Cómo crear una contraseña que ningún hacker puede romper (y recordarla)
De esta manera puedes crear contraseñas seguras y fiables
4 accesorios anti-robo que funcionan de verdad en tus viajes
Seis meses con las Ray-Ban Meta: cuando un gadget deja de ser un gadget
![](data:image/svg+xml;charset=utf-8,<svg height="400" width="840" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
El 60% de las contraseñas activas pueden romperse en menos de una hora. La cifra es el resultado de analizar millones de credenciales filtradas en 2026 usando las herramientas de ataque actuales. El problema no es que la gente elija contraseñas cortas, sino que elige contraseñas predecibles, aunque parezcan complejas. «P@ssw0rd1» tiene mayúsculas, números y símbolos, y un hacker la rompe en segundos porque los ataques modernos conocen exactamente ese tipo de sustituciones. Crear una contraseña realmente segura es más fácil de lo que parece, y no exige memorizar una cadena de caracteres sin sentido.
Cuánto tarda un hacker en romper tu contraseña actual
Antes de ver cómo crear una buena contraseña, conviene entender por qué las habituales fallan. Los ataques de fuerza bruta modernos no prueban combinaciones al azar: primero intentan palabras de diccionario, nombres propios, fechas y patrones comunes como sustituir la «a» por «@» o la «o» por «0». Esas reglas ya están programadas. El tiempo que tarda en función de la longitud, con una contraseña de caracteres mixtos aleatorios:
- 8 caracteres: menos de un día.
- 10 caracteres: varios años.
- 12 caracteres: millones de años.
- 15 caracteres o más con patrones predecibles: menos de un minuto en el 20% de los casos.
El dato clave es ese último: la longitud no salva si la contraseña sigue una estructura previsible. «MiPerro2020!» tiene 12 caracteres y un hacker la rompe rápido porque combina dos patrones conocidísimos: palabra en mayúscula más año más signo de exclamación.
![](data:image/svg+xml;charset=utf-8,<svg height="1012" width="1800" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
El método de la frase: larga, aleatoria y fácil de recordar
El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) actualizó sus directrices para recomendar exactamente esto: usar frases largas de palabras aleatorias en lugar de contraseñas cortas con símbolos. Es lo que se llama una passphrase. El método es simple: elige cuatro o cinco palabras completamente aleatorias y únelas. Por ejemplo:
«caballo-lámpara-nube-catorce-fresa»
Esa contraseña tiene 35 caracteres, es prácticamente imposible de romper por fuerza bruta y, con un poco de práctica, la recuerdas en un día. La clave es que las palabras sean realmente aleatorias, sin relación entre ellas. Nada de frases con sentido como «miperrosellamacoco» porque eso sí es predecible.
Para elegir las palabras sin que el cerebro caiga en patrones, puedes usar un generador de passphrases como el de Bitwarden o simplemente abrir un libro al azar y señalar palabras sin mirar.
Las reglas que ya no sirven
El NIST eliminó de sus recomendaciones oficiales varias prácticas que durante años se consideraron buenas.
Por ejemplo, cambiar la contraseña cada 90 días no mejora la seguridad. Al contrario, cuando se fuerza ese cambio, la gente elige versiones casi idénticas a la anterior (Contraseña1, Contraseña2…) que son igual de vulnerables.
Exigir mayúsculas, números y símbolos tampoco funciona si la contraseña es corta. Una contraseña de 8 caracteres con todos esos requisitos es infinitamente más débil que una frase de 30 caracteres con solo letras minúsculas.
Las preguntas de seguridad («nombre de tu primera mascota», «ciudad donde naciste») son un agujero directo porque esa información está disponible en redes sociales o se obtiene con ingeniería social en segundos.
El gestor de contraseñas es la solución real
El problema de las passphrases es que necesitas una diferente para cada servicio. Reutilizar la misma contraseña en varios sitios es el error más peligroso que existe, cuando filtran los datos de cualquier web menor, los atacantes prueban esas credenciales en todos los demás servicios automáticamente. Es lo que se llama credential stuffing.
La solución es un gestor de contraseñas. Funciona así, memorizas una única contraseña maestra larga y segura, y el gestor genera y guarda contraseñas únicas y aleatorias para cada sitio. No tienes que recordar nada más.
La capa que lo protege todo: autenticación en dos pasos
Incluso con una contraseña perfecta, si alguien la consigue mediante phishing o una filtración, puede entrar en tu cuenta. La autenticación en dos pasos (2FA) añade una segunda barrera, ya que, aunque tengan tu contraseña, necesitan también el código temporal que se genera en tu móvil.
Actívala en todos los servicios que lo permitan, empezando por el correo electrónico, las redes sociales y la banca online. La app Google Authenticator y Authy son gratuitas y funcionan sin conexión a internet.
Una contraseña larga y aleatoria más un gestor de contraseñas más autenticación en dos pasos: es prácticamente imposible de comprometer con los métodos de ataque actuales.
Temas:
- Ciberseguridad
Lo último en Tecnología
-
Los 10 gadgets más vendidos en 2026 que puedes comprar por menos de 50 euros
-
Cómo crear una contraseña que ningún hacker puede romper (y recordarla)
-
4 herramientas de IA que eran de pago y ahora son completamente gratis
-
El ajuste oculto del iPhone que hace la pantalla mucho más fluida
-
Viajar al antiguo Egipto sin salir del centro de Alicante ya es posible
Últimas noticias
-
Cómo va Sudáfrica – Canadá, en directo online: resultado, alineaciones, estadísticas, cronología y dónde ver el partido del Mundial 2026 hoy en vivo
-
Fin de semana negro en las carreteras: nueve muertos y ocho heridos en tres accidentes ocurridos en Barcelona, Málaga y Castellón
-
El sectarismo de Évole: pide ir «puerta a puerta» para convencer a la gente de que no vea ‘Horizonte’
-
¿Por qué Canada juega ante Sudáfrica en Estados Unidos y no en Canadá si es anfitrión del Mundial?
-
España arrasa en el partido inaugural del Europeo sub-19