Cómo crear contraseñas seguras (y no olvidarlas) — Guía 2025

"123456" fue la contraseña más usada del mundo en 2024. Un atacante la prueba en menos de un segundo. En esta guía aprenderás por qué las contraseñas débiles son el mayor riesgo de seguridad individual, qué hace que una contraseña sea realmente segura, los métodos para crear contraseñas memorables y fuertes, y por qué un gestor de contraseñas cambia las reglas del juego.

El problema real con las contraseñas

Cada persona promedio tiene más de 100 cuentas online que requieren contraseña. Gestionar 100 contraseñas únicas y complejas es humanamente imposible sin ayuda. El resultado predecible: la gente reutiliza las mismas 3–5 contraseñas en todos sus servicios.

Esto crea un efecto dominó devastador. Cuando una empresa sufre una brecha de datos (y ocurre constantemente), las credenciales robadas se venden en la dark web. Los atacantes prueban esas mismas combinaciones de email y contraseña en cientos de otros servicios. Este proceso automatizado se llama credential stuffing, y funciona porque la reutilización de contraseñas es la norma, no la excepción.

¿Estás en alguna brecha de datos? El sitio haveibeenpwned.com de Troy Hunt te permite comprobar si tu dirección de correo aparece en alguna de las miles de millones de credenciales expuestas en brechas de datos conocidas. Es gratuito y muy recomendable comprobarlo ahora mismo.

¿Qué hace fuerte a una contraseña?

La fortaleza de una contraseña se mide por cuánto tiempo tardaría un atacante en descubrirla mediante fuerza bruta (probando sistemáticamente todas las combinaciones posibles). Depende de dos factores: longitud y espacio de caracteres.

Mira la diferencia en tiempo de crackeo estimado:

password

Muy débil

Instantáneo

P@ssw0rd1

Débil

~ 1 hora

Madrid2024!

Moderada

~ 3 días

Tr0ub4dor&3

Moderada

~ 550 años

correctohorsebatterystaple

Fuerte

~ 550 años

xK#9mP$2qL@5nR!7vB

Muy fuerte

> 1 trillón de años

Observa algo sorprendente: correctohorsebatterystaple (4 palabras comunes separadas) es igual de segura que Tr0ub4dor&3 pero mucho más fácil de recordar. La longitud supera a la complejidad. Cada carácter adicional multiplica exponencialmente el tiempo de crackeo.

Los 6 errores más comunes

❌ Usar información personal

Nombre, fecha de nacimiento, nombre de tu mascota, ciudad natal. Todo esto está en tus redes sociales y es lo primero que prueba un atacante.

❌ Sustituciones obvias

Cambiar "a" por "@", "e" por "3", "o" por "0". Los diccionarios de ataque incluyen estas variaciones desde hace décadas.

❌ Contraseñas cortas

Una contraseña de 8 caracteres con letras, números y símbolos puede crackearse en horas con hardware moderno. Mínimo 16 caracteres.

❌ Reutilizar contraseñas

El error más peligroso. Una sola brecha de datos expone todas tus cuentas si usas la misma contraseña en varios servicios.

❌ Guardarlas en el navegador sin sincronización

Las contraseñas en el navegador son vulnerables a malware y no se sincronizan bien entre dispositivos. Un gestor dedicado es más seguro.

❌ Cambiarlas frecuentemente

Paradójicamente, forzar cambios frecuentes lleva a contraseñas más débiles (Contraseña1 → Contraseña2). Cámbiala solo si sospechas que está comprometida.

Tres métodos para crear contraseñas fuertes y memorables

Método 1 — El más fácil

Passphrase de 4+ palabras

Elige 4 o más palabras al azar que no tengan relación entre sí. El resultado es largo (alta entropía por longitud) y sorprendentemente memorable porque puedes crear una imagen mental absurda.

🐘 elefante · 🚂 tren · 🌮 taco · 🔵 azul

Contraseña: elefantetrEntacoAzul
O con espacios donde el servicio lo permita: elefante tren taco azul

Crea una imagen: un elefante conduciendo un tren que reparte tacos azules. Eso es imposible de olvidar. La contraseña tiene 20+ caracteres y tardaría siglos en crackearse.

Método 2 — Basado en frase

Primera letra de cada palabra de una frase

Toma una frase que recuerdes bien y usa la primera letra de cada palabra, mezclando mayúsculas, números y símbolos donde tenga sentido.

Frase: "Mi primer trabajo fue en Madrid a los 22 años en 2008"

Contraseña: MptfeMal22ae2008

Es larga, incluye mayúsculas, minúsculas y números, y tú sabes la frase que la genera. Nadie más puede adivinarla sin saber la frase original.

Método 3 — El mejor a largo plazo

Contraseña aleatoria + gestor de contraseñas

Genera una contraseña completamente aleatoria de 20+ caracteres con un generador de contraseñas y guárdala en un gestor. No necesitas recordarla — el gestor lo hace por ti.

Ejemplo generado: xK#9mP$2qL@5nR!7vB3w

Solo necesitas recordar UNA contraseña maestra fuerte
para acceder a todas las demás.

Gestores de contraseñas: la herramienta que cambia todo

Un gestor de contraseñas almacena todas tus contraseñas cifradas, genera contraseñas fuertes automáticamente, las rellena en los formularios y te avisa si alguna aparece en una brecha de datos conocida. Necesitas recordar solo una contraseña maestra.

Bitwarden

Gratis / 10$/año premium

Open source y auditable
Apps en todos los dispositivos
Extensión de navegador
Sincronización en la nube

Recomendado

1Password

3$/mes por usuario

Interfaz muy cuidada
Excelente para familias y equipos
Travel Mode para pasar fronteras
Muy establecido en empresas

KeePassXC

Completamente gratis

100% local, sin nube
Open source
Ideal si no quieres datos en la nube
Curva de aprendizaje mayor

⚠️ La contraseña maestra del gestor es crítica. Usa una passphrase larga y memorable que solo tú conozcas (método 1). Si la olvidas, podrías perder acceso a todas tus contraseñas. Anótala físicamente y guárdala en un lugar seguro (no en tu ordenador).

La segunda capa: autenticación de dos factores (2FA)

Incluso con la mejor contraseña del mundo, si se filtra en una brecha de datos, el atacante puede usarla. La autenticación de dos factores (2FA/MFA) añade una segunda verificación que el atacante no puede obtener aunque tenga tu contraseña.

Los tipos de segundo factor, ordenados de más a menos seguro:

Llave de seguridad física (FIDO2/WebAuthn): YubiKey u similar. Prácticamente impenetrable. El más seguro.
App de autenticación (TOTP): Google Authenticator, Authy, Aegis. Genera códigos de 6 dígitos que cambian cada 30 segundos. Muy seguro.
SMS/llamada de teléfono: Conveniente pero vulnerable a SIM swapping. Úsalo si es la única opción, pero prefiere TOTP.

Lista de verificación: tu seguridad de contraseñas hoy mismo

✓Instala Bitwarden (gratis) y comienza a guardar tus contraseñas
✓Cambia la contraseña de tu correo principal por una de 20+ caracteres generada aleatoriamente
✓Activa 2FA con app de autenticación en tu correo, banco y redes sociales
✓Comprueba en haveibeenpwned.com si tu email aparece en brechas conocidas
✓Identifica las cuentas donde reutilizas contraseñas y cámbialas por contraseñas únicas
✓Asegura la contraseña maestra de tu gestor con la técnica de passphrase

En perspectiva: Si sigues estos pasos, serás más seguro que el 95% de los usuarios de internet. Los atacantes buscan el camino más fácil. Una contraseña única de 20 caracteres con 2FA activado les hace pasar al siguiente objetivo.

Curso disponible ahora

Domina la seguridad digital desde sus fundamentos

Las contraseñas son solo el comienzo. El curso Fundamentos de Ciberseguridad de Edinon cubre criptografía, autenticación avanzada, protección de redes, análisis de amenazas y mucho más. Aprende a proteger sistemas enteros, no solo tus cuentas.

Comenzar gratis Ver el curso

Gratis para empezar · Sin tarjeta de crédito · Certificado incluido

Cómo crear contraseñas segurasque no puedas olvidar