Ejemplos de contraseñas seguras y cómo crearlas

Cómo crear una contraseña protegida

La mejor forma de crear una contraseña segura consiste en usar frases de contraseña, es decir, frases con palabras aleatorias de 5 a 7 palabras. También puedes usar un administrador de contraseñas de confianza que te sugiera series aleatorias de 15 caracteres, letras mayúsculas, números y caracteres especiales que protejan tu contraseña frente a descifrados y otros intentos de hackeo.

Hemos seleccionado tres prácticas recomendadas para crear contraseñas más seguras:

Evita las contraseñas simples

No utilices ideas obvias o típicas para crear contraseñas. Esta es una lista de los tipos de contraseñas que debes evitar:

• Una secuencia de números o letras, como «abcde» o «12345».

• Una contraseña que contenga tu nombre de usuario o una parte de él.

• Información personal, como la fecha de tu cumpleaños, o la ciudad en la que creciste.

• Una cadena de caracteres repetidos, como «aaaaa» o «0000».

• La palabra «contraseña». Lo creas o no, sí, la gente sigue usándola.

No incluyas información personal en tu contraseña. Gracias a las redes sociales, los hackers pueden recopilar fácilmente información básica que hayas compartido o expuesto en internet, y usarán todo lo que puedan encontrar en sus tentativas de crackeo.

Hazlas a prueba de fuerza bruta

Los ataques de fuerza bruta utilizan combinaciones de caracteres una tras otra hasta generar la que tú has establecido como contraseña. A continuación, te indicamos cómo hacer frente a esta técnica:

• De 15 a 20 caracteres o más: Según las directrices actualizadas publicadas por el Instituto Nacional de Estándares y Tecnología (NIST), una contraseña larga es la mejor defensa. Con cada carácter más en tu contraseña se incrementan enormemente las posibles combinaciones, lo que genera una entropía más alta y prolonga la cantidad de tiempo necesaria para forzarla.

• Usa varios tipos de caracteres: Sobre todo, al usar un administrador de contraseñas, lo mejor es generar contraseñas aleatorias con letras mayúsculas y minúsculas, así como símbolos y números. Al incluir todos los tipos de caracteres estratégicamente (por ejemplo: aleatoriamente), se maximiza la cantidad de posibilidades por carácter, lo que hace tu contraseña más difícil de descifrar. No olvides usar al menos 15 caracteres para obtener la mejor defensa posible.

• Evita las sustituciones comunes de caracteres: Los hackers programan su software de hackeo para que tenga en cuenta los típicos cambios de caracteres o leetspeak (l337 $p34k). Es decir, «0» en lugar de «O». «p4$$w0rd» es tan fácil de adivinar como «password».

• No te limites a QWERTY: Evita utilizar combinaciones de teclado fáciles de recordar como «qwerty» o «asdf». Estas son tan fáciles de descifrar como palabras normales.

Usa frases de contraseña

Encadena varias palabras para crear frases de contraseña extralargas que sean muy resistentes a los ataques de diccionario y a los de fuerza bruta estándar. Puedes vincular las palabras con guiones, puntos o guiones bajos.

Un ejemplo de una contraseña poco segura frente a una frase de contraseña segura.

Las palabras de tu frase de contraseña no deberían tener conexiones evidentes entre sí, pues un software de descifrado de contraseñas puede averiguar las palabras relacionadas. Por ejemplo, las contraseñas «esta-es-mi-contraseña» y «orgullo-y-prejuicio-y-zombis» no son tan seguras como palabras aleatorias mezcladas. Conecta palabras aleatorias como «platano-vasos-albañil-cuaderno» para ponerles las cosas difíciles a los hackers.

Los mejores métodos de contraseña (y buenas ideas de contraseña)

Entre los métodos para idear contraseña difíciles de descifrar tenemos el método de la frase de contraseña oscura, el método nemotécnico y el método de la frase. Utilízalos para ponerles las cosas difíciles a los hackers, ya sea cambiando tus credenciales de inicio de sesión en línea o poniéndoles contraseña a los archivos y carpetas de tu PC.

Estos son nuestros métodos favoritos de crear contraseñas seguras:

El método de la frase de contraseña oscura

Esta técnica adopta el planteamiento de la frase de contraseña y eleva tu seguridad. Burla a los hackers eligiendo palabras poco comunes y aleatorias en tu frase de contraseña, como nombres propios, figuras históricas, palabras arcaicas o incluso palabras en varios idiomas.

Crea una historia fácil de recordar que contenga las palabras que has elegido como ayuda para recordar tu nueva frase de contraseña.

Ejemplos

Considera la siguiente frase de contraseña: SunTzu-cheesesteak-transistor-Christmas-obrigado. Quizás el gran estratega militar Sun Tzu tenía tal afición por los sándwiches de queso, que recibió por Navidad una máquina con transistores para hacer sándwiches de queso, por lo que diste las gracias en portugués.

Para hacer que tu contraseña sea aún más segura, añade símbolos y caracteres entre las palabras o en lugar de algunas letras. Por ejemplo: SunTzu>chee$esteak-transistor?Christmas-0brigado.

Usar leetspeak en una frase de contraseña puede estar bien, ya que las frases de contraseña suelen ser muy largas y con palabras aleatorias.

El método de la frase

El método de la frase, creado por el experto en ciberseguridad Bruce Schneier, transforma una frase en una contraseña mediante una regla determinada creada por ti. Por ejemplo, puedes extraer las dos primeras letras de cada palabra de la frase y unirlas para crear la contraseña.

Ejemplos

Nebraska que es, sin duda, mi álbum favorito de Bruce Springsteen se convierte en Neisha-domyfaBrSpal. Observa que hemos elegido una frase que incluye signos de puntuación y varias letras mayúsculas, para mayor seguridad.

Del mismo modo, la frase «May is the fifth month of the year» se convierte en MaISth5mo0FthY y "Friday is for partying all night long!" podría ser Fris4parAlNitLO!

El método de la memoria muscular

La memoria muscular se obtiene al reforzar las secuencias neuronales a través de la repetición de movimientos. Es decir, al escribir tu contraseña muchas veces, tus músculos recuerdan qué teclas pulsar sin necesidad de pensarlo.

El generador de contraseñas aleatorias de Avast te ayuda a crear una contraseña aleatoria hasta que encuentres una con la que estés a gusto y, luego, puedes probar a escribirla hasta que se vuelva rutinaria. La próxima vez que inicies sesión, la secuencia te saldrá sola. Eso sí, evita utilizar una contraseña que sea demasiado fácil de recordar; si para ti es fácil, puede que también lo sea para otros.

Si utilizas varios dispositivos para acceder a tus cuentas en internet, puede ser una buena idea practicar tu contraseña en todos ellos, ya que los movimientos pueden ser distintos en un teléfono o tableta con respecto a un ordenador.

Lo ideal es que practiques en un campo de inicio de sesión para evitar guardar una copia de tu contraseña por error.

Ejemplos

Si utilizas el método de memoria muscular, es importante que encuentres un equilibrio: que la contraseña sea lo bastante compleja y también fácil de recordar. Si usas un generador de contraseñas, los ejemplos serán extremadamente variados, por ejemplo: !YRo]0caPRgW, Qk7b9jxbHn1ZV8f o p;0c0K)Tw2JP.

El método nemotécnico

El método nemotécnico consiste en asignar una palabra a cada carácter de una contraseña para que esto te ayude a recordarla. Por ejemplo, los colores del arcoíris (red, orange, yellow, green, blue, indigo, violet, en inglés) suelen recordarse como «Roy G. Biv».

Para crear una regla nemotécnica, divide la contraseña en letras o en grupos de 2 a 4 caracteres. Convierte cada grupo en un sonido, una imagen o una palabra. Añádele ritmo, una aliteración o una rima.

Puedes usar mayúsculas, números y símbolos como apuntes de memoria:

• La letra mayúscula se puede usar para indicar que es un nombre propio o una palabra que se grita.

• Los números se pueden usar para sustituir letras o rimas y etiquetas: 2=zapato o 4=puerta.

• Los símbolos pueden servir como campos de palabras: @ para «at», ! para «bam» o ( para «abrir».

Ejemplos

La contraseña segura uJkn@a4tpf>otfl0! puede recordarse como «Uncle Jay knocked at a door, then promptly fell right on the floor. Ow!». O 4#sh;mq!aV@l podría leerse como «Four bangs heard; my queen! A victory at last!».

El método del código ISO

Este método requiere el uso de un código ISO de diferentes países y mezclarlo para formar una serie larga. El código ISO es un código internacional que representa a un país y a sus subdivisiones. Por ejemplo, el código ISO de Estados Unidos es USA, mientras que el de Reino Unido es GBR.

Puedes usar los códigos de los cinco últimos países que has visitado para crear una contraseña fácil de recordar. Si te gusta este método, puedes actualizar constantemente tu contraseña en función de los países que vayas visitando o te gustaría visitar añadiendo códigos ISO o sustituyendo los más antiguos por los nuevos.

Otra opción consiste en usar países que estén en tu lista de deseos, que te interesen u otros totalmente aleatorios.

Consejo: Los países aleatorios son una buena idea si acostumbras a compartir tus viajes en las redes sociales, ya que un hacker podría dar con tus destinos más recientes.

Ejemplos

Los últimos países que he visitado, por ejemplo, son España, China, Australia, Canadá y Egipto. Si uso sus códigos ISO, mi contraseña sería: ESPCHNAUSCANEGY. Para que la contraseña sea más segura, puedo usar mayúsculas y minúsculas y sustituir letras por símbolos o números: E5PCHnAuSC^N3&Y.

Si viajo a Noruega, podría sustituir el país que he visitado hace más tiempo y renovar la contraseña: NORCHnAuSC^N3&Y.

El método matemático

El método matemático utiliza ecuaciones para crear una contraseña segura. Esto no consiste en poner números y símbolos aleatorios, sino en hacer que la contraseña siga un patrón lógico.

También puedes usar ecuaciones abstractas (la lógica adyacente matemática o la causa y efecto) para crear una contraseña única fácil de recordar, sobre todo si está relacionada con tus intereses o tu vida.

Es decir, la contraseña debería leerse como una ecuación, con un valor, un operador y un resultado:

• Valores: los números, objetos o conceptos que combinas.

• Operador: la acción que hay entre ellos (+, -, x, / o las formaciones de palabras).

• Resultado: la solución.

Ejemplos

Una contraseña con método matemático sencillo sería 539+98=seiscientostreintaysiete.

Otra opción más creativa sería equipodefutbol+tarjetaroja=10. Esto funciona porque hay 11 futbolistas en un equipo de fútbol, por lo que, si expulsan a uno con tarjeta roja, solo quedarán 10.

Cómo mantener las contraseñas privadas

La forma más fácil y mejor para mantener tus contraseñas privadas y proteger tus datos consiste en usar una contraseña compleja única para cada cuenta y llevar un seguimiento de todas ellas con un administrador de contraseñas.

Estas son otras formas de proteger tus contraseñas:

Cuida tu correo electrónico

El primer paso es asegurarte de que tu correo electrónico no se ha vulnerado. Si alguien puede acceder a tu bandeja de entrada, es posible que pueda restablecer las contraseñas existentes haciendo clic en ¿Has olvidado la contraseña? Solo tiene que esperar a que el enlace de restablecimiento llegue a la bandeja de entrada.

Usa Hack Check para ver si hay alguna contraseña asociada a tu dirección de correo electrónico que se haya filtrado. En caso afirmativo, cámbiala y también la contraseña de tu cuenta de correo electrónico de inmediato.

Fuente: Informe de amenazas de Gen, tercer trimestre de 2025

Las filtraciones de datos se producen con frecuencia, y los datos robados se venden a menudo a otros ciberdelincuentes en el mercado negro. Hack Check comprueba las filtraciones de datos y supervisa la web oscura en busca de tus direcciones de correo electrónico. Sin embargo, solo proporciona un resumen en el momento en el que se ejecuta. Para seguir supervisando las filtraciones de datos y obtener más consejos de seguridad con los que mantener más protegidos tus datos, usa una herramienta como Avast BreachGuard.

Ten cuidado en quién confías

Se ha convertido en una práctica habitual que los sitios web cifren las contraseñas de sus usuarios, de modo que incluso si los hackers consiguen vulnerar sus bases de datos, tendrán que descifrar la información robada para poder utilizarla. Ningún sitio web que siga almacenando contraseñas en texto plano tiene cabida hoy en día en Internet.

Estas son algunas de las señales de advertencia para sitios web con escasa seguridad de contraseñas: tu contraseña se muestra en la pantalla tras confirmarla o la opción ¿Has olvidado la contraseña? te envía una copia en lugar de un enlace para restablecerla. Si sospechas que tu contraseña no está a salvo, elimina tu cuenta en el sitio web que la pone en peligro y cambia todas tus contraseñas.

Tampoco deberías introducir credenciales de inicio de sesión ni información personal importante en un sitio web que utilice HTTP en lugar de HTTPS. HTTPS es el protocolo de cifrado de datos más actualizado y seguro de todos.

Usa la autenticación en dos pasos

Ahora, la autenticación en dos pasos (2FA) es una práctica de seguridad estandarizada que añade capas de protección a tu inicio de sesión, ya que requiere algo más que tu contraseña. Entre las medidas de autenticación más habituales se encuentran los códigos enviados por SMS, una app de autenticación móvil, un escáner de huellas dactilares o facial, o un token físico.

Si un hacker se hace con tu contraseña, tendrá que superar al menos un obstáculo más para poder entrar. Es más, según Microsoft, habilitar la autenticación en varios pasos (como la 2FA) en una cuenta en internet bloquea el 99,9 % de los ataques que ponen en riesgo tu cuenta.

Ten en cuenta que la autenticación en dos pasos con SMS suele ser la opción menos segura, porque los mensajes de texto se pueden falsificar o interceptar. El FBI ha alertado acerca de la autenticación en dos pasos por mensaje de texto después de que el grupo de hackers Scattered Spider burlara la seguridad de inicio de sesión añadiendo nuevos dispositivos de autenticación en dos pasos a cuentas de usuarios. Te recomendamos que utilices una app de autenticación.

Claves de seguridad con certificación FIDO

Las llaves de seguridad físicas son uno de los métodos de MFA más seguros. Están disponibles en versiones USB, NFC y Bluetooth, y sólo permiten el acceso al portador de la llave. De este modo, son mucho más seguras que la verificación por SMS, siempre que no pierdas la llave.

Las llaves de acceso son un método de inicio de sesión sin contraseña que emplea tu teléfono o portátil como autenticador.

La Alianza FIDO es el grupo industrial que define y certifica los estándares de apertura de las llaves de acceso y de seguridad. Utiliza servicios compatibles con las llaves de acceso FIDO, como Google, PayPal o Amazon para lograr un nivel de protección y autenticación superior.

Sigue las prácticas recomendadas en seguridad de contraseñas

• Utiliza una VPN en una red wifi insegura: Utilizar una VPN al acceder a una red wifi pública, por ejemplo, en un aeropuerto o una cafetería, añade una capa de protección extra contra redes corruptas y fisgones, y evita que alguien intercepte tus credenciales de inicio de sesión.

• No compartas tu contraseña en texto plano: Nunca envíes por correo ni por mensaje tu contraseña, porque se puede interceptar fácilmente y dejar registros permanentes que los hackers podrían aprovechar más tarde.

• Elige preguntas de seguridad difíciles de adivinar: Hay disponible una gran cantidad de información sobre ti en Internet. Si se te pide que crees preguntas de verificación de seguridad, no elijas las opciones que cualquiera podría averiguar echando un vistazo a tus redes sociales u otra información pública.

• Usa un programa antivirus potente: Si nos ponemos en el peor de los casos y un hacker obtiene tu contraseña, un buen software antivirus podría protegerte del malware y otras amenazas, como las estafas.

• Usa un administrador de contraseñas: Almacenar tus contraseñas a salvo usando un administrador de contraseñas fiable te facilitará usar combinaciones complejas y únicas de caracteres.

• Usa un navegador seguro: Descarga un navegador privado fiable para adquirir una capa más de protección cuando navegues por internet. Los navegadores privados ayudan a bloquear rastreadores y anuncios o sitios web peligrosos.

Cambiar de contraseña a menudo solía ser lo recomendable, pero ya no es así. Ahora, el NIST recomienda a los proveedores de cuentas forzar un cambio de cuenta solo cuando haya pruebas de que el autenticador esté en riesgo. Pese a que la documentación del NIST está pensada para organizaciones que trabajan con sistemas de información gubernamental, esta es un estándar en la industria.

Alternativas a contraseñas seguras

En lugar de utilizar contraseñas tradicionales para acceder a tus cuentas, algunas organizaciones y administradores de sitios utilizan alternativas, como inicio de sesión único y autenticación sin contraseña.

Inicio de sesión único (SSO)

El inicio de sesión único es una tecnología que permite que un proveedor de identidad (IdP) te verifique una vez y emita una prueba de inicio de sesión a otra aplicación aprobada. En muchos negocios, Microsoft Entra ID es el IdP que permite que los usuarios accedan sin problemas a Teams, SharePoint y aplicaciones de terceros, como Salesforce, sin pedirte que vuelvas a introducir tus credenciales. El inicio de sesión único no elimina la necesidad de tener buenas contraseñas, pero puede servir para proteger indirectamente una buena contraseña, ya que no tendrás que recordarla cada vez que inicies sesión.

Autenticación sin contraseña

Esto hace alusión al método que te permite acceder a tus cuentas sin introducir la contraseña, algo que «eres» o «tienes». Algo que «eres» se refiere a la autenticación biométrica, como el Face ID de iPhone o el Touch ID de MacBook. Algo que «tienes» se refiere a las aplicaciones de autenticación, las tarjetas inteligentes o las claves inteligentes en dispositivos.

¿Cómo se hackea una contraseña?

Un ciberdelincuente puede obtener tu contraseña utilizando un software de hackeo especializado, enviándote mensajes de phishing o analizando tus publicaciones en redes sociales en busca de pistas. Aunque, a menudo, simplemente compran las contraseñas en la web oscura.

El hackeo de contraseñas es un negocio rentable, y si has utilizado la misma contraseña durante años y en varios sitios, es probable que ya haya sido vulnerada. En una filtración de datos, los hackers roban las credenciales de los usuarios, recopilan toda la información en una amplia lista y la venden a otros ciberdelincuentes para que la utilicen para sus propios fines.

Estos son los métodos de hackeo de contraseña principales de los ciberdelincuentes:

Ataque de fuerza bruta

En un ataque de fuerza bruta, los hackers prueban una contraseña tras otra hasta dar con la tuya. A menudo, utilizan un potente software que automatiza la tarea. Los programas de fuerza bruta se dedican a generar el mayor número de combinaciones para descubrir tu contraseña lo antes posible.

En 2025, SC Media informó de un ataque de fuerza bruta que hizo uso de cerca de 2,8 millones de direcciones IP a diario para averiguar credenciales de VPN de redes corporativas como SonicWall y Palo Alto.

En 2012, el experto en seguridad Jeremi Gosney indicó que había un ordenador, el grupo de 25 unidades de procesamiento gráfico (GPU), que era capaz de generar 350 miles de millones de posibles contraseñas por segundo. El software tardó seis horas o menos en descifrar cualquier contraseña de Windows de 8 caracteres con mayúsculas, minúsculas, números y símbolos. Con él, pudo hacerse con las contraseñas de más del 90 % de los usuarios de LinkedIn de entonces.

Desde entonces, se ha producido un importante avance hacia el uso de contraseñas más largas. Cada carácter adicional multiplica exponencialmente el número total de posibilidades (es decir, una entropía de contraseña superior), lo que provoca que los ataques de fuerza bruta sean menos fructíferos. De hecho, las contraseñas totalmente aleatorias de 15 o más caracteres pueden tardar cientos o miles de años en descifrarse.

Ataque de diccionario

Los ataques de diccionario son un tipo de ataque de fuerza bruta superoptimizado. En lugar de usar cadenas de caracteres aleatorios, el atacante genera contraseñas a partir de un conjunto predefinido de palabras. Si usas una sola palabra como contraseña, te convertirás rápidamente en víctima de un ataque de diccionario.

Si quieres usar palabras estándar para tus contraseñas, encadena unas cuantas en una frase de contraseña. Usando esta técnica, puedes crear ejemplos de contraseñas seguras capaces de hacer frente a la mayoría de los ataques de diccionario. Las palabras de la frase de contraseña deben ser completamente aleatorias, de lo contrario, los programas de descifrado de contraseñas podrían averiguarlas.

Tu frase de contraseña debe incluir palabras aleatorias que no guarden relación entre ellas, de lo contrario, un software de hackeo de contraseñas podrá adivinarla fácilmente.

Adivinadores de contraseña de la IA

Las herramientas de IA oscura han proliferado en los últimos años por el rápido incremento de la tecnología en la vida pública. Una aplicación peligrosa de la IA que los hackers han empezado a usar son los descifradores de contraseñas.

Los descifradores de contraseñas de la IA prueban miles de combinaciones posibles a la velocidad de la luz con tal de hackear una cuenta.

En 2023, los investigadores crearon un adivinador de contraseñas de la IA con 15,6 millones de ejemplos de contraseña y vieron que era capaz de descifrar el 51 % de contraseñas en menos de un minuto. Sin embargo, también detectaron que una contraseña de 18 caracteres con números, letras (mayúsculas y minúsculas) y símbolos es prácticamente inexpugnable.

Phishing

Los ataques de phishing, a menudo realizados mediante el correo electrónico, son comunicaciones que simulan provenir de una fuente de confianza, como una institución financiera, un sitio web conocido o incluso un miembro de alto nivel de una organización en la que trabajas. Puede que te pidan que introduzcas tus datos de inicios de sesión en un sitio de pharming que se asemeja al original, una nueva táctica de phishing que se denomina VibeScam, porque el sitio web falso «supera la barrera de "vibe" o sensaciones» y les manda tu contraseña a los ciberdelincuentes.

Estos ataques usan técnicas de ingeniería social que te manipulan para que actúes sin pensar. Por desgracia, muchas víctimas de phishing no tienen ni idea de que algo anda mal hasta que es demasiado tarde.

Y el correo electrónico no es el único vehículo del phishing. Las llamadas telefónicas (y el spoofing telefónico) siguen siendo populares, al igual que los mensajes de texto y las redes sociales. Muchas llamadas telefónicas, especialmente las relacionadas con tarjetas de crédito o cuentas bancarias, son en realidad el inicio de una estafa de phishing.

Ataque de relleno de credenciales

Un ataque de relleno de credenciales es cuando un hacker usa tus credenciales de inicio de sesión de una cuenta para obtener acceso a tus otras cuentas. Los ataques de fuerza bruta confían en el ensaño y error de las contraseñas, el relleno de credenciales reutiliza una contraseña conocida en varias cuentas.

Los ataques de relleno de credenciales son una técnica de hackeo muy eficaz contra víctimas que reutilizan los mismos datos de inicio de sesión en varias cuentas. Por eso es importante tener contraseñas únicas para cada cuenta. Si un hacker obtiene acceso a una cuenta, puede tener acceso a todas ellas.

Los rellenadores de credenciales pueden haber obtenido una de tus contraseñas de cuenta en los mercados de la web oscura a través de una estafa de phishing anterior o usando un malware como un registrador de pulsaciones, que registra lo que escribes.

Protege tus cuentas con Avast BreachGuard

Las contraseñas seguras no sirven de nada si un sitio web filtra tus datos, pero pueden ser la diferencia entre hackear o no una cuenta. Los ciberdelincuentes comercian con datos de inicio de sesión en la web oscura, pero Avast BreachGuard supervisa constantemente la web para localizar tus datos y te avisa cuando estos aparecen, lo que te permite actuar rápidamente para proteger el resto de tus cuentas en internet.

Descarga Avast BreachGuard para ver tu nivel de privacidad único con consejos prácticos para mejorarlo. Además, solicita automáticamente a los corredores de datos que eliminen tus datos y ofrece consejos de expertos si tus datos quedan desprotegidos.