Cómo crear una contraseña segura: la guía NIST 2026
Las nuevas directrices NIST lo cambiaron todo. La longitud supera a la complejidad. Los cambios forzados son contraproducentes. Esto es lo que hace que una contraseña sea fuerte en 2026.
La mayoría de los consejos sobre contraseñas en internet son incorrectos. No ligeramente incorrectos — estructuralmente incorrectos. Imponen reglas de complejidad (¡mayúscula! ¡símbolo! ¡número!) que producen contraseñas como C0ntr@señ@1 — técnicamente complejas, fácilmente adivinables. El Instituto Nacional de Estándares y Tecnología de EE. UU. renovó sus directrices de contraseñas en 2024. Esto es lo que realmente importa.
Lo más importante: la longitud
La resistencia de una contraseña a los ataques de fuerza bruta crece exponencialmente con la longitud. Añadir un carácter no solo hace la tarea del atacante más difícil — la hace exponencialmente más difícil.
| Longitud | Solo minúsculas | Mayúsculas + minúsculas + números + símbolos | |---|---|---| | 8 caracteres | Descifrada en minutos | Horas | | 12 caracteres | Días | Años | | 16 caracteres | Siglos | Más tiempo que el universo | | 20+ caracteres | Prácticamente irrompible | Prácticamente irrompible |
Por eso NIST SP 800-63B (las directrices de contraseñas más citadas del mundo) ahora recomienda un mínimo de 15 caracteres — y afirma que exigir caracteres especiales o mayúsculas añade fricción sin mejorar significativamente la seguridad.
Lo que dicen realmente las directrices NIST 2024/2025
Las nuevas directrices revirtieron varias décadas de consejos comunes:
Recomendado:
- Usar contraseñas largas (mínimo 15 caracteres)
- Usar un gestor de contraseñas para generar y almacenar contraseñas
- Verificar contraseñas contra listas de contraseñas comprometidas conocidas
- Permitir copiar y pegar en campos de contraseña
Dejar de hacer:
- Forzar cambios periódicos de contraseña (los usuarios simplemente añaden
!1a la misma contraseña) - Exigir reglas de complejidad específicas (los usuarios cumplen el mínimo:
Contraseña1!) - Preguntas de seguridad basadas en información personal
- Autenticación de dos factores únicamente por SMS
El problema real: la reutilización
La mayor vulnerabilidad de contraseñas que tiene la mayoría de las personas no son las contraseñas débiles — es la reutilización de contraseñas. Cuando un sitio es comprometido (y las brechas ocurren constantemente), cada cuenta con la misma contraseña también queda comprometida.
La solución es simple en principio: cada cuenta recibe una contraseña única generada aleatoriamente. El desafío es recordarlas. Aquí es donde entran los gestores de contraseñas y los generadores.
Qué hace que una contraseña sea realmente fuerte
Una contraseña fuerte tiene dos propiedades:
1. Alta entropía — es impredecible. Una cadena aleatoria de 16 caracteres de un pool de 94 caracteres tiene aproximadamente 105 bits de entropía. Una contraseña "aleatoria" de 16 caracteres elegida por un humano típicamente tiene 30–40 bits porque los humanos son malos para ser verdaderamente aleatorios.
2. Unicidad — nunca reutilizada entre cuentas. Una contraseña con 100 bits de entropía reutilizada en 10 sitios ofrece una seguridad práctica más débil que 10 contraseñas separadas de 80 bits.
Conjuntos de caracteres y por qué importan
Las matemáticas detrás de la fortaleza de contraseñas: entropía = longitud × log₂(tamaño del pool)
| Conjunto de caracteres | Tamaño del pool | Bits por carácter | |---|---|---| | Solo dígitos (0–9) | 10 | 3,32 | | Letras minúsculas | 26 | 4,70 | | Mayúsculas + minúsculas | 52 | 5,70 | | Alfanumérico | 62 | 5,95 | | ASCII completo (todos los tipos) | 92–95 | 6,48–6,57 |
Cada tipo de carácter adicional añade menos de un bit por carácter. Cada carácter adicional añade el valor completo de bits por carácter. La longitud siempre es más eficiente que la complejidad.
Una contraseña de 20 caracteres en minúsculas (94 bits) es más fuerte que una contraseña de 12 caracteres con todos los tipos de caracteres (78 bits).
Genera una contraseña fuerte ahora — 8 a 64 caracteres, aleatoriamente criptográfico, se ejecuta completamente en tu navegador.
Preguntas frecuentes
¿Qué longitud debe tener una contraseña en 2026?
NIST recomienda un mínimo de 15 caracteres. Para cuentas importantes (correo electrónico, banca, trabajo), usa 20 caracteres o más. La longitud importa mucho más que la complejidad de los tipos de caracteres.
¿Necesito mayúsculas, números y símbolos?
Ayudan — cada tipo de carácter amplía el pool — pero añadir longitud siempre es más efectivo. Una contraseña de 20 caracteres en minúsculas es más fuerte que una contraseña de 12 caracteres con máxima complejidad.
¿Con qué frecuencia debo cambiar mis contraseñas?
La guía actual del NIST: solo cuando haya razones para creer que una contraseña ha sido comprometida, o cuando aparezca en una base de datos de filtraciones. Los cambios periódicos forzados producen contraseñas más débiles.
¿Es seguro usar un generador de contraseñas online?
Sí, si el generador se ejecuta completamente en tu navegador. Un generador que envía tu contraseña a un servidor no es de confianza. Los generadores basados en navegador usan crypto.getRandomValues() — nada sale de tu dispositivo.