Todos debemos estar atentos a la hora de crear contraseñas matemáticamente impenetrables. Y si eres una de las cientos de miles de personas que utilizan nombres y fechas de nacimiento en sus contraseñas(ventana nueva), sin duda ha llegado el momento de reforzar la seguridad de tu inicio de sesión.

En este artículo explicamos cómo estimar y mejorar la entropía de tu contraseña, lo cual es excelente para tu seguridad online. Pero hay un inconveniente: maximizar la entropía de una contraseña básicamente significa hacer que sea imposible de recordar para ti. Como siempre, hay una tira cómica de XKCD(ventana nueva) que resume el problema.

Dada la cantidad de servicios online a los que nos registramos (al menos docenas), es casi imposible para una persona promedio memorizar una contraseña segura para cada uno.

Por eso, nuestra recomendación es utilizar un gestor de contraseñas como Proton Pass, que puede generar contraseñas con una entropía extremadamente alta. Las recordará y las completará por ti mediante el relleno automático.

A continuación, explicamos qué significa la entropía de las contraseñas, cómo puedes calcularla y cómo afecta a la seguridad de tu contraseña. Esto puede ayudarte a seleccionar los ajustes más seguros en tu gestor de contraseñas (o evitar inicios de sesión en servicios que requieren contraseñas con una entropía muy baja).

¿Qué significa “entropía de contraseña”?

La entropía de una contraseña se refiere a lo impredecible que es tu contraseña o frase de contraseña, y se mide en bits. Normalmente, cuantos más bits de entropía tenga, más compleja será la contraseña y más difícil será romperla mediante ataques de fuerza bruta.

Los atacantes de fuerza bruta utilizan el método de prueba y error para adivinar combinaciones de caracteres en credenciales de inicio de sesión, contraseñas y datos de cifrado.

Por ejemplo, muchos hackers utilizan scripts complejos y máquinas para automatizar miles de intentos de adivinación de contraseñas en pocos minutos. En uno de los casos más reveladores, los investigadores procesaron hasta 350 mil millones de intentos de contraseña(ventana nueva) por segundo.

Los atacantes usan ataques de fuerza bruta para exponer rápidamente las contraseñas débiles. Al medir y priorizar la entropía de tus contraseñas, puedes ayudar a evitar que estos datos caigan en manos equivocadas.

¿Cómo afecta la entropía de la contraseña a su seguridad?

Varios factores afectan a la entropía de una contraseña y, por tanto, a su seguridad. Necesitarás considerar lo siguiente de tu contraseña:

  • Longitud (en caracteres)
  • Uso de letras mayúsculas y minúsculas
  • Uso de caracteres numéricos
  • Uso de símbolos especiales

De todos los elementos enumerados aquí, la longitud de la contraseña es el factor más importante. Una frase de contraseña lo suficientemente larga derrotará a casi cualquier ataque de fuerza bruta. Y puedes aumentar la entropía aún más usando letras mayúsculas aleatorias, símbolos especiales y números.

Sin embargo, la entropía no se trata solo de qué tan larga o compleja parezca tu contraseña. También puede depender de cómo fue creada. Una cadena verdaderamente aleatoria tiene mucha más entropía que una palabra o frase común, incluso si ambas tienen la misma longitud.

Los hackers pueden utilizar ataques de diccionario para adivinar tus credenciales si usas una palabra reconocible o una frase común en tu contraseña.

Un atacante de diccionario automatiza las adivinanzas de fuerza bruta de cada palabra en un diccionario que podría ser utilizada dentro de una contraseña.

Por lo tanto, independientemente de la entropía de tu contraseña, sigues corriendo el riesgo de ser hackeado si usas nombres de mascotas, equipos deportivos u otras contraseñas comunes (por ejemplo, nunca uses “password”) en tus detalles de inicio de sesión.

Cómo calcular la entropía de una contraseña

Explicamos cómo calcular la entropía de una contraseña, pero es importante tener en cuenta que esto es simplemente una demostración. No puedes estimar de forma segura la entropía de una contraseña basándote en su apariencia. Las contraseñas generadas por humanos, incluso las largas, suelen ser altamente predecibles. A menos que haya sido creada con un generador aleatorio, debes asumir que la entropía es menor de lo que crees.

Asumiendo que utilizas una cadena aleatoria de caracteres, la entropía de la contraseña se mide en bits y depende de dos factores principales:

  1. El número de caracteres disponibles en el rango elegido para la contraseña
  2. El número de caracteres en la contraseña

Por lo tanto, la entropía de la contraseña aumenta cuanto más larga es esta y más amplio es tu posible rango de caracteres. Una contraseña larga que utiliza letras mayúsculas, minúsculas, símbolos y números, como kmXz2=zs[m%7?y4A, tendrá una entropía muy alta.

Una contraseña que solo utiliza letras minúsculas o números, como dzormybs o 119022833, tendrá una entropía muy baja.

Las frases de contraseña son más fáciles de recordar, pero debes tener cuidado. Deben ser más largas para crear niveles similares de entropía. Por ejemplo, una frase de contraseña como HelpFidoSaveChocolate33! parece compleja, pero debido a que usa cuatro palabras comunes en inglés y una combinación predecible de números y símbolos al final, su entropía real puede estar más cerca de los 50 bits. Esto es mucho menos que la entropía de kmXz2=zs[m%7?y4A, aunque sea ocho caracteres más corta.

¿Qué son los bits de entropía?

Los bits de entropía miden lo difícil que es romper una contraseña. Por ejemplo, una contraseña que ya conoces tiene cero bits.

Usando una fórmula, podemos calcular cuántos bits de entropía hay en una contraseña y, con ellos, cuántos intentos necesitaría el script o la máquina de un atacante para acceder.

Sin embargo, antes de que podamos calcular la entropía de la contraseña, necesitamos medir todos los diferentes rangos posibles de caracteres.

Medición de los rangos de caracteres

La siguiente tabla demuestra cómo aumentan tus opciones de caracteres cuando añades diferentes caracteres a tu contraseña si escribes en inglés. El número de letras y símbolos puede variar según el idioma que utilices.

Tipo de carácterEjemplo(s)Tamaño del rango
Numéricos0, 1, 2, 310
Letras latinas (minúsculas)a, b, c, d26
Letras latinas (mayúsculas)A, B, C, D26
Símbolos especiales!, @, %, $32

Cuantas más opciones de caracteres posibles ofrezcas a los hackers potenciales, mayor será la entropía de tu contraseña. Por lo tanto, prioriza un rango de caracteres tan amplio como sea posible y utiliza una mezcla de los cuatro tipos.

Aquí tienes algunos ejemplos de contraseñas y sus rangos totales de caracteres:

EjemploRango total de caracteres
11223310
abcde26
a1b2c3d436
a1B2c3D462
a1!B2%c3^D494

Recuerda, los datos anteriores te muestran el tamaño potencial de los rangos de caracteres, no los bits de entropía. Debemos usar una fórmula específica para calcular la entropía precisa de las contraseñas en bits.

Fórmula de entropía de la contraseña

Puedes medir la entropía de una contraseña en bits usando la siguiente fórmula:

E = L × log2(R)

En esta fórmula:

  • E es la entropía de tu contraseña
  • R es el rango posible de tipos de caracteres en tu contraseña (las tablas que se muestran arriba)
  • L es el número de caracteres en tu contraseña (su longitud)
  • Log2 responde a la pregunta “a qué potencia debe elevarse 2 para igualar este número”

Usando esta fórmula, así es como se miden en bits algunas contraseñas de ejemplo:

EjemploRango de caracteresLongitud de la contraseñaCálculoBits de entropía
fygwcbjnhsbh2612 caracteres.E = 12 x 4,756,4
HzgNhHkY1WQ8AM6214 caracteres.E = 14 x 5,9583,3
kmXz2=zs[m%7?y4A9416 caracteres.E = 16 x 6,55104,8

Las matemáticas nos muestran que cuanto más larga y compleja es una contraseña, más bits de entropía tiene.

Recuerda, estos cálculos solo se aplican a contraseñas generadas aleatoriamente. Las frases de contraseña que utilizan palabras comunes deben ser más largas y usar palabras poco comunes y no relacionadas (e idealmente números y símbolos) para generar un nivel de seguridad similar.

Y recuerda, estos cálculos son más para fines de demostración que para uso práctico. Debes confiar en los generadores de contraseñas en lugar de intentar calcular tú mismo la fortaleza de una contraseña.

Puedes usar nuestro generador de contraseñas gratuito para experimentar y ver qué tan seguras son diferentes contraseñas.

Una vez más, la entropía es solo una medida de fortaleza. Para evitar ataques de diccionario, evita el uso de contraseñas o frases comunes. También debes evitar el uso de información personal, como tu fecha de nacimiento, el nombre de tu mascota o el nombre de tu calle para tu contraseña, ya que los atacantes pueden obtener esta información.

¿Cuándo se considera fuerte una contraseña?

Generalmente, una contraseña fuerte o de alta entropía obtiene una puntuación de al menos 75 bits. Cualquier cosa con menos de 72 bits es razonablemente fácil de descifrar para una máquina.

Calculamos el número máximo de intentos potenciales utilizando el cálculo 2 ^ (número de bits). Es la cantidad de veces que el número 2 se duplica para alcanzar el número total de bits.

Por ejemplo, una contraseña con 10 bits de entropía, usando 2 ^ 10, necesitaría un máximo de 1024 intentos para ser descifrada. Por lo general, se trata de una contraseña numérica de tres caracteres, como 456.

Intenta que la entropía supere los 100 bits para crear una contraseña fuerte, apuntando lo más alto posible. Cuanto mayor sea la entropía, más tiempo le llevará a las máquinas forzar una contraseña correcta.

Las reglas para crear una contraseña de alta entropía difieren mucho según el experto en seguridad con el que hables, pero hay algunas reglas generales en las que todos podemos estar de acuerdo:

  1. Tu contraseña debe tener al menos 14 caracteres de longitud y usar una mezcla de caracteres (no solo letras minúsculas del alfabeto latino básico)
  2. Debes evitar el uso de frases o términos que sean significativos para ti (y que, por lo tanto, sean fáciles de adivinar)
  3. Una contraseña fuerte no debe estar relacionada con su nombre de usuario (trata siempre a ambos como entidades separadas)
  4. Debe haber una mezcla de al menos una letra minúscula, una letra mayúscula, un número y un carácter especial (por ejemplo, %, ^, *, &, @, ~, etc.)

También recomendamos usar una lista de bloqueo de contraseñas para evitar el uso de palabras o frases elegidas popularmente en la web. Por ejemplo, el proyecto Bad Passwords del NIST(ventana nueva) es una herramienta de código abierto popular para crear frases con alta entropía.

Si buscas crear una contraseña de administrador segura para tu gestor de contraseñas, ten en cuenta las siguientes directrices

Para recapitular, una contraseña verdaderamente segura contiene, por ejemplo:

  • Al menos una letra mayúscula
  • Al menos una letra minúscula
  • Al menos un símbolo especial
  • Al menos un dígito
  • Al menos 14 caracteres (o al menos 30 para frases de contraseña, suponiendo que las palabras no sean comunes ni estén relacionadas)

El ejemplo anterior, kmXz2=zs[m%7?y4A, cumple con todos estos requisitos y crea una contraseña con aproximadamente 105 bits de entropía, la cual tardaría un tiempo imposible de calcular en descifrarse mediante fuerza bruta.

Genera contraseñas seguras con Proton Pass

La única forma de generar y recordar suficientes contraseñas seguras para todas tus cuentas online es utilizar un gestor de contraseñas. Proton Pass genera frases seguras para ti con un solo clic. Puedes usarlo para crear frases de contraseña de 10 palabras o contraseñas aleatorias de 64 caracteres, y te permite controlar si cada contraseña utiliza números, letras mayúsculas y símbolos especiales, en caso de que quieras maximizar la entropía de tus contraseñas.

Con Proton Pass, tus contraseñas no solo son difíciles de descifrar, sino que se almacenan con cifrado de extremo a extremo y están respaldadas por una autenticación de dos factores segura mediante el gestor de contraseñas gratuito más seguro del mundo. Lee el modelo de seguridad de Proton Pass para obtener más información.

Si la entropía de las contraseñas te resulta complicada, regístrate en Proton Pass. Te ayudaremos a generar, almacenar y proteger tus contraseñas para resistir ataques maliciosos.

Actualización del 18 de noviembre de 2025: Este artículo se actualizó para explicar con mayor claridad los problemas que conlleva intentar calcular la entropía de las frases de contraseña y de las contraseñas en general. Es fácil sobreestimar la complejidad de las contraseñas a menos que se generen de forma verdaderamente aleatoria.

Preguntas frecuentes

¿Qué diferencia hay entre la complejidad de una contraseña y su entropía?

La complejidad de una contraseña normalmente se refiere a su rango potencial de caracteres, mientras que la entropía de la contraseña se refiere a la matemática detrás de lo difícil que es adivinarla. La entropía se mide en bits, lo que a su vez te indica cuántas conjeturas por fuerza bruta se necesitarían para descifrar una contraseña.

¿Cuál es la entropía de una contraseña de cuatro palabras?

Depende de cómo se seleccionaron las palabras. Si se eligieron al azar (por ejemplo, usando una lista Diceware), cada palabra añade entre 12 y 13 bits de entropía. Por lo tanto, una frase de contraseña aleatoria de cuatro palabras tendría entre 50 y 52 bits de entropía. Pero si las palabras las eligió una persona, la entropía puede ser mucho menor.

¿Qué significan 128 bits de entropía?

128 bits de entropía significan que tu contraseña requeriría 2¹²⁸ intentos para ser descifrada mediante fuerza bruta; eso es más que el número de átomos en el universo. A efectos prácticos, cualquier cifra superior a 100 bits es segura. Incluso las contraseñas con 75–80 bits se consideran resistentes a todos los ataques de fuerza bruta conocidos hoy en día.