Entropía de Contraseñas Explicada: Qué Hace Fuerte a una Contraseña
Cuando un sitio web te dice que tu contraseña es "débil" o "fuerte", está midiendo la entropía — la aleatoriedad matemática de tu contraseña. Comprender la entropía te ayuda a crear contraseñas que sean genuinamente seguras en lugar de simplemente difíciles de escribir.
¿Qué Es la Entropía?
La entropía, medida en bits, cuantifica cuán impredecible es una contraseña. Cada bit de entropía duplica el número de contraseñas posibles que un atacante debe probar. La fórmula es:
Entropy = log₂(C^L)
Donde:
- C = tamaño del conjunto de caracteres
- L = longitud de la contraseña
Alternativamente: Entropía = L × log₂(C)
Entropía por Conjunto de Caracteres
| Conjunto de Caracteres | Tamaño del Conjunto (C) | Bits por Carácter |
|---|---|---|
| Solo dígitos (0-9) | 10 | 3.32 |
| Letras minúsculas (a-z) | 26 | 4.70 |
| Minúsculas + dígitos | 36 | 5.17 |
| Mayúsculas y minúsculas (a-z, A-Z) | 52 | 5.70 |
| Mayúsculas/minúsculas + dígitos | 62 | 5.95 |
| Todos los ASCII imprimibles | 95 | 6.57 |
Cálculos de ejemplo:
password(8 minúsculas): 8 × 4.70 = 37.6 bits — descifrable en segundosP@ssw0rd(8 mixtos): 8 × 6.57 = 52.6 bits — descifrable en horascorrect-horse-battery-staple(28 minúsculas + símbolos): entropía efectiva mucho mayor debido a la longitud
Longitud vs. Complejidad
Esta es la verdad contraintuitiva: la longitud contribuye más a la entropía que la complejidad.
| Contraseña | Longitud | Entropía | Tiempo para Descifrar (1B intentos/seg) |
|---|---|---|---|
Xy7! | 4 | 26.3 bits | < 1 segundo |
Xy7!Qp2$ | 8 | 52.6 bits | 142 años |
mysimplepassword | 16 | 75.2 bits | 1.2 mil millones de años |
correct horse battery | 22 | 103 bits | Muerte térmica del universo |
Una contraseña de 16 caracteres en minúsculas es más fuerte que una contraseña de 8 caracteres con todos los tipos de caracteres. Por eso las guías de seguridad modernas (NIST SP 800-63B) recomiendan frases de contraseña largas en lugar de contraseñas cortas y complejas.
El Problema con las "Reglas de Complejidad"
Las políticas tradicionales de contraseñas (debe incluir mayúsculas, minúsculas, número, símbolo) son contraproducentes:
- Patrones predecibles: Los usuarios ponen en mayúscula la primera letra, agregan
1!al final →Password1! - Menor memorabilidad: Las contraseñas complejas terminan escritas en notas adhesivas
- Falsa seguridad: Una contraseña "compleja" de 8 caracteres tiene menos entropía que una simple de 16 caracteres
Guía moderna del NIST:
- Mínimo 8 caracteres, recomendado 15+
- Sin reglas de composición (mayúsculas, símbolos, etc.)
- Verificar contra bases de datos de contraseñas filtradas
- Permitir todos los caracteres imprimibles incluyendo espacios
- Sin rotación periódica forzada
Estrategia de Frases de Contraseña
Las frases de contraseña usan palabras aleatorias en lugar de caracteres aleatorios:
method: pick 4-6 random words from a dictionary
example: "timber quantum spoon velocity"
entropy: 4 words × ~12.9 bits/word (from 7,776-word list) ≈ 51.7 bits
better: 6 words ≈ 77.5 bits
El método Diceware utiliza una lista de 7,776 palabras (6^5, correspondiente a cinco lanzamientos de dados). Cada palabra agrega 12.9 bits de entropía.
Ventajas:
- Memorables (puedes visualizar las palabras)
- Largas (naturalmente 20-35 caracteres)
- Alta entropía con suficientes palabras
- Fáciles de escribir
Genera contraseñas y frases de contraseña aleatorias seguras con nuestro Generador de Contraseñas.
Velocidades Reales de Ataque
La entropía solo importa en relación con la velocidad de ataque:
| Tipo de Ataque | Velocidad | Contraseña de 40 bits | Contraseña de 60 bits | Contraseña de 80 bits |
|---|---|---|---|---|
| En línea (con límite de tasa) | 1,000/seg | 12.7 días | 36,559 años | 38M años |
| Sin conexión (CPU) | 1B/seg | 1.1 segundos | 36.5 años | 38,334 años |
| Sin conexión (clúster GPU) | 1T/seg | < 1 segundo | 13 días | 38 años |
| Estado-nación | 1P/seg | < 1 segundo | < 1 segundo | 14 días |
Para cuentas en línea con límite de tasa y bloqueo, 40+ bits es adecuado. Para ataques sin conexión (hashes de contraseñas robados), 80+ bits es el mínimo. Por eso existen algoritmos de hashing de contraseñas como Argon2 y bcrypt — hacen que cada intento sea costoso.
Matemáticas del Gestor de Contraseñas
Un gestor de contraseñas cambia la ecuación por completo:
- Una contraseña maestra fuerte: 80+ bits de entropía (frase de 6+ palabras)
- Todas las demás contraseñas: Generadas aleatoriamente, 128+ bits, únicas por sitio
- Sin reutilización: Una filtración en un sitio no afecta a los demás
Las matemáticas a favor de los gestores de contraseñas son abrumadoras. Una sola contraseña reutilizada, sin importar cuán fuerte sea, es más débil que contraseñas débiles únicas por sitio, porque una filtración compromete todas las cuentas.
Midiendo Tu Contraseña
Al evaluar la fortaleza de una contraseña, considera:
- ¿Está en una base de datos de filtraciones? — Incluso contraseñas "fuertes" son débiles si han sido filtradas (consulta haveibeenpwned.com)
- ¿Es aleatoria? — Las contraseñas elegidas por humanos tienen mucha menos entropía que las aleatorias
- ¿Cómo se almacena? — bcrypt con factor de costo 12 agrega ~22 bits de entropía efectiva vs. MD5 simple
Para más información sobre generación segura de contraseñas, consulta nuestra guía completa de generación de contraseñas.
Preguntas Frecuentes
¿Cuántos bits de entropía necesito?
Para cuentas en línea con límite de tasa: 40-50 bits mínimo. Para contraseñas que protegen datos cifrados (cifrado de disco, contraseña maestra del gestor): 80+ bits. Para claves criptográficas: 128+ bits. La respuesta correcta depende de lo que estés protegiendo y quién podría atacarlo.
¿Agregar un símbolo a mi contraseña la hace significativamente más fuerte?
Agregar un símbolo aumenta el conjunto de caracteres de 62 a 95, añadiendo aproximadamente 0.6 bits por carácter. Para una contraseña de 8 caracteres, eso son aproximadamente 5 bits extra — equivalente a agregar un carácter en minúscula más. La longitud es casi siempre una mejor inversión que agregar tipos de caracteres.
Recursos Relacionados
- Generador de Contraseñas — Genera contraseñas criptográficamente seguras
- Generar Contraseñas Fuertes — Guía completa de seguridad de contraseñas
- Algoritmos Hash Comparados — Cómo se almacenan las contraseñas de forma segura