Seguridad de Contraseñas: Cómo se Hackean y Cómo Protegerte
¿Por qué importa la seguridad de tu contraseña?
En el mundo digital actual, tu contraseña es la primera —y a veces única— barrera entre tus datos y un atacante. Cada año millones de cuentas son comprometidas no por exploits sofisticados, sino simplemente porque las contraseñas son débiles o reutilizadas.
Entender cómo funcionan los ataques te ayuda a defenderte mejor.
¿Qué es un ataque de Fuerza Bruta?
Un ataque de fuerza bruta (brute force) consiste en probar sistemáticamente todas las combinaciones posibles de caracteres hasta encontrar la contraseña correcta.
Es el método más básico, pero con hardware moderno (GPUs, clusters distribuidos) resulta devastadoramente efectivo contra contraseñas cortas o simples.
Variantes del ataque
| Tipo | Descripción |
|---|---|
| Fuerza bruta pura | Prueba todas las combinaciones posibles |
| Diccionario | Usa listas de palabras comunes y contraseñas filtradas |
| Híbrido | Combina palabras de diccionario con números y símbolos |
| Rainbow tables | Tablas precomputadas de hashes para acelerar el crackeo |
| Credential stuffing | Usa credenciales robadas de otras brechas de datos |
Tiempo para crackear una contraseña según su longitud
El tiempo varía drásticamente según la longitud y los tipos de caracteres usados. La siguiente tabla asume un ataque offline con hardware moderno (~100 mil millones de intentos por segundo con GPU):
Solo letras minúsculas (26 caracteres)
| Longitud | Combinaciones posibles | Tiempo estimado |
|---|---|---|
| 4 caracteres | 456,976 | Instantáneo |
| 6 caracteres | 308,915,776 | < 1 segundo |
| 8 caracteres | ~208 mil millones | ~2 segundos |
| 10 caracteres | ~141 billones | ~24 minutos |
| 12 caracteres | ~95 cuatrillones | ~11 días |
| 16 caracteres | ~43 septillones | ~14 millones de años |
Letras minúsculas + mayúsculas + números (62 caracteres)
| Longitud | Combinaciones posibles | Tiempo estimado |
|---|---|---|
| 6 caracteres | ~56 mil millones | < 1 segundo |
| 8 caracteres | ~218 billones | ~37 minutos |
| 10 caracteres | ~839 cuatrillones | ~96 días |
| 12 caracteres | ~3.2 sextillones | ~1,000 años |
| 16 caracteres | ~4.7 nonillones | Prácticamente imposible |
Letras + números + símbolos especiales (~95 caracteres)
| Longitud | Combinaciones posibles | Tiempo estimado |
|---|---|---|
| 6 caracteres | ~735 mil millones | ~7 segundos |
| 8 caracteres | ~6.6 cuatrillones | ~19 horas |
| 10 caracteres | ~5.9 sextillones | ~1,900 años |
| 12 caracteres | ~540 octillones | ~171 millones de años |
Conclusión clave: cada carácter adicional multiplica exponencialmente el tiempo de crackeo. La longitud es tu mejor aliada.
Métodos más comunes para robar contraseñas
1. Phishing
El atacante crea una página falsa idéntica a la real (banco, red social, email) y te engaña para que introduzcas tus credenciales. Es el método #1 más usado porque no requiere potencia computacional, solo engañarte a ti.
Señales de alerta:
- URL diferente al dominio oficial
- Emails urgentes con enlaces sospechosos
- Certificado SSL ausente o incorrecto
2. Filtraciones de bases de datos (Data Breaches)
Cuando un servicio web es hackeado, los atacantes obtienen la base de datos de usuarios con contraseñas (muchas veces en texto plano o con hashes débiles). Estas listas se venden en la dark web.
Puedes comprobar si tu email ha sido filtrado en haveibeenpwned.com.
3. Keyloggers
Software malicioso que registra todo lo que escribes en el teclado, capturando contraseñas en tiempo real sin que lo notes.
4. Man-in-the-Middle (MitM)
El atacante se interpone en la comunicación entre tú y el servidor, interceptando datos en redes WiFi públicas no seguras.
5. Ingeniería Social
Manipulación psicológica para obtener la contraseña directamente: haciéndose pasar por soporte técnico, compañeros de trabajo, o entidades de confianza.
6. Password Spraying
En lugar de probar miles de contraseñas para un usuario, prueba una misma contraseña común (123456, password) contra miles de cuentas. Evita los bloqueos por intentos fallidos.
¿Qué hace débil a una contraseña?
- Corta (menos de 8 caracteres)
- Solo letras minúsculas o solo números
- Palabras del diccionario:
dragon,sunshine,football - Patrones predecibles:
123456,qwerty,abcdef - Información personal: nombre, fecha de nacimiento, nombre de mascota
- Reutilización en múltiples sitios (si una cae, caen todas)
Buenas prácticas para contraseñas seguras
Reglas de oro
- Mínimo 12 caracteres — preferiblemente 16 o más
- Mezcla letras mayúsculas, minúsculas, números y símbolos
- Nunca reutilices la misma contraseña en distintos servicios
- Usa un gestor de contraseñas (Bitwarden, 1Password, KeePass)
- Activa el 2FA (autenticación en dos factores) siempre que sea posible
- Cambia contraseñas si sospechas que han sido comprometidas
¿Frase o contraseña?
Una frase de contraseña (passphrase) puede ser más segura Y más fácil de recordar:
correctocaballobateríaclip ← 28 caracteres, fácil de recordar
vs.
X9#mK2!p ← 8 caracteres, difícil de recordar y relativamente débil
Herramientas para generar contraseñas seguras
Generar contraseñas fuertes manualmente es tedioso y propenso a errores. Lo mejor es usar un generador de contraseñas.
En girgetto.it tenemos un generador gratuito donde puedes crear contraseñas seguras con la longitud y complejidad que necesites:
Generador de Contraseñas Seguras - girgetto.it
Con él puedes:
- Elegir la longitud de la contraseña
- Incluir o excluir mayúsculas, números y símbolos
- Generar contraseñas aleatorias y criptográficamente seguras
- Copiar con un solo clic
Resumen: La regla de los 3 L's
Larga, Loca y Libre de repetición.
- Larga: mínimo 12 caracteres, mejor 16+
- Loca: combinación aleatoria de caracteres sin sentido predecible
- Libre de repetición: contraseña única para cada servicio
Con estas tres reglas y un buen gestor de contraseñas, reduces drásticamente el riesgo de ser víctima de un ataque.
La seguridad perfecta no existe, pero una buena contraseña es la diferencia entre ser un objetivo fácil y ser uno que no vale la pena atacar.