Saltar al contenido principal

Entropía de contraseñas - Cómo medir la verdadera fortaleza

Lectura de 2 min aprox.

La entropía es una medida de la incertidumbre en la teoría de la información y, en el contexto de las contraseñas, es un indicador que expresa, en bits, lo difícil que es predecir una contraseña. Cuanto mayor es el valor de la entropía, más difícil es adivinar la contraseña. La entropía de una contraseña se calcula a partir del número de tipos de caracteres y la longitud utilizada, lo que permite evaluar cuantitativamente su resistencia a los ataques de fuerza bruta.

Método de cálculo y ejemplos numéricos concretos

La entropía de una contraseña se calcula como «log2(número de tipos de caracteres) x longitud». A continuación se muestra la entropía de algunas configuraciones representativas.

  • Solo letras minúsculas (26 tipos) x 8 caracteres = unos 37,6 bits (descifrable en segundos)
  • Letras mayúsculas y minúsculas + dígitos (62 tipos) x 10 caracteres = unos 59,5 bits (el mínimo para uso general)
  • Letras mayúsculas y minúsculas + dígitos + símbolos (95 tipos) x 12 caracteres = unos 78,8 bits (nivel recomendado)
  • Letras mayúsculas y minúsculas + dígitos + símbolos (95 tipos) x 16 caracteres = unos 105 bits (alta seguridad)
  • Letras mayúsculas y minúsculas + dígitos + símbolos (95 tipos) x 20 caracteres = unos 131 bits (prácticamente imposible de descifrar)

El medidor de fortaleza de passtsuku.com muestra la fortaleza de la contraseña en tiempo real con base en este cálculo. Para aumentar la entropía, lo más eficaz es aumentar la longitud. Aumentar la longitud contribuye más a la entropía que aumentar el número de tipos de caracteres.

Los conceptos de teoría de la información y entropía se pueden aprender desde lo básico con libros de introducción a la teoría de la información (Amazon).

Casos de uso reales

«Al revisar nuestra política de contraseñas, elevamos la entropía mínima de 60 bits a 80 bits. Establecimos una longitud mínima de 12 caracteres y también prohibimos concatenar palabras del diccionario.»

Aplicación práctica y errores comunes

La entropía es un indicador teórico de la fortaleza de una contraseña, pero en la práctica hay puntos a tener en cuenta. El cálculo de la entropía supone una «generación completamente aleatoria», y las contraseñas ideadas por personas son vulnerables a los ataques de diccionario y al análisis de patrones, por lo que su fortaleza real es menor que la entropía calculada. Por ejemplo, «P@ssw0rd123!» tiene una gran variedad de tipos de caracteres y parece tener una entropía calculada alta, pero al ser un patrón muy conocido, un ataque de diccionario la rompe al instante. Para servicios web generales se recomienda una entropía de 60 bits o más, y para servicios financieros y cuentas importantes, 80 bits o más. Con 120 bits o más, es prácticamente imposible de descifrar con la tecnología informática actual. Teniendo en cuenta el rendimiento de las GPU en 2025, las contraseñas con una entropía inferior a 60 bits corren el riesgo de ser descifradas en pocas horas, por lo que se recomienda apuntar a 80 bits o más. Si se utiliza un generador de números aleatorios criptográficamente seguro, se pueden generar contraseñas verdaderamente aleatorias cuya entropía calculada coincide con su fortaleza real.libros sobre criptoanálisis y matemáticas (Amazon) también ayudan a comprender el trasfondo teórico.

Términos relacionados

¿Te resultó útil este artículo?

XHatena