← Back to Blog

Por qué a los atacantes les encantan las contraseñas creadas por humanos

2025-12-23

Este artículo se basa en investigaciones de ciberseguridad disponibles públicamente, informes de la industria y prácticas de seguridad ampliamente aceptadas. Donde se menciona experiencia personal, se indica explícitamente.

Una brecha que la mayoría olvidó, pero no debería

En 2012, LinkedIn fue golpeado por lo que fue, en ese momento, una de las mayores filtraciones de datos de la historia. Análisis posteriores mostraron que aproximadamente 167 millones de registros de cuentas fueron expuestos, y alrededor de 117 millones de ellos incluían direcciones de correo electrónico y hashes de contraseñas.

Cuando los equipos de seguridad examinaron las contraseñas descifradas, los resultados fueron dolorosamente familiares. password1, linkedin123 y opciones similares de bajo esfuerzo aparecieron por millones. Más interesante —y más preocupante—, incluso las contraseñas que parecían inteligentes, como L!nk3d1n2020, cayeron rápidamente. ¿Por qué? Porque seguían patrones que los humanos usan casi siempre.

He pasado más de quince años trabajando en pruebas de penetración de ciberseguridad. Mi trabajo es entrar en sistemas —legalmente— utilizando los mismos métodos en los que confían los atacantes reales. Las contraseñas no son un tema teórico para mí; son algo que veo fallar en la práctica cada día.

Cómo se atacan realmente las contraseñas

Para entender por qué algunas contraseñas sobreviven y otras no, necesitas mirar desde el lado del atacante. Los atacantes no se sientan a adivinar contraseñas una por una. Automatizan todo.

  1. Ataques de Diccionario (Dictionary Attacks): Se basan en colecciones masivas de contraseñas reales, palabras, frases y variaciones recopiladas de años de filtraciones de datos. Estos diccionarios contienen miles de millones de entradas y siguen creciendo.
  2. Ataques Basados en Reglas (Rule-Based Attacks): Son devastadoramente efectivos contra la creatividad humana. Las herramientas aplican automáticamente hábitos comunes: cambiar "o" por "0", añadir "123" o "!" al final, poner en mayúscula la primera letra, insertar un año, etc. La mayoría de las contraseñas "inteligentes" caen aquí.
  3. Fuerza Bruta (Brute Force): Probar todas las combinaciones posibles. Esto suena aterrador, pero contra contraseñas largas y verdaderamente aleatorias almacenadas con algoritmos de hash modernos, la fuerza bruta se vuelve rápidamente impráctica simplemente porque lleva demasiado tiempo.

El problema con las contraseñas creadas por uno mismo

Nos gustan las contraseñas que inventamos nosotros mismos porque se sienten personales y memorables. Desafortunadamente, la investigación —y la experiencia— muestra que también son altamente predecibles.

  • Los patrones se repiten: Estudios a gran escala, incluido el trabajo de la Universidad Carnegie Mellon, muestran consistentemente las mismas estructuras: una palabra o nombre, una letra mayúscula al principio y números o símbolos al final. El contenido cambia, pero la forma sigue siendo la misma. Una vez que los atacantes modelan esa estructura, el descifrado se vuelve dramáticamente más rápido.
  • La longitud tiene un techo: La mayoría de las contraseñas creadas por usuarios se sitúan entre 8 y 10 caracteres. No porque la gente no sepa que más largo es más seguro, sino porque la memoria nos empuja hacia cadenas más cortas.
  • La información personal se filtra: Cumpleaños, nombres de mascotas, aniversarios... la gente los usa constantemente. Y en la era de las redes sociales, los atacantes a menudo ni siquiera necesitan adivinar.

Por qué las contraseñas aleatorias juegan un juego diferente

Una contraseña creada por un generador de contraseñas aleatorias seguro —algo como r8$NpL#2qW9— no es solo "más compleja". Es fundamentalmente diferente.

Cada carácter se elige de forma independiente. No hay palabras, no hay sustituciones, no hay lógica humana. Ese simple hecho elimina las herramientas más poderosas del atacante: diccionarios y reglas.

Desde una perspectiva numérica:

  • Una contraseña de 8 caracteres usando solo letras minúsculas tiene aproximadamente 26⁸ posibilidades (~209 mil millones).
  • Añade mayúsculas, números y símbolos, y de repente estás alrededor de 95⁸ (~6 cuatrillones).
  • Llévalo a 12 caracteres y el espacio se vuelve astronómicamente grande.

Pero la ventaja real no es solo el tamaño: es que las contraseñas aleatorias obligan a los atacantes a usar la fuerza bruta, que es lenta, costosa y a menudo no vale la pena el esfuerzo.

Cómo se ve romper estas contraseñas en la práctica

Desde el punto de vista de un probador de penetración, la diferencia es clara:

| Tipo de Contraseña | Ejemplo | Método del Atacante | Tiempo para Descifrar | | :--- | :--- | :--- | :--- | | Creada por uno mismo | Tiger2021! | Diccionario y Basado en Reglas | Minutos a Horas | | Generada Aleatoriamente | r8$NpL#2qW9 | Fuerza Bruta Pura | Años / Siglos |

Si la contraseña está correctamente hasheada con algo como bcrypt o Argon2, la fuerza bruta contra la cadena aleatoria implica un marco de tiempo que hace que el ataque sea inviable. En la mayoría de los casos del mundo real, el atacante simplemente sigue adelante.

El verdadero compromiso: Humanos vs. Aleatoriedad

La mayor debilidad de las contraseñas aleatorias no es la seguridad, es la usabilidad. Los humanos son terribles recordando cadenas sin significado. Esa es la tensión central en la seguridad de las contraseñas:

  • Las contraseñas que los humanos recuerdan bien tienden a ser débiles.
  • Las contraseñas que son fuertes tienden a ser inmemorables.

Las prácticas de seguridad modernas existen para cerrar esa brecha.

Qué funciona realmente hoy en día

Basado en el consenso de la industria y la experiencia del mundo real:

  1. Usa un Gestor de Contraseñas: Herramientas como Bitwarden o 1Password te permiten confiar en una única contraseña maestra fuerte mientras todo lo demás es largo, aleatorio y único. Esta es ampliamente considerada la mejor opción para la mayoría de las personas.
  2. Si debes memorizar, usa longitud: Una cadena de palabras no relacionadas (por ejemplo, coffee-zebra-battery-stapler) es a menudo más resistente al ataque —y más fácil de recordar— que una contraseña corta llena de símbolos.
  3. Nunca reutilices contraseñas: Una vez que un sitio es vulnerado, la reutilización lo convierte en un efecto dominó.
  4. Activa MFA: Correo electrónico, banca, cuentas en la nube... usa siempre la autenticación multifactor.
  5. Verifique la exposición a violaciones: Servicios como Have I Been Pwned te permiten ver si tu correo electrónico aparece en conjuntos de datos de violaciones conocidos.

Pensamientos Finales

Esto no es un debate filosófico sobre si los humanos o las máquinas hacen "mejores" contraseñas. Se trata de gestión de riesgos.

Las computadoras son buenas generando aleatoriedad. Los humanos son buenos protegiendo un solo secreto y respondiendo a avisos como MFA. El enfoque más seguro es dejar que cada uno haga lo que mejor sabe hacer.

¿Listo para mejorar tu seguridad? Genera una contraseña fuerte sin conexión ahora para proteger tus cuentas inmediatamente.