Qué produce el Generador de Contraseñas
El Generador de Contraseñas crea contraseñas aleatorias y fuertes, listas para meter en cualquier cuenta o gestor de contraseñas. Pulsa Generar y obtienes algo así:
kT9$mB&pQ2zX5*nF · Wx7!hY#rL3eA8@cV · pN4?jM%bU6kQ$gZ
Cada contraseña tiene 16 caracteres por defecto: lo bastante larga para resistir ataques de fuerza bruta, lo bastante corta para teclearla si alguna vez te toca. La longitud, las clases de caracteres (mayúsculas, minúsculas, dígitos, símbolos) y la cantidad son ajustables. El generador se ejecuta entero en tu navegador: nada cruza la red y ninguna contraseña se guarda nunca.
Por qué usar un generador en vez de inventarse una
Las personas somos malísimas siendo aleatorias, y de forma predecible. Los estudios sobre bases de datos de contraseñas filtradas encuentran los mismos patrones una y otra vez: años de nacimiento, nombres, secuencias del teclado (qwerty, 12345), una sola palabra del diccionario con un número y un signo de exclamación al final. Elige una cadena "aleatoria" tú mismo y hay muchas posibilidades de que un atacante haya visto ya ese patrón.
Un generador de contraseñas resuelve tres problemas a la vez:
- Aleatoriedad real: la salida viene de aleatoriedad criptográfica, no de algo que se pueda adivinar sobre su origen.
- Cumplimiento de clases de caracteres: la mayoría de cuentas exigen al menos una mayúscula, un dígito y un símbolo; el generador lo cumple automáticamente.
- Velocidad: produces una contraseña nueva en menos de un segundo y la pegas directamente en tu gestor de contraseñas, sin la tentación de reutilizar.
El problema de la "reutilización" importa más de lo que parece. Cerca del 65 % de los usuarios de internet admite reutilizar la misma contraseña en varios sitios. Cuando un sitio sufre una filtración, los atacantes prueban esas credenciales contra el resto de servicios importantes: el credential stuffing es la mayoría de los ataques automatizados de toma de cuentas. Un generador elimina la fricción que vuelve tentadora la reutilización en primer lugar.
Cómo funciona el generador
Por dentro, el Generador de Contraseñas usa crypto.getRandomValues(): el generador de números aleatorios criptográficamente seguro de tu navegador. Es muy distinto a Math.random(), que es determinista y no sirve para fines de seguridad.
La salida de crypto.getRandomValues() es apta para contraseñas de cuentas reales. La misma API se usa para generar tokens de sesión, claves de cifrado y otros valores sensibles de seguridad en aplicaciones web en producción.
La generación va carácter a carácter: el generador muestrea de forma uniforme el alfabeto elegido, aplica las restricciones que hayas definido (debe incluir un símbolo, debe incluir un dígito) y concatena el resultado. Si pides una contraseña nueva, muestrea otra vez desde cero: no hay relación entre salidas consecutivas.
Un detalle importante: por defecto el generador garantiza que tu contraseña contenga al menos un carácter de cada clase activada. Sin esta garantía, una contraseña de 16 caracteres del alfabeto ASCII completo de 94 podría carecer ocasionalmente de un símbolo y fallar los requisitos de complejidad del sitio.
Personalizar la salida
Los valores por defecto sirven para la mayoría de casos, pero cada opción importa en escenarios concretos:
| Opción | Por defecto | Rango | Cuándo cambiarla |
|---|---|---|---|
| Longitud | 16 | 4–64 | Sube a 20+ para wallets de cripto, contraseñas maestras, cuentas root |
| Mayúsculas A–Z | Activadas | On / Off | Solo desactivar cuando un sitio rechace mayúsculas (raro) |
| Minúsculas a–z | Activadas | On / Off | Déjalas siempre activadas |
| Dígitos 0–9 | Activados | On / Off | Déjalos siempre activados |
| Símbolos !@#$… | Activados | On / Off | Desactiva si un sitio los rechaza; sube la longitud a 20 para compensar |
| Evitar ambiguos | Desactivado | On / Off | Activa si vas a teclear la contraseña a mano (excluye O, 0, I, l, 1) |
Para la mayoría de webs, 16 caracteres con las cuatro clases de caracteres es de sobra. Las matemáticas: 16 caracteres × ~94 símbolos posibles por posición ≈ 1031 combinaciones posibles. Una granja de GPUs moderna haciendo ~100.000 millones de intentos por segundo necesitaría todavía del orden de billones de años para agotar el espacio.
Para contraseñas maestras de gestores, frases semilla de wallets de cripto y credenciales similarmente críticas, llevar la longitud a 20-24 es razonable. El coste de recordar una contraseña extralarga (solo tienes una) es mucho menor que el de que alguien la rompa.
Buenas prácticas y consideraciones
Una contraseña fuerte es necesaria pero no suficiente. El Generador de Contraseñas se encarga del "hacerla aleatoria y fuerte"; el cuadro completo tiene unas cuantas piezas más:
- Una contraseña única por sitio. La reutilización es la causa número uno de cuentas comprometidas, incluso cuando las contraseñas individuales son fuertes.
- Usa un gestor de contraseñas. 1Password, Bitwarden, KeePass: cualquiera vale. El sentido del generador es que no tengas que recordar su salida; el gestor lo hace por ti.
- Activa la autenticación en dos pasos. Aunque una contraseña se filtre, sin 2FA no se entra. Las apps de autenticación baten al SMS donde estén disponibles.
- Sáltate las "preguntas de seguridad". Las frases de paso memorables pero raras (cuatro palabras aleatorias del diccionario, ~25 caracteres) sirven para las muy pocas cuentas que de verdad tengas que teclear: el login del portátil, el código del móvil. Las cadenas aleatorias generadas son para todo lo demás.
- No anotes contraseñas en archivos de texto plano, post-its o apps de notas sin cifrar. El gestor de contraseñas existe para eso.
Sobre longitud vs complejidad: una contraseña de 20 caracteres solo en minúsculas es más difícil de romper que una de 12 con todos los símbolos. Gana la longitud. Si un sitio limita ambas, prioriza llegar a 16+ caracteres antes de preocuparte por la variedad de caracteres.
Otra cosa: no te fíes de los medidores de fortaleza en las páginas de registro. La mayoría son toscos: premian "P@ssw0rd!" porque tiene las clases de caracteres pedidas, pero es una de las contraseñas más rotas que existen. Una contraseña realmente fuerte es a la vez larga e imprevisible, y un medidor solo verifica la primera mitad. La salida del Generador de Contraseñas es imprevisible por construcción, así que cualquier contraseña que produzca pasa cualquier medidor sin problema.
Vale la pena conocer las frases de paso: una cadena de cuatro o cinco palabras aleatorias en español (caballocorrectogrampabateria es el ejemplo famoso) puede ser a la vez memorable y segura, con unos 50-70 bits de entropía. Sirven para el pequeño conjunto de contraseñas que de verdad tengas que recordar: la contraseña maestra del gestor, el login del portátil, el código del móvil. Para el resto, las cadenas aleatorias del Generador de Contraseñas son más cortas, más compatibles con los requisitos de los sitios e igual de fuertes. Usa ambas: frases de paso para las pocas que recuerdes, cadenas generadas para los cientos que no.
Generadores relacionados
¿Construyendo un kit de seguridad o fixtures de prueba? Algunos generadores de Microapp lo completan:
- Generador de UUID: para identificadores únicos en bases de datos, peticiones de API y seguimiento de sesión. v4 aleatorio por defecto; apto criptográficamente.
- Generador de Números Aleatorios: cuando necesitas números aleatorios acotados (tiradas de dados, sorteos, tamaños de muestra) en lugar de cadenas.
- Generador de Hash MD5 y Generador de SHA-256: para hashear contraseñas, archivos o cadenas (nota: no guardes contraseñas de usuario como MD5/SHA-256 a secas; usa bcrypt o argon2 en servidor).
- Generador de Email: direcciones de marcador para pruebas. Combina las direcciones generadas con la salida del generador de contraseñas para fixtures de prueba completos.
Preguntas frecuentes
¿Estas contraseñas son realmente seguras para cuentas reales?
Sí. El generador usa crypto.getRandomValues(), el mismo generador seguro de aleatoriedad usado para generar tokens de sesión y claves de cifrado en apps en producción. Una contraseña de 16 caracteres de este generador tiene unos 1031 valores posibles, muy por encima de lo que el hardware actual puede romper por fuerza bruta. Para cuentas del día a día, contraseñas maestras de gestores y frases de wallets de cripto, la salida es apta.
¿Se envía la contraseña generada a algún servidor?
No. La generación se ejecuta entera en tu navegador con JavaScript. Nada cruza la red. El servidor de Microapp no tiene registro de ninguna contraseña generada.
Si genero las mismas opciones dos veces, ¿saldrá la misma contraseña?
No: ese es el punto. Cada clic produce una muestra aleatoria nueva. No hay relación entre salidas consecutivas, ni siquiera con los mismos ajustes.
¿Puedo usar la misma contraseña generada para varias cuentas?
Nunca. Reutilizar contraseñas entre sitios es la causa principal de los ataques de credential stuffing (donde credenciales filtradas de una brecha se prueban contra otros servicios). Genera una por cuenta y guárdalas en un gestor de contraseñas.
¿Cuál es la configuración más fuerte?
Para cuentas típicas, 16 caracteres con las cuatro clases es de sobra. Para contraseñas maestras, claves de cifrado o cualquier cosa que consideres catastrófica si se compromete, sube a 20-24 caracteres con todas las clases activadas. Más allá, la ganancia marginal de seguridad se reduce.
¿Por qué mi banco rechaza la contraseña generada?
Algunos sitios tienen restricciones heredadas de conjuntos de caracteres: rechazan símbolos concretos (a menudo $, %, &) o limitan la longitud a 12. Desactiva los símbolos y sube la longitud a 20+ para compensar. Eso da una fortaleza aproximadamente equivalente usando solo letras y dígitos.
¿Y las "frases de paso" (passphrases): cuatro palabras aleatorias?
Las frases de paso (estilo caballocorrectogrampabateria) son ideales para las muy pocas contraseñas que tienes que teclear de memoria: login del portátil, contraseña maestra del gestor, código del móvil. Para todo lo demás, una cadena aleatoria de este generador es más corta, más compatible con los requisitos de los sitios e igual de fuerte. Usa las dos: la herramienta adecuada para cada trabajo.
¿Por qué unas contraseñas generadas son más fáciles de teclear que otras?
Puro azar. El generador muestrea uniformemente del alfabeto elegido, así que una contraseña individual puede mezclar caracteres parecidos (muchas O y 0) o alternar de forma incómoda entre mayúsculas y minúsculas. Si vas a teclear la contraseña a mano en vez de copiar y pegar, genera varias y elige la que mejor te entre por los dedos, o activa la opción "evitar caracteres ambiguos" para filtrar las combinaciones más complicadas.