Generador de contraseñas seguras
Genera contraseñas aleatorias y seguras directamente en tu navegador: nunca se transmiten ni se almacenan en ningún servidor. Ajusta la longitud y las clases de caracteres, y revisa la entropía estimada de cada resultado.
Presiona "Generar" para crear una contraseña
Se genera en tu navegador; no la enviamos ni la guardamos.
¿Qué hace segura a una contraseña?
La seguridad de una contraseña frente a un ataque de fuerza bruta depende casi exclusivamente de dos factores: su longitud y el tamaño del alfabeto de caracteres posibles (mayúsculas, minúsculas, números y símbolos). Cuantos más caracteres tenga y de un conjunto más amplio, exponencialmente más intentos necesita un atacante para adivinarla probando combinaciones.
Esta herramienta genera contraseñas usando la API criptográfica del navegador (crypto.getRandomValues), la misma fuente de aleatoriedad que usan los navegadores para operaciones de seguridad como certificados TLS, en vez de Math.random(), que no está diseñada para fines criptográficos y puede llegar a ser predecible.
Qué es la entropía y cómo se mide
La entropía mide, en bits, cuánta incertidumbre tiene una contraseña frente a un atacante que conoce el método de generación pero no el resultado: se calcula como la longitud multiplicada por el logaritmo en base 2 del tamaño del alfabeto usado. Por ejemplo, una contraseña de 12 caracteres usando solo minúsculas (26 posibles) tiene unos 56 bits de entropía, mientras que la misma longitud combinando mayúsculas, minúsculas, números y símbolos (más de 90 caracteres posibles) supera los 78 bits.
Como referencia general, por debajo de 40 bits una contraseña se considera débil frente a ataques de fuerza bruta modernos, entre 40 y 65 bits se considera de fuerza media, y por sobre 65 bits se considera fuerte para la gran mayoría de usos. Aumentar la longitud es, en la práctica, la forma más simple y efectiva de subir la entropía.
Buenas prácticas al usar contraseñas generadas
Usa una contraseña distinta para cada servicio importante (correo, banco, redes sociales), y guárdalas en un gestor de contraseñas en vez de intentar memorizarlas todas o reutilizar la misma en varios sitios: reutilizar contraseñas es uno de los motivos más comunes por los que una filtración en un servicio termina comprometiendo cuentas en otros. La opción de excluir caracteres ambiguos (O/0, I/l/1) ayuda cuando necesitas transcribir la contraseña a mano o dictarla.
Si quieres verificar si una IP asociada a tu conexión aparece en incidentes conocidos de spam o abuso, puedes revisar nuestra herramienta de lista negra (DNSBL).
Preguntas frecuentes sobre el generador de contraseñas
¿Esta contraseña se envía o se guarda en algún servidor?
No: se genera completamente en tu navegador usando crypto.getRandomValues y nunca sale de tu equipo. No hay ninguna llamada de red asociada a esta herramienta.
¿Por qué usar crypto.getRandomValues en vez de Math.random()?
Porque Math.random() no está diseñado para fines de seguridad: en varios motores de JavaScript su secuencia puede llegar a predecirse tras observar suficientes valores. crypto.getRandomValues usa el generador criptográfico del sistema operativo, adecuado para contraseñas, tokens y claves.
¿Qué significa que la selección de caracteres sea insesgada?
Que cada carácter del alfabeto elegido tiene exactamente la misma probabilidad de aparecer. Un enfoque ingenuo (byte aleatorio módulo el tamaño del alfabeto) favorece levemente a los primeros caracteres cuando 256 no es múltiplo exacto del alfabeto; por eso descartamos los bytes que causarían ese sesgo (rejection sampling).
¿Qué pasa si desmarco las 4 clases de caracteres?
El botón de generar se deshabilita: no es posible crear una contraseña sin al menos una clase de caracteres activa, y no forzamos ninguna por ti para no cambiar tu elección sin avisarte.
¿Cuántos caracteres debería tener mi contraseña?
Para la mayoría de los servicios actuales se recomienda al menos 16 caracteres combinando varias clases, lo que suele superar los 65 bits de entropía (fuerza "fuerte" según nuestro medidor). Servicios más sensibles o contraseñas maestras de un gestor pueden justificar 20 o más.