¿Qué significan las puntuaciones 0-4?

La escala 0-4 corresponde al tiempo de descifrado: - **Puntuación 0**: descifrada al instante (segundos) - **Puntuación 1**: débil (horas) - **Puntuación 2**: aceptable (online vale, offline 1-7 días) - **Puntuación 3**: fuerte (online inviable, offline más de 1 año) - **Puntuación 4**: muy fuerte (offline >100 años) **Objetivo**: cuentas normales **3 o más**, banca / contraseña maestra **4**.

¿Cuáles son los "cuatro escenarios de descifrado"?

Cuatro modelos de amenaza con velocidades de ataque distintas: - **Online con limitación**: el servicio limita intentos ("3 fallos = 5 min de bloqueo"), 100 intentos/hora - **Online sin limitación**: sin límite, 10/s - **Offline contra hash lento**: el atacante tiene una BBDD de hashes **bcrypt/argon2**, 10.000/s en CPU - **Offline contra hash rápido**: hashes **MD5/SHA-1** + clúster de GPU, 10.000 millones/s **Tu contraseña debe sobrevivir a los 4**; fíjate en el tiempo del peor escenario.

¿zxcvbn entiende contraseñas en otros idiomas?

**Parcialmente**. La lista de contraseñas populares es **global** (incluye entradas en varios idiomas). Los **diccionarios son en inglés**, así que nombres propios o palabras no inglesas **no se detectan**. **Regla práctica**: para contraseñas en otros idiomas **resta 1 punto** (zxcvbn 4 = realmente 3 frente a un ataque de diccionario localizado).

¿La contraseña llega al servidor?

**No**. zxcvbn-ts es una librería de JS empaquetada en el navegador, **todo el análisis es en cliente**. Los diccionarios también son locales (~200 KB al primer análisis). **DevTools > Network** = ninguna petición con la contraseña.

Mi gestor de contraseñas dice que es fuerte y vosotros que es débil, ¿por qué?

La mayoría de gestores (1Password, Bitwarden, Llavero) muestran **bits de entropía** o un análisis interno más simple. Los bits de entropía **asumen aleatoriedad** (sobreestiman mucho con contraseñas no aleatorias). **zxcvbn es más estricto**: detecta patrones y no se fía de la longitud. "asdfghjkl12345" parece larga y fuerte con análisis simple; en zxcvbn = secuencia de teclado detectada + dígitos = **débil**. **Fíate de zxcvbn**.

¿Puntuación 4 = contraseña perfecta?

**Puntuación 4** = suficientemente fuerte frente a los ataques actuales (2024-2026). **No es perfecta**: es el tope de la escala de zxcvbn. **Una contraseña vale lo que vale el sitio donde la usas**: la misma contraseña con puntuación 4 en 5 servicios = una filtración compromete todo. **Regla**: cada cuenta = **contraseña única**, todas con **puntuación 3 o más**, las críticas (banca, correo, gestor) con **puntuación 4**.

¿Cómo subo la puntuación de una contraseña débil?

**Paso 1**: aplica las sugerencias de zxcvbn (apuntan a la causa concreta). Normalmente: **más larga** (6 palabras o más para frase, 16 caracteres o más para aleatoria), **mezclar letras y dígitos en sitios NO predecibles** (no "Contrasena2024", algo más aleatorio). **Paso 2**: regenera desde cero con el [generador de contraseñas](/es/generador-de-contrasenas) o el [generador de frase de contraseña](/es/generador-de-frase-clave). **Cualquier frase aleatoria de 6 palabras saca 4 automáticamente**.

Comprobador de seguridad de contraseñas - gratis

Tu contraseña

Todo se ejecuta localmente. La contraseña nunca sale del navegador.

¿Cómo saber si mi contraseña es realmente fuerte?

Escribe una contraseña y obtén una puntuación 0-4 (de "Muy débil" a "Muy fuerte") más una explicación concreta del PORQUÉ.

A diferencia de un medidor de entropía simple, zxcvbn (la librería de Dropbox) detecta patrones: palabras del diccionario, años de nacimiento, recorridos de teclado (qwerty), repeticiones, leetspeak (P@ssw0rd) y apellidos.

Muestra el tiempo de descifrado en 4 escenarios (online con limitación de intentos, online sin ella, offline contra bcrypt, offline contra MD5+GPU). Todo se ejecuta en local, la contraseña no sale del navegador.

Cómo usarlo

Escribe la contraseña; el campo está enmascarado (puntos). Pulsa el icono del ojo para mostrarla.

Lee el resultado en vivo: la barra de color muestra 0-4 (rojo→verde).

Mira la sección "Patrones detectados": zxcvbn te indica QUÉ parte es palabra de diccionario, QUÉ es un año de nacimiento, QUÉ es una secuencia de teclado.

Aplica las "Sugerencias" de la librería: "Añade otra palabra", "Evita los años", "Mezcla mayúsculas y minúsculas". Cada sugerencia sube la puntuación.

Objetivo: puntuación=4 ("Muy fuerte") + sin advertencias. Tiempo de descifrado offline-rápido >100 años = prácticamente irrompible.

Cuándo es útil

Cinco situaciones típicas en las que valorar la fortaleza te ahorra un desastre:

Auditar tus propias contraseñas. Revisa todas las del gestor empezando por las más débiles.
Política corporativa. Prueba contraseñas de ejemplo contra tus reglas; verás si "mínimo 8 caracteres, mayúscula y dígito" produce de verdad contraseñas fuertes (normalmente no: zxcvbn dirá que "Verano2024!" es débil aunque cumpla los criterios).
Formación al equipo. Demuestra que "una contraseña que se me acaba de ocurrir" tiene 30 bits de entropía.
Onboarding de empleados nuevos. Revisa la contraseña temporal propuesta antes de crear la cuenta.
Contraseñas para discos externos, archivos ZIP o claves PGP. Cada una merece una prueba rigurosa, porque no son de un solo uso.

Cuando encuentres una contraseña débil, genera una contraseña fuerte y comprueba que no esté filtrada.

Preguntas y respuestas

La entropía de `longitud × log2(conjunto)` asume que la contraseña es ALEATORIA. La mayoría de contraseñas humanas NO lo son. "Verano2024!" parece tener 11 caracteres = 67 bits, pero en realidad es una palabra de diccionario + año + sufijo habitual (~25 bits, se descifra en horas). zxcvbn reconoce patrones y da una estimación realista. Se ejecuta contra más de 30.000 contraseñas comunes, diccionarios, fechas y recorridos de teclado.

¿Cómo saber si mi contraseña es realmente fuerte?

Escribe una contraseña y obtén una puntuación 0-4 (de "Muy débil" a "Muy fuerte") más una explicación concreta del PORQUÉ.

Cómo usarlo

Escribe la contraseña; el campo está enmascarado (puntos). Pulsa el icono del ojo para mostrarla.

Lee el resultado en vivo: la barra de color muestra 0-4 (rojo→verde).

Mira la sección "Patrones detectados": zxcvbn te indica QUÉ parte es palabra de diccionario, QUÉ es un año de nacimiento, QUÉ es una secuencia de teclado.

Aplica las "Sugerencias" de la librería: "Añade otra palabra", "Evita los años", "Mezcla mayúsculas y minúsculas". Cada sugerencia sube la puntuación.

Objetivo: puntuación=4 ("Muy fuerte") + sin advertencias. Tiempo de descifrado offline-rápido >100 años = prácticamente irrompible.

Cuándo es útil

Cinco situaciones típicas en las que valorar la fortaleza te ahorra un desastre:

Auditar tus propias contraseñas. Revisa todas las del gestor empezando por las más débiles.
Política corporativa. Prueba contraseñas de ejemplo contra tus reglas; verás si "mínimo 8 caracteres, mayúscula y dígito" produce de verdad contraseñas fuertes (normalmente no: zxcvbn dirá que "Verano2024!" es débil aunque cumpla los criterios).
Formación al equipo. Demuestra que "una contraseña que se me acaba de ocurrir" tiene 30 bits de entropía.
Onboarding de empleados nuevos. Revisa la contraseña temporal propuesta antes de crear la cuenta.
Contraseñas para discos externos, archivos ZIP o claves PGP. Cada una merece una prueba rigurosa, porque no son de un solo uso.

Cuando encuentres una contraseña débil, genera una contraseña fuerte y comprueba que no esté filtrada.

Preguntas y respuestas

Comprobador de seguridad de contraseñas

¿Cómo saber si mi contraseña es realmente fuerte?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de contraseñas

Generador de frases de contraseña

Comprobador de contraseñas filtradas

Comprobador de seguridad de contraseñas

¿Cómo saber si mi contraseña es realmente fuerte?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de contraseñas

Generador de frases de contraseña

Comprobador de contraseñas filtradas