Test de fuerza de contraseña

¿Tu contraseña resiste un ataque de fuerza bruta con hardware moderno? Esta herramienta analiza la entropía real de tu contraseña, estima cuánto tardaría en crackearse y detecta patrones débiles, todo sin enviar la contraseña a ningún servidor.

Entropía en bits: el número que realmente importa

El tiempo de crackeo se calcula asumiendo 10⁹ intentos por segundo, equivalente a una GPU de gama alta moderna (RTX 4090 en hashcat). Ataques distribuidos o hardware especializado pueden ser 10-100x más rápidos.

La entropía de una contraseña mide cuántos intentos necesitaría un atacante en el peor caso. Se calcula como log₂(tamaño_del_espacio ^ longitud). Una contraseña de 8 caracteres usando solo minúsculas (26 opciones) tiene 37.6 bits de entropía —descifrable en horas con una GPU moderna—. La misma longitud con mayúsculas, minúsculas, números y símbolos (94 opciones) sube a 52.4 bits. Una contraseña de 16 caracteres alfanuméricos alcanza 95 bits, que a 10⁹ intentos por segundo tomaría más de 1 millón de años.

La herramienta calcula esta entropía en tiempo real mientras escribís y la compara con los umbrales de seguridad actuales: menos de 40 bits se considera muy débil, 40-59 débil, 60-79 media, 80-99 fuerte, 100+ muy fuerte. Estos umbrales están calibrados para hardware de 2024-2025.

Los 10 checks y los errores más comunes

Los checks que más frecuentemente fallan son: contraseñas comunes (password, 123456, qwerty, contraseña —millones de personas las siguen usando—), secuencias de teclado (asdfgh, qwerty, zxcvbn —reconocibles al instante por diccionarios de ataque—) y repeticiones de caracteres (aaa111, Password11). Incluso contraseñas largas con estas características son vulnerables porque los ataques modernos incluyen diccionarios de patrones.

Longitud mínima recomendada: 12 caracteres para cuentas personales, 16 para cuentas con acceso a datos sensibles o sistemas críticos. NIST SP 800-63B (actualizado en 2024) recomienda priorizar la longitud sobre la complejidad, y recomienda usar frases en lugar de contraseñas con sustituciones obvias como P@ssw0rd.

Privacidad: análisis 100% en tu navegador

La contraseña nunca abandona tu dispositivo. Todo el análisis —incluyendo la verificación contra listas de contraseñas comprometidas— ocurre localmente usando la API de JavaScript. La lista de contraseñas comunes está embebida en el código del cliente, sin llamadas a servicios externos como Have I Been Pwned.

Esto la hace ideal para evaluar contraseñas reales de sistemas en uso, ya que el riesgo de exposición durante el análisis es cero. Recomendamos de todas formas no usar esta herramienta en computadoras compartidas o con malware, ya que el keylogger podría capturar lo que escribís independientemente de esta herramienta.