¿Qué es el "cost factor"?

**El número que sigue a `$2b$`**, por ejemplo **`$2b$12$`** significa cost = 12. Eso son **2^cost rondas de hashing**. Cost 10 = 1024 rondas, 12 = 4096, 14 = 16384. **Estándar 2026**: **12-13** (~250 ms por hash, latencia de login aceptable pero brutal para un atacante con miles de millones de intentos).

¿Por qué la misma contraseña da hashes diferentes?

Porque bcrypt añade una **sal aleatoria** (16 bytes = 22 caracteres en bcrypt-base64). El hash contiene **sal + resultado**. El verificador extrae la sal, hashea la contraseña con esa sal y compara. **Esto bloquea las rainbow tables**.

¿`$2a$` vs `$2b$` vs `$2y$`?

Tres variantes de prefijo: - **`$2a$`**: versión original (2010) - **`$2b$`**: corregida en 2014 (bug con contraseñas de más de 72 bytes) - **`$2y$`**: variante específica de PHP de 2011, hoy alias de `$2b$` **Los sistemas nuevos usan `$2b$`**. El verificador acepta todas las variantes.

Si la contraseña tiene más de 72 caracteres, ¿hay problema?

**El bcrypt clásico trunca a 72 bytes**. Por eso "contrasenaA" + 64 caracteres aleatorios + cualquier cosa = **el mismo hash** que "contrasenaA" + 64 caracteres. En la práctica nadie usa contraseñas de más de 72 caracteres, pero **si tu sistema pre-hashea** (por ejemplo, SHA-256 → bcrypt), salta ese límite.

¿Por qué la verificación tarda unos cientos de ms?

Porque bcrypt es **INTENCIONADAMENTE lento**. El cost factor lo controla; cada ronda es un **Blowfish KDF**. Cost 12 = ~250 ms en una CPU moderna. **Es una característica, no un bug**: un atacante que pruebe miles de millones de contraseñas paga el mismo coste = **defensa en profundidad** incluso tras una filtración de BBDD.

**Argon2id** es "más nuevo" (2015, **recomendado por OWASP** para apps nuevas). **Bcrypt** es "más antiguo" pero **muy probado en producción** (desde 1999). **Práctica 2026**: **argon2id** para sistemas nuevos, **bcrypt** para los heredados. **Ambos son seguros**; las dos librerías están maduras.

¿Cómo genero un hash bcrypt?

Tenemos un [generador de hash](/es/hash-de-contrasena) que soporta **30+ algoritmos**, incluido **bcrypt con cost configurable**. Este verificador es el **complemento**: genera allí, verifica aquí.

Verificador de bcrypt - gratis

Comprobación de hash bcrypt

Pega una contraseña y un hash, obtén una respuesta al instante. Nada sale de tu navegador.

Todo se ejecuta localmente. La contraseña y el hash nunca salen del navegador.

¿Esta contraseña coincide con este hash bcrypt?

Escribe la contraseña original + el hash bcrypt ("$2b$12$...") y la herramienta devuelve coincide o no coincide.

Todo se ejecuta en local: ni la contraseña ni el hash salen de tu navegador.

Útil para desarrolladores: probar integraciones de auth, depurar problemas de login, verificar exportaciones de bases de datos. Soporta "$2a$", "$2b$" y "$2y$", todas las salidas modernas de bcrypt (Node bcryptjs, Python passlib, Ruby bcrypt-ruby, Java jBcrypt, PHP password_hash).

Cómo usarlo

Escribe la contraseña que quieres probar en el campo "Contraseña". Icono del ojo para mostrar/ocultar.

Pega el hash bcrypt: debe empezar por `$2a$`, `$2b$` o `$2y$` y tener exactamente 60 caracteres.

Pulsa "Verificar". La herramienta llama internamente a bcrypt.compare: hashea la contraseña con la sal extraída del hash y compara.

Resultado: "Coincide" en verde con el cost factor, o "No coincide" en rojo. El cost factor (4-15) = número de rondas de hashing (más alto = más lento y más seguro).

Cuándo es útil

Cinco situaciones típicas en las que un verificador de bcrypt te ahorra horas revisando logs:

Depuración de auth. Un usuario no puede iniciar sesión a pesar de "saber seguro" la contraseña; comprueba si el hash de la BBDD coincide.
Migraciones de base de datos. Tras importar desde otro sistema, verifica que los hashes se han transferido bien.
Code review / pen-testing. Comprobar si la app usa un cost factor suficientemente alto (10 como mínimo en 2026, 12 o más recomendado).
Recuperación. Una contraseña vieja de pruebas que olvidaste pero de la que conservas el hash: prueba variantes.
Formación. Ver cómo bcrypt produce hashes distintos para la misma contraseña (sal aleatoria), pero todos coinciden con el original.

Para generar un hash bcrypt usa nuestro generador de hash, que incluye bcrypt con cost factor configurable. Genera allí, verifica aquí.

Preguntas y respuestas

No. La verificación se ejecuta en el navegador: bcryptjs (la misma librería que usa Node.js) llamada en local. Puedes verificarlo en DevTools > Network, no hay subida.

¿Esta contraseña coincide con este hash bcrypt?

Escribe la contraseña original + el hash bcrypt ("$2b$12$...") y la herramienta devuelve coincide o no coincide.

Todo se ejecuta en local: ni la contraseña ni el hash salen de tu navegador.

Cómo usarlo

Escribe la contraseña que quieres probar en el campo "Contraseña". Icono del ojo para mostrar/ocultar.

Pega el hash bcrypt: debe empezar por `$2a$`, `$2b$` o `$2y$` y tener exactamente 60 caracteres.

Pulsa "Verificar". La herramienta llama internamente a bcrypt.compare: hashea la contraseña con la sal extraída del hash y compara.

Resultado: "Coincide" en verde con el cost factor, o "No coincide" en rojo. El cost factor (4-15) = número de rondas de hashing (más alto = más lento y más seguro).

Cuándo es útil

Cinco situaciones típicas en las que un verificador de bcrypt te ahorra horas revisando logs:

Depuración de auth. Un usuario no puede iniciar sesión a pesar de "saber seguro" la contraseña; comprueba si el hash de la BBDD coincide.
Migraciones de base de datos. Tras importar desde otro sistema, verifica que los hashes se han transferido bien.
Code review / pen-testing. Comprobar si la app usa un cost factor suficientemente alto (10 como mínimo en 2026, 12 o más recomendado).
Recuperación. Una contraseña vieja de pruebas que olvidaste pero de la que conservas el hash: prueba variantes.
Formación. Ver cómo bcrypt produce hashes distintos para la misma contraseña (sal aleatoria), pero todos coinciden con el original.

Para generar un hash bcrypt usa nuestro generador de hash, que incluye bcrypt con cost factor configurable. Genera allí, verifica aquí.

Preguntas y respuestas

No. La verificación se ejecuta en el navegador: bcryptjs (la misma librería que usa Node.js) llamada en local. Puedes verificarlo en DevTools > Network, no hay subida.

Verificador de bcrypt

¿Esta contraseña coincide con este hash bcrypt?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Hashes de contraseñas: MD5, SHA, bcrypt

Generador de archivo .htpasswd

Decodificador JWT

Verificador de bcrypt

¿Esta contraseña coincide con este hash bcrypt?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Hashes de contraseñas: MD5, SHA, bcrypt

Generador de archivo .htpasswd

Decodificador JWT