Si todavía estás escogiendo contraseñas como Empresa2024! y cambiándolas cada tres meses, estás siguiendo reglas de hace 20 años. Las directrices oficiales — NIST en Estados Unidos, ENISA en Europa — han pivotado por completo: la longitud importa mucho más que la “complejidad”, y forzar cambios frecuentes empeora la seguridad porque la gente termina en Empresa2024!1, Empresa2024!2, etc.
Estos son los principios que de verdad funcionan hoy.
Longitud > complejidad
Una contraseña de 8 caracteres con mayúsculas, minúsculas, números y símbolos tiene unas 10^15 combinaciones posibles. Hoy una GPU moderna las prueba todas en minutos.
Una contraseña de 20 caracteres aleatorios — aunque sean solo minúsculas — tiene 10^28. Esa misma GPU necesitaría billones de años para agotarla.
Regla práctica: apunta a 16-20 caracteres mínimo para cuentas importantes. La complejidad ayuda, pero la longitud es lo que cambia el juego.
Cada cuenta, una contraseña distinta
El ataque más común hoy no es “alguien adivinó tu contraseña”. Es esto:
- Una empresa donde te registraste sufre una filtración.
- Los atacantes obtienen tu email + contraseña en texto plano o con hash débil.
- Prueban ese par en cientos de otros sitios — Gmail, banco, redes sociales.
- En el sitio donde reutilizaste, entran.
Se llama credential stuffing y representa más del 30% de los intentos de login mundiales. Una contraseña única por cuenta lo neutraliza por completo.
Usa un gestor de contraseñas. En serio.
Memorizar 200 contraseñas únicas de 20 caracteres es imposible para un humano. Por eso existen los gestores: Bitwarden (open source), 1Password, Dashlane, Proton Pass, etc. Generan contraseñas únicas por cuenta, las recuerdan por ti, y solo tienes que memorizar una contraseña maestra fuerte.
El truco mental: deja de pensar en “qué contraseña pongo”. El gestor la inventa, tú nunca la ves ni la escribes. Tu único trabajo es proteger el gestor con una contraseña maestra larga (frase de 5-6 palabras al azar) y MFA.
El segundo factor no es opcional
Una contraseña sola es un punto único de falla. Con MFA (autenticación de dos factores), aunque alguien obtenga tu contraseña, necesita además el código del segundo dispositivo.
Prioridades, de mejor a peor:
- Llaves de seguridad físicas (YubiKey, similar). Imposible de phishear. Caro pero ideal para cuentas críticas.
- Apps de autenticación (Google Authenticator, Authy, Aegis). Gratis, no se reciben por SMS.
- SMS. Vulnerable a SIM swap. Mejor que nada, pero el menos seguro.
Si tienes que escoger una sola cuenta para proteger con MFA hoy, es tu cuenta de email principal — porque desde ahí se restablecen todas las demás.
Las “reglas” viejas que ya no aplican
- “Cambia la contraseña cada 90 días.” Solo si hay sospecha de filtración. Cambios forzados llevan a contraseñas más débiles, no más seguras.
- “Debe tener mayúscula, número, símbolo.” Útil si la cuenta tiene límite de longitud bajo. Si puedes usar 20+ caracteres, la longitud sustituye la complejidad.
- “No la escribas en ningún lado.” Un cuaderno físico guardado en casa es objetivamente más seguro que reutilizar una contraseña en internet. (Aunque un gestor sigue siendo mejor.)
Genera contraseñas seguras en tu navegador
Si necesitas una contraseña nueva ahora — para una cuenta puntual, para configurar un servicio, para entregarle a un cliente — construimos un generador que corre 100% en tu navegador usando crypto.getRandomValues (la fuente criptográficamente segura del navegador):
→ Abre el Generador de Contraseñas
Ajusta la longitud, elige qué tipos de caracteres incluir, y obtén una contraseña fuerte sin que nada salga de tu equipo.
Si tu equipo todavía comparte contraseñas por WhatsApp, en un Google Sheet, o por correo — eso es un incidente esperando a ocurrir. Implementar un gestor compartido (Bitwarden o 1Password tienen planes Teams económicos) es una de las inversiones de seguridad con mejor retorno que puedes hacer este año.