La seguridad de las contraseñas en 2026 es mucho más difícil que hace 5 años. La combinación de cracking impulsado por IA, violaciones masivas de datos y ataques de relleno de credenciales significa que la mayoría de las contraseñas "seguras" ya están comprometidas.
La verdad sobre las contraseñas:
- La contraseña promedio se encuentra en 47 violaciones de datos conocidas (consulte la suya en ¿Me han engañado?)
- Las contraseñas de 8 caracteres con combinación de mayúsculas y minúsculas + números + símbolos se descifran en 39 minutos en GPU modernas
- Las contraseñas aleatorias de 16 caracteres tardan más de 5 mil millones de años en descifrarse
- Lo más importante es la LONGITUD, no la complejidad.
La estrategia de 3 niveles:
Nivel 1: cuentas críticas (banca, correo electrónico, administrador de contraseñas)
- Utilice una contraseña aleatoria única de más de 25 caracteres
- Habilite 2FA con una aplicación de autenticación (Authy, Aegis) - NO SMS
- Para correo electrónico + banca, habilite también una clave de seguridad de hardware (YubiKey 5 — $50)
- Cambiar cada 12 meses
Nivel 2: Cuentas importantes (compras, redes sociales, trabajo)
- Contraseñas aleatorias únicas de 18 caracteres
- 2FA habilitado
- Generado por el administrador de contraseñas
Nivel 3: cuentas de bajo valor (foros, herramientas gratuitas, registros únicos)
- Contraseñas aleatorias únicas de 15 caracteres (aún administradas por el administrador de contraseñas)
- Omita 2FA si no se ofrece fácilmente
- Utilice alias de correo electrónico (SimpleLogin, Apple Hide My Email) para limitar la exposición
Administradores de contraseñas que vale la pena usar:
- 1contraseña ($36/año): mejor en general, para compartir en familia y notas seguras
- bitwarden ($10/año o gratis): código abierto, menos pulido pero confiable
- Llavero de manzana (gratis): está bien si eres 100% del ecosistema Apple
- NO LastPass (múltiples infracciones, pérdida de confianza)
Autenticación de dos factores clasificada:
1. Clave de seguridad de hardware (YubiKey, Titan): a prueba de phishing
2. Aplicación de autenticación (Authy, Aegis, 1Password TOTP)
3. SMS (vulnerable al intercambio de SIM; utilícelo solo si no hay nada más disponible)
4. 2FA basado en correo electrónico (mejor que nada)
El mejor generador de contraseñas gratuito: Generador de contraseñas de Wikishopline — genera contraseñas aleatorias seguras en su navegador, nunca se almacenan, no es necesario registrarse.
Mitos comunes desmentidos:
- "Cambie las contraseñas cada 90 días" → directriz NIST obsoleta, más dañina que útil
- "No escriba contraseñas" → está bien si está bloqueado físicamente, pero no las almacene digitalmente sin cifrar
- "La combinación de mayúsculas y minúsculas + símbolos hace que las contraseñas sean seguras" → la longitud importa mucho más
- "La función de autocompletar del navegador está bien" → está bien para cuentas de bajo riesgo; use un administrador de contraseñas real para las importantes
Qué hacer si se incumple:
1. comprobar ¿Me han engañado? — identifica qué sitios
2. Cambie la contraseña en el sitio violado + cualquier otro sitio que use la misma contraseña
3. Habilite 2FA en todas las cuentas importantes
4. correr ¿Me han engañado? Verificación de contraseña para ver si SU contraseña aparece específicamente en infracciones