fórmula es E = log2(R^L), donde R es el tamaño del conjunto de caracteres y L es la longitud de la contraseña. Cada bit duplica el número de combinaciones posibles. Menos de 35 bits es débil (descifrado en minutos), 60-75 bits es fuerte, 75-100 es muy fuerte, y 100+ bits es excelente. Una contraseña de 16 caracteres usando todos los tipos de caracteres tiene aproximadamente 105 bits de entropía.

¿Qué es autenticación de dos factores (2FA)?

La autenticación de dos factores requiere un segundo paso de verificación más allá de tu contraseña — típicamente un código de una aplicación de autenticador, SMS, o una llave de seguridad de hardware. Incluso si tu contraseña es robada, el atacante no puede acceder a tu cuenta sin el segundo factor. Las aplicaciones de autenticador (Google Authenticator, Authy) son más seguras que SMS, y las llaves de hardware (YubiKey) son la opción más segura. Habilita 2FA en correo electrónico, banca y redes sociales como mínimo.

¿Cómo se descifran las contraseñas?

Los atacantes usan varios métodos: Fuerza bruta intenta cada combinación (rápido para contraseñas cortas, impráctica para 16+ caracteres). Ataques de diccionario prueban palabras comunes, nombres y contraseñas filtradas. Relleno de credenciales usa pares de nombre de usuario/contraseña robados de una filtración para iniciar sesión en otros sitios. Tablas arcoíris usan búsquedas de hash precomputadas para descifrado sin conexión. Phishing te engaña para que ingreses credenciales en sitios falsos. Una contraseña aleatoria de 16 caracteres derrota ataques de fuerza bruta y diccionario; contraseñas únicas derrotan relleno de credenciales.

¿Debo usar un gestor de contraseñas?

Sí. CISA, NIST y todas las organizaciones de seguridad importantes recomiendan usar un gestor de contraseñas. Genera, almacena y auto-completa contraseñas fuertes únicas para cada cuenta — solo recuerdas una contraseña maestra. Esto elimina reutilización de contraseñas, la causa número uno de tomas de cuenta. Un generador de contraseñas (como esta herramienta) crea las contraseñas; un gestor de contraseñas las almacena. Las opciones populares incluyen Bitwarden (gratuito/código abierto), 1Password y Dashlane.

¿Esta herramienta es realmente gratuita?

Sí, completamente gratuita sin límites. Sin registro, sin cuenta requerida, sin restricciones en cuántas contraseñas puedes generar. La herramienta se ejecuta en tu navegador sin interacción de servidor. Úsala tanto como necesites.