contraseña.org
● Guía completa

Cómo crear una contraseña segura

Lo único que necesitas leer sobre contraseñas. Qué hace que una clave sea fuerte, por qué importa la longitud más que los símbolos, cómo crear una frase memorable y dónde guardarla sin riesgos.

Actualizado: mayo 2026 Lectura: 9 min Categoría: Fundamentos

Qué hace fuerte a una contraseña

Una contraseña segura cumple tres condiciones a la vez: es larga, es única para esa cuenta y es imprevisible. Si falla una sola de las tres, todas las demás precauciones pierden valor. Una clave de 30 caracteres reutilizada en cinco sitios es tan peligrosa como una de seis: en cuanto el sitio más débil sufra una brecha, la clave queda comprometida para todos los demás.

El resto de criterios que verás en muchos servicios (mayúsculas, números, símbolos) son útiles, pero secundarios. Aumentan la entropía, sí, pero solo si parten de una base de longitud suficiente. Un símbolo añadido al final de «Madrid2024!» no convierte esa contraseña en segura, porque el patrón general sigue siendo predecible para los algoritmos de ataque modernos.

El concepto de entropía, sin matemáticas

La entropía mide la cantidad de incertidumbre que un atacante encuentra al adivinar tu contraseña. Cada bit de entropía dobla el número de intentos necesarios. Una clave de 40 bits requiere mil millones de pruebas; una de 60 bits, mil billones; una de 80 bits, mil trillones. La diferencia entre 50 y 80 bits no es «un poco más segura»: es la diferencia entre «la rompen esta tarde» y «no la rompen nunca».

Longitud frente a complejidad

Durante años se enseñó que la complejidad (mezcla de mayúsculas, números y símbolos) era la clave de una buena contraseña. La industria ha cambiado de opinión. El NIST en Estados Unidos y el NCSC en Reino Unido publican desde hace años recomendaciones que insisten en lo contrario: la longitud importa mucho más que la complejidad obligatoria.

El motivo es práctico. Las reglas estrictas de complejidad llevan a las personas a usar patrones predecibles: empezar con mayúscula, terminar con un número, sustituir «a» por «@». Los atacantes conocen esos patrones y los prueban primero. Una contraseña larga, aunque solo tenga minúsculas, expande tanto el espacio de búsqueda que esos atajos pierden eficacia.

  • Menos de 10 caracteres: insuficiente en 2026, da igual qué símbolos mezcles.
  • 12 a 14 caracteres: mínimo aceptable para cuentas habituales con tipos variados.
  • 16 a 20 caracteres: objetivo razonable para casi todo.
  • 24 caracteres o más: recomendado para correo, banca, gestor de contraseñas y cifrado.
Regla práctica Si una contraseña la va a recordar un gestor, hazla lo más larga que admita el sitio. Si la vas a recordar tú, conviértela en una frase de varias palabras.

El método de la frase de contraseña

Una frase de contraseña (passphrase) es una secuencia de varias palabras independientes elegidas al azar. La diferencia con una contraseña normal es que las palabras son fáciles de recordar y la longitud llega sola: «caballo-batería-grapa-correcto» son 30 caracteres y se memorizan en cinco minutos.

La condición innegociable es que las palabras sean aleatorias de verdad. Tu primera frase favorita, el verso de una canción conocida o el nombre de tus hijos son malas frases de contraseña: un atacante con un poco de información sobre ti las adivinaría rápido. Para que la entropía sea real, deja que un generador elija las palabras por ti.

Cuántas palabras necesitas

Con un diccionario de unas 200 palabras (como el del generador de frases en español de este sitio), la entropía aproximada por palabra es de 7-8 bits:

  • 4 palabras: ~30 bits, justito.
  • 5 palabras: ~38 bits, aceptable.
  • 6 palabras: ~46 bits, recomendable.
  • 7 palabras: ~53 bits, óptimo para uso diario.

Si añades un número o capitalizas alguna palabra al azar, ganas un par de bits adicionales. Para tu contraseña maestra del gestor —la única que tendrás que recordar de memoria— apunta a 6-7 palabras.

Errores frecuentes que debes evitar

Los siguientes hábitos son responsables de la mayoría de las cuentas comprometidas. Si reconoces alguno, es buen momento para arreglarlo:

  • Reutilizar la misma clave en dos o más servicios. Es el error con más impacto: una sola filtración derriba todas tus cuentas.
  • Usar información personal: nombre, apellidos, fecha de nacimiento, equipo, mascota. Todo eso es público en redes sociales.
  • Pequeñas variaciones: «Madrid2024», «Madrid2025», «Madrid2026!». Los atacantes prueban estas variantes antes que las claves verdaderamente nuevas.
  • Sustituciones obvias: «p@ssw0rd», «c0ntr4señ4». Los diccionarios de ataque incluyen estas transformaciones de serie.
  • Patrones de teclado: «qwerty», «asdfgh», «1qaz2wsx». Caen en los primeros segundos.
  • Enviar contraseñas por correo o chat. Los servidores guardan registros, los dispositivos quedan abiertos, las copias se replican.
  • Guardarlas en el navegador sin contraseña maestra. Si alguien accede a tu sesión sin bloqueo, accede a todo.
Atención Los formularios que piden cambiar la contraseña cada 30, 60 o 90 días son mala práctica si fuerzan rotación rutinaria sin filtración. Hacen que la gente use variaciones predecibles. Cambia solo cuando hay motivo.

Cómo recordarlas sin apuntarlas en una nota

La pregunta inevitable: «¿cómo voy a recordar contraseñas distintas y largas para cada cuenta?». No tienes que hacerlo. La respuesta moderna es delegarlo en un gestor de contraseñas. Solo memorizas una clave maestra; el gestor recuerda el resto, las rellena solo en el sitio correcto, te avisa de filtraciones y detecta páginas falsas.

Si un gestor te parece un salto grande, una solución intermedia válida es apuntar tus claves más importantes en papel, en un lugar físicamente seguro de tu casa (no debajo del teclado). Es mejor un papel guardado que reutilizar la misma clave en todas partes. Pero el gestor es claramente superior en cuanto te acostumbras.

Para tu contraseña maestra, usa una frase de 6-7 palabras al azar, escríbela varias veces el primer día para fijar la memoria muscular, y considérala intocable. No se comparte, no se envía, no se anota en sitios fáciles de encontrar.

Plan de acción en 5 pasos

Sigue este orden esta semana

  1. Instala un gestor de contraseñas.Revisa nuestra guía de gestores para elegir uno. Hay opciones gratuitas y de código abierto.
  2. Crea una contraseña maestra fuerte.Una frase de 6-7 palabras al azar. La memorizas en una tarde y no la cambias salvo emergencia.
  3. Empieza por las cuentas críticas.Correo electrónico, banca, gestor, almacenamiento en la nube. Cambia esas contraseñas por nuevas, aleatorias y largas con el generador.
  4. Activa la verificación en dos pasos.En las mismas cuentas. Una app de autenticación es mejor que un SMS. Mira la guía de 2FA.
  5. Migra el resto poco a poco.Cada vez que entres en un servicio antiguo, cambia su contraseña por una nueva del gestor. En unas semanas habrás migrado todo sin esfuerzo.

Preguntas frecuentes

¿Cuál es la longitud mínima recomendable en 2026?

14 caracteres es el mínimo razonable. Para cuentas críticas como correo, banca o gestor de contraseñas, sube a 20-24 caracteres. El generador de Contraseña.org admite hasta 64 si el sitio lo permite.

¿Es mejor una contraseña aleatoria o una frase de contraseña?

Depende de si tienes que recordarla tú o no. Para tu contraseña maestra y para cualquier clave que necesites memorizar, una frase de 5-7 palabras es óptima. Para las cuentas que un gestor recuerda por ti, una clave aleatoria larga aprovecha mejor el alfabeto disponible.

¿Hay que cambiar las contraseñas cada cierto tiempo?

No por rutina. Cámbialas solo cuando hay una filtración confirmada, sospecha de acceso indebido o si reutilizabas esa misma clave en otro sitio. El cambio forzoso periódico empeora la seguridad porque empuja a usar variaciones predecibles.

¿Apuntar las contraseñas en papel es inseguro?

Para casi todo el mundo es más seguro un papel guardado en casa que una clave reutilizada o débil. Un gestor sigue siendo mejor opción, pero el papel cumple mientras te organizas. Lo que sí debes evitar es apuntarlas en notas adhesivas pegadas al monitor o en archivos sin cifrar.

¿Puedo confiar en el guardado de contraseñas del navegador?

Los navegadores modernos (Chrome, Firefox, Safari, Edge) tienen sistemas decentes, sobre todo si activas el bloqueo del dispositivo y la sincronización cifrada. Para uso doméstico cumplen. Un gestor dedicado sigue siendo mejor por funcionalidades extra (compartición segura, auditoría, alertas).

Sigue aprendiendo

Generador de contraseñas

Pasa de la teoría a la práctica. Crea una contraseña fuerte en segundos.

Gestores de contraseñas

Compara opciones, entiende el modelo de seguridad y elige el adecuado para ti.

Autenticación en dos pasos

La segunda capa que detiene a la mayoría de los accesos no autorizados.

Crea tu contraseña fuerte ahora

Aplica todo lo que acabas de leer en menos de un minuto: longitud, aleatoriedad y exclusión de caracteres ambiguos. Local, gratis y sin registro.

Abrir generador