Todos debemos estar atentos a la creación de contraseñas matemáticamente impenetrables. Y si usted es una de las cientos de miles de personas que usan nombres y fechas de nacimiento en sus contraseñas(nueva ventana), entonces definitivamente es hora de reforzar la seguridad de su inicio de sesión.

En este artículo, explicamos cómo estimar y mejorar la entropía de su contraseña, lo cual es excelente para su seguridad en línea. Pero existe un inconveniente: maximizar la entropía de una contraseña básicamente significa hacer que sea imposible de recordar para usted. Como siempre, existe una tira cómica de XKCD(nueva ventana) que resume el problema.

Dada la cantidad de servicios en línea a los que nos registramos (docenas, al menos), es casi imposible que una persona promedio memorice una contraseña fuerte para cada uno.

Es por eso que nuestra recomendación es utilizar un gestor de contraseñas como Proton Pass, que puede generar contraseñas con una entropía extremadamente alta. Las recordará y las completará automáticamente por usted.

A continuación, explicamos qué significa la entropía de una contraseña, cómo puede calcularla y cómo afecta a la seguridad de su contraseña. Esto puede ayudarle a seleccionar los ajustes más seguros en su gestor de contraseñas (o a evitar inicios de sesión para servicios que requieren contraseñas con una entropía muy baja).

¿Qué significa “entropía de la contraseña”?

La entropía de la contraseña se refiere a lo impredecible que es su contraseña o frase, medida en bits. Por lo general, cuantos más bits de entropía existan, más compleja será la contraseña y más difícil será romperla mediante ataques de fuerza bruta.

Los atacantes de fuerza bruta utilizan el método de prueba y error para adivinar combinaciones de caracteres en credenciales de inicio de sesión, contraseñas y datos cifrados.

Por ejemplo, muchos hackers utilizan scripts complejos y máquinas para automatizar miles de intentos de adivinar contraseñas en cuestión de minutos. En uno de los casos más reveladores, los investigadores procesaron hasta 350 mil millones de intentos de contraseña(nueva ventana) por segundo.

Los atacantes utilizan ataques de fuerza bruta para exponer contraseñas débiles rápidamente. Al medir y priorizar la entropía de sus contraseñas, puede ayudar a evitar que estos datos caigan en manos equivocadas.

¿Cómo afecta la entropía de la contraseña a su seguridad?

Varios factores afectan a la entropía de una contraseña y, por lo tanto, a su seguridad. Usted deberá considerar los siguientes aspectos de su contraseña:

  • Longitud (en caracteres)
  • Uso de letras mayúsculas y minúsculas
  • Uso de caracteres numéricos
  • Uso de símbolos especiales

De todos los elementos enumerados aquí, la longitud de la contraseña es lo más importante. Una frase de contraseña lo suficientemente larga derrotará a casi cualquier ataque de fuerza bruta. Además, puede aumentar aún más la entropía utilizando letras mayúsculas al azar, símbolos especiales y números.

Sin embargo, la entropía no se trata solo de qué tan larga o compleja parece su contraseña. También puede depender de cómo se creó. Una cadena verdaderamente aleatoria tiene una entropía mucho mayor que una palabra o frase común, incluso si ambas tienen la misma longitud.

Los hackers pueden utilizar ataques de diccionario para adivinar sus credenciales si utiliza una palabra reconocible o una frase común en su contraseña.

Un atacante mediante diccionario automatiza los intentos de fuerza bruta de cada palabra que aparece en un diccionario y que podría utilizarse dentro de una contraseña.

Por lo tanto, independientemente de la entropía de su contraseña, usted sigue en riesgo de ser hackeado si utiliza nombres de mascotas, equipos deportivos u otras contraseñas comunes (por ejemplo, nunca utilice “password”) en sus detalles de inicio de sesión.

Cómo calcular la entropía de una contraseña

Explicamos cómo calcular la entropía de una contraseña, pero es importante tener en cuenta que esto es simplemente una demostración. No puede estimar de forma segura la entropía de una contraseña basándose en su apariencia. Las contraseñas generadas por humanos, incluso las largas, suelen ser altamente predecibles. A menos que se haya creado con un generador aleatorio, usted debe asumir que la entropía es menor de lo que piensa.

Suponiendo que usted utiliza una cadena de caracteres aleatoria, la entropía de la contraseña se mide en bits y depende de dos factores principales:

  1. La cantidad de caracteres disponibles en el rango de caracteres elegido para la contraseña
  2. La cantidad de caracteres en la contraseña

Por lo tanto, la entropía de la contraseña aumenta cuanto más larga es la contraseña y más amplio es su rango de caracteres posible. Una contraseña larga que utilice letras mayúsculas, letras minúsculas, símbolos y números, como kmXz2=zs[m%7?y4A, tendrá una entropía muy alta.

Una contraseña que solo utilice letras minúsculas o números, como dzormybs o 119022833, tendrá una entropía muy baja.

Las frases de contraseña son más fáciles de recordar, pero usted debe tener cuidado. Deben ser más largas para crear niveles similares de entropía. Por ejemplo, una frase de contraseña como HelpFidoSaveChocolate33! parece compleja, pero debido a que utiliza cuatro palabras comunes en inglés y una combinación predecible de números y símbolos al final, su entropía real puede estar más cerca de los 50 bits. Esto es mucho menos que la entropía de kmXz2=zs[m%7?y4A, a pesar de que es ocho caracteres más corta.

¿Qué son los bits de entropía?

Los bits de entropía miden lo difícil que es descifrar una contraseña. Por ejemplo, una contraseña que usted ya conoce tiene cero bits.

Mediante una fórmula, podemos calcular cuántos bits de entropía contiene una contraseña y, con ellos, cuántos intentos necesitaría el script o la máquina de un atacante para obtener acceso.

Sin embargo, antes de que podamos calcular la entropía de la contraseña, necesitamos medir todos los diferentes rangos de caracteres posibles.

Medición de los rangos de caracteres

La siguiente tabla demuestra cómo aumentan sus opciones de caracteres cuando usted añade diferentes caracteres a su contraseña si escribe en inglés. La cantidad de letras y símbolos puede variar según el idioma que utilice.

Tipo de carácterEjemplo(s)Tamaño del rango
Numéricos0, 1, 2, 310
Letras latinas (minúsculas)a, b, c, d26
Letras latinas (mayúsculas)A, B, C, D26
Símbolos especiales!, @, %, $32

Cuantas más opciones de caracteres potenciales usted proporcione a los hackers, mayor será la entropía de su contraseña. Por lo tanto, priorice un rango de caracteres lo más amplio posible y utilice una mezcla de los cuatro tipos.

Aquí tiene algunos ejemplos de contraseñas y sus rangos de caracteres totales:

EjemploRango total de caracteres
11223310
abcde26
a1b2c3d436
a1B2c3D462
a1!B2%c3^D494

Recuerde que los datos anteriores le muestran el tamaño potencial de los rangos de caracteres, no los bits de entropía. Necesitamos usar una fórmula específica para calcular la entropía precisa de las contraseñas en bits.

Fórmula de entropía de la contraseña

Puede medir la entropía de una contraseña en bits usando la siguiente fórmula:

E = L × log2(R)

En esta fórmula:

  • E es la entropía de su contraseña
  • R es el rango posible de tipos de caracteres en su contraseña (las tablas que se muestran arriba)
  • L es el número de caracteres en su contraseña (su longitud)
  • Log2 responde a la pregunta «¿a qué potencia debe elevarse el número 2 para igualar este número?»

Usando esta fórmula, así es como se miden en bits algunos ejemplos de contraseñas:

EjemploRango de caracteresLongitud de la contraseñaCálculoBits de entropía
fygwcbjnhsbh2612 caract.E = 12 x 4,756,4
HzgNhHkY1WQ8AM6214 caract.E = 14 x 5,9583,3
kmXz2=zs[m%7?y4A9416 caract.E = 16 x 6,55104,8

Las matemáticas nos muestran que cuanto más larga y compleja sea una contraseña, más bits de entropía tendrá.

Recuerde que estos cálculos solo se aplican a contraseñas generadas aleatoriamente. Las frases de contraseña que utilizan palabras comunes deben ser más largas y utilizar palabras poco comunes y no relacionadas (e idealmente números y símbolos) para generar un nivel de seguridad similar.

Y recuerde, estos cálculos son más para demostración que para uso práctico. Usted debe confiar en los generadores de contraseñas en lugar de intentar calcular por su cuenta qué tan fuerte es una contraseña.

Puede usar nuestro generador de contraseñas gratuito para experimentar y ver qué tan fuertes son las diferentes contraseñas.

Nuevamente, la entropía es solo una medida de seguridad. Para evitar ataques de diccionario, evite usar contraseñas o frases comunes. También debe evitar el uso de información personal, como su fecha de nacimiento, el nombre de su mascota o el nombre de su calle en su contraseña, ya que los atacantes pueden obtener esta información.

¿Cuándo se considera fuerte una contraseña?

Por lo general, una contraseña fuerte o de alta entropía obtiene al menos 75 bits. Cualquier cosa con menos de 72 bits es razonablemente fácil de descifrar para una máquina.

Calculamos el número máximo de intentos potenciales utilizando el cálculo 2 ^ (número de bits). Es la cantidad de veces que el número 2 se duplica para alcanzar el número total de bits.

Por ejemplo, una contraseña con 10 bits de entropía, usando 2 ^ 10, necesitaría un máximo de 1024 intentos para ser descifrada. Por lo general, se trata de una contraseña numérica de tres caracteres, como 456.

Intente obtener una entropía de más de 100 bits para crear una contraseña fuerte, aspirando a la cifra más alta posible. Cuanto mayor sea la entropía, más tiempo le tomará a las máquinas descifrar una contraseña mediante fuerza bruta.

Las reglas para crear una contraseña de alta entropía difieren mucho según el experto en seguridad con el que hable, pero hay algunas reglas generales en las que todos podemos estar de acuerdo:

  1. Su contraseña debe tener al menos 14 caracteres de longitud y utilizar una combinación de caracteres (no solo letras minúsculas del alfabeto latino básico)
  2. Debe evitar el uso de frases o términos que sean significativos para usted (y que, por lo tanto, sean fáciles de adivinar)
  3. Una contraseña fuerte no se conecta con su nombre de usuario (trate siempre ambos como entidades separadas)
  4. Existe una combinación de al menos una letra minúscula, una letra mayúscula, un número y un carácter especial (por ejemplo, %, ^, *, &, @, ~, etc.)

También recomendamos utilizar una lista de bloqueo de contraseñas para ayudar a evitar el uso de palabras o frases elegidas popularmente en la web. Por ejemplo, el proyecto de contraseñas incorrectas del NIST(nueva ventana) es una herramienta de código abierto popular para crear frases con alta entropía.

Si busca crear una contraseña de administrador segura para su gestor de contraseñas, considere las siguientes directrices

En resumen, una contraseña realmente segura contiene, por ejemplo:

  • Al menos una letra mayúscula
  • Al menos una letra minúscula
  • Al menos un símbolo especial
  • Al menos un dígito
  • Al menos 14 caracteres (o al menos 30 para frases de contraseña, asumiendo que las palabras no son comunes ni están relacionadas)

El ejemplo anterior, kmXz2=zs[m%7?y4A, cumple con todos estos requisitos y crea una contraseña con aproximadamente 105 bits de entropía, lo que tomaría un tiempo imposiblemente largo de descifrar mediante fuerza bruta.

Genere contraseñas seguras con Proton Pass

La única forma de generar y recordar suficientes contraseñas seguras para todas sus cuentas en línea es utilizar un gestor de contraseñas. Proton Pass genera frases seguras para usted con un clic. Puede usarlo para crear frases de contraseña de 10 palabras o contraseñas aleatorias de 64 caracteres, y le brinda control sobre si cada contraseña utiliza números, letras mayúsculas y caracteres especiales, en caso de que desee maximizar la entropía de sus contraseñas.

Con Proton Pass, sus contraseñas no solo son difíciles de descifrar, sino que están almacenadas con cifrado de extremo a extremo y respaldadas por una autenticación de dos factores segura a través del gestor de contraseñas gratuito más seguro del mundo. Lea el modelo de seguridad de Proton Pass para obtener más información.

Si la entropía de las contraseñas le confunde, regístrese en Proton Pass. Le ayudaremos a generar, almacenar y asegurar contraseñas para resistir ataques maliciosos.

Actualización del 18 de noviembre de 2025: Este artículo fue actualizado para explicar más claramente los problemas de intentar calcular la entropía de las frases de contraseña y las contraseñas en general. La complejidad de las contraseñas es fácil de sobreestimar a menos que se generen de forma verdaderamente aleatoria.

Preguntas frecuentes

¿Qué es la complejidad de una contraseña frente a la entropía de una contraseña?

La complejidad de una contraseña generalmente se refiere a su rango potencial de caracteres, mientras que la entropía de una contraseña se refiere a las matemáticas detrás de lo difícil que es adivinarla. La entropía se mide en bits, lo que a su vez le indica cuántas suposiciones de fuerza bruta tomará descifrar una contraseña.

¿Cuál es la entropía de una contraseña de cuatro palabras?

Depende de cómo se seleccionaron las palabras. Si se eligieron al azar (por ejemplo, usando una lista Diceware), cada palabra añade aproximadamente 12–13 bits de entropía. Por lo tanto, una frase de contraseña aleatoria de cuatro palabras tendría aproximadamente 50–52 bits de entropía. Pero si las palabras fueron elegidas por una persona, la entropía puede ser mucho menor.

¿Qué significan 128 bits de entropía?

128 bits de entropía significan que su contraseña requeriría 2¹²⁸ intentos de fuerza bruta; eso es más que el número de átomos en el universo. Para fines prácticos, cualquier cifra superior a 100 bits es segura. Incluso las contraseñas con 75–80 bits se consideran resistentes a todos los ataques de fuerza bruta conocidos hoy en día.