Las Matemáticas de la Fortaleza de Contraseñas

La fortaleza de una contraseña es un número. Claude Shannon lo formalizó en 1948 como entropía de la información, medida en bits. Cada bit duplica el número de combinaciones posibles que un atacante debe probar. Una contraseña elegida al azar de 76 caracteres (mayúsculas, minúsculas, dígitos y 14 símbolos) posee aproximadamente 6,25 bits de entropía por carácter. Una contraseña de 16 caracteres contiene, por tanto, alrededor de 100 bits de entropía: 2¹⁰⁰ combinaciones posibles, un número de 31 dígitos.

La consecuencia práctica es exponencial. Una contraseña de 20 caracteres generada con esta herramienta contiene aproximadamente 125 bits de entropía, lo que significa que un atacante necesitaría probar alrededor de 10³⁷ combinaciones para garantizar encontrarla. A un billón de intentos por segundo, el tiempo de búsqueda esperado supera la edad actual del universo por un factor de miles de millones. La longitud es la variable dominante. Añadir cuatro caracteres aporta más seguridad que cambiar de alfabético a alfanumérico.

La Longitud Gana Exponencialmente

Añadir un carácter a una contraseña aleatoria multiplica el espacio de búsqueda por 76. Añadir cuatro caracteres lo multiplica por 76⁴, que es aproximadamente 33 millones. Este escalado exponencial es la razón por la que la longitud importa mucho más que las sustituciones ingeniosas. Reemplazar "a" por "@" en una contraseña elegida por un humano añade prácticamente cero entropía, porque los atacantes ya incluyen esa sustitución en sus diccionarios. Añadir cuatro caracteres verdaderamente aleatorios añade 25 bits de entropía. Veinticinco bits significan que el atacante necesita 33 millones de veces más tiempo para recorrer el espacio.

La Publicación Especial 800-63B del NIST de 2024 recomienda priorizar la longitud de la contraseña sobre las reglas de complejidad. La investigación detrás de esta directriz descubrió que los requisitos de complejidad (una mayúscula, un dígito, un símbolo) producen patrones predecibles: Password1! cumple todas las reglas pero aparece en millones de bases de datos de credenciales filtradas. Una cadena puramente aleatoria de 16 caracteres no satisface ningún patrón humano porque no tiene ninguno que satisfacer. Este generador garantiza las cuatro clases de caracteres en cada contraseña y luego mezcla las posiciones con la misma fuente criptográfica aleatoria, de modo que ninguna posición sea predecible.

La Fuente Criptográfica

Cada carácter de tu contraseña proviene de crypto.getRandomValues(), la API de Criptografía Web especificada por el W3C. Esta función obtiene entropía de fuentes a nivel de hardware en tu dispositivo: ruido térmico, fluctuaciones eléctricas de temporización y otros procesos físicos enraizados en la incertidumbre cuántica. La salida supera rigurosas suites de pruebas estadísticas, incluyendo NIST SP 800-22 y TestU01.

La garantía va más allá del algoritmo. Esta es la misma fuente de entropía que genera las claves de sesión que protegen tu banca en línea, las claves efímeras en cada conexión HTTPS y los vectores de inicialización en la mensajería cifrada. Los proveedores de navegadores auditan esta implementación incansablemente porque una debilidad aquí comprometería cada conexión segura en la web. Tu contraseña hereda toda esa cadena de garantía.

El Factor Humano

Investigadores de Carnegie Mellon analizaron millones de contraseñas reales de bases de datos filtradas y encontraron un patrón llamativo. Las contraseñas elegidas por humanos se agrupan fuertemente en torno a unos pocos miles de estructuras comunes: nombres seguidos de años, palabras del diccionario con sustituciones predecibles, secuencias de teclado como qwerty123. Estos patrones reducen la entropía efectiva a 20-40 bits independientemente de la longitud nominal, porque los atacantes construyen diccionarios a partir de exactamente estos patrones.

Una contraseña generada por máquina elimina el factor humano por completo. Cada posición de carácter se extrae independientemente del conjunto completo de caracteres con probabilidad uniforme. No hay patrón que explotar, ni diccionario que consultar, ni tendencia psicológica que predecir. El único ataque que queda es la búsqueda exhaustiva a través de todo el espacio de claves, y las matemáticas del crecimiento exponencial hacen que esa búsqueda sea inviable para cualquier longitud de contraseña razonable.

Aritmética de Fuerza Bruta

El panel de análisis de fortaleza de arriba muestra estimaciones de descifrado en tiempo real a tres velocidades de ataque. El escenario de ataque en línea (1.000 intentos por segundo) representa un servicio web con limitación de velocidad. El escenario de hardware rápido (10 mil millones por segundo) representa un clúster de GPU optimizado descifrando hashes fuera de línea. El escenario estatal (1 billón por segundo) representa un máximo teórico con infraestructura dedicada. Con 100 bits de entropía, incluso el escenario estatal requiere aproximadamente 4 × 10¹⁸ años. El sol agotará su combustible de hidrógeno en unos 5 mil millones de años. Tu contraseña sobrevive al sistema solar.

En el Aula

La entropía de contraseñas proporciona una puerta de entrada accesible a la teoría de la información. Pide a los estudiantes que visiten /password/8 y anoten la entropía, luego que visiten /password/16 y observen que la entropía se duplica exactamente. Cada carácter añadido contribuye un número fijo de bits. Esta relación lineal entre longitud y entropía produce una relación exponencial entre longitud y seguridad, un concepto que los estudiantes pueden verificar comparando las estimaciones de tiempo de descifrado a diferentes longitudes.

Para un ejercicio más profundo, compara las contraseñas de dice83 con las frases de contraseña diceware. Una frase de seis palabras posee alrededor de 77 bits de entropía. Una contraseña aleatoria de 12 caracteres posee alrededor de 75 bits. Ambas logran seguridad similar a través de mecanismos completamente diferentes: la frase usa un conjunto grande (7.776 palabras) con pocas selecciones; la contraseña usa un conjunto más pequeño (76 caracteres) con más selecciones. El compromiso es memorabilidad frente a fortaleza bruta, y comprender ese compromiso enseña a los estudiantes cómo funciona realmente la entropía. La herramienta funciona completamente en el navegador, no requiere cuentas y no almacena datos de estudiantes.

Privada por Arquitectura

Cada contraseña generada en esta página existe solo dentro de tu navegador. El servidor entrega el HTML, CSS y JavaScript que componen la herramienta. Tu dispositivo ejecuta la generación. En ningún momento ninguna contraseña, contraseña parcial o dato relacionado con contraseñas viaja por ninguna conexión de red. El único registro persistente de una contraseña es dondequiera que elijas pegarla después de copiarla.

Compartir la URL de la herramienta es inherentemente seguro. Enviar a alguien el enlace /password/20 le da el mismo generador con la misma configuración. Su navegador crea contraseñas completamente independientes a partir de su propia fuente de entropía. La URL lleva la especificación de la herramienta. Tu dispositivo lleva el secreto.