¿Qué es la Calculadora de Tiempo para Descifrar Contraseñas?
Esta herramienta estima cuánto tiempo necesitaría un atacante para descifrar tu contraseña por fuerza bruta, es decir, probando todas las combinaciones posibles. El cálculo se basa en la longitud de la contraseña, el tamaño del conjunto de caracteres que utiliza y cuántos intentos por segundo puede realizar el atacante. El resultado es una estimación aproximada y teórica: en la práctica, los ataques reales suelen recurrir a diccionarios y patrones que descifran las contraseñas débiles mucho más rápido.
Cómo usarla
Introduce la longitud de la contraseña, marca cada tipo de carácter que utiliza (minúsculas, mayúsculas, dígitos, símbolos) y define la velocidad de intentos del atacante. Un equipo moderno con GPU puede realizar 10.000 millones (10.000.000.000) de intentos por segundo contra hashes rápidos, mientras que un hash lento como bcrypt puede limitar al atacante a unos pocos miles por segundo.
La fórmula explicada
El número total de combinaciones es el tamaño del conjunto de caracteres C elevado a la longitud L: \(C^{L}\). Al dividir entre la velocidad de intentos g obtenemos el tiempo en el peor de los casos. Como, de media, la contraseña correcta se encuentra tras recorrer la mitad del espacio de búsqueda, dividimos entre dos:
$$t = \frac{C^{L}}{2g}$$La entropía en bits es \(L \times \log_{2} C\): cada bit adicional duplica el esfuerzo necesario para descifrarla.
Ejemplo práctico
Una contraseña de 8 caracteres en minúsculas utiliza un conjunto de 26 caracteres, por lo que existen \(26^{8} = 208{.}827{.}064{.}576\) combinaciones. Frente a un atacante capaz de hacer 1.000 millones de intentos por segundo, el tiempo medio para descifrarla es
$$\frac{208{.}827{.}064{.}576}{2 \times 1{.}000{.}000{.}000} \approx 104{,}4 \text{ segundos.}$$Si añades mayúsculas, dígitos y símbolos, el conjunto sube a 94 caracteres y el tiempo aumenta de forma drástica.
Tamaños de conjuntos de caracteres
La base \(C\) de la fórmula es el recuento de caracteres distintos que un atacante debe considerar por posición. Es la suma de los tamaños de cada clase de caracteres de la que podría extraerse su contraseña. Combinaciones comunes:
| Conjunto de caracteres | Símbolo | Tamaño |
|---|---|---|
| Letras minúsculas (a–z) | [a-z] | 26 |
| Letras mayúsculas (A–Z) | [A-Z] | 26 |
| Dígitos (0–9) | [0-9] | 10 |
| Símbolos ASCII comunes | [sym] | 32 |
| Minúsculas + dígitos | [a-z0-9] | 36 |
| Minúsculas + mayúsculas | [a-zA-Z] | 52 |
| Letras + dígitos (alfanumérico) | [a-zA-Z0-9] | 62 |
| Las cuatro clases | [a-zA-Z0-9 sym] | 94 |
Los 32 "símbolos comunes" reflejan el conjunto de puntuación ASCII imprimible !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ más el espacio, que junto con los 62 caracteres alfanuméricos constituyen el pool estándar de 94 caracteres ASCII imprimibles.
Interpretación de su tiempo de descifrado
El tiempo de descifrado y la entropía de contraseña miden lo mismo desde dos ángulos. La entropía en bits para una contraseña aleatoria es \(H = L\log_2 C\); cada bit adicional duplica el número de intentos requeridos y, por lo tanto, duplica el tiempo promedio de descifrado a una velocidad de intento fija. Una lectura aproximada del recuento de bits:
- Menos de 40 bits — débil. Este rango (por ejemplo, una contraseña de 8 caracteres solo en minúsculas de \(\approx 37,6\) bits) se descifra en segundos a días contra hardware offline rápido y no debería proteger nada sensible.
- ~60–70 bits — moderado. Resiste ataques offline casuales pero está al alcance de clústeres GPU bien financiados con el tiempo.
- 80 bits y superiores — fuerte. Se considera infactible forzar mediante fuerza bruta con la tecnología actual y previsible; una contraseña de 12 caracteres de todas las clases alcanza aproximadamente 78 bits y una de 16 caracteres alrededor de 105 bits.
La guía de identidad digital de NIST (SP 800-63B) enfatiza longitud sobre reglas de complejidad forzada, recomienda permitir frases de contraseña largas y aconseja examinar contraseñas contra listas de vulneración y diccionario en lugar de exigir clases de caracteres mixtos — precisamente porque el tiempo de fuerza bruta a continuación asume una contraseña verdaderamente aleatoria.
Advertencia importante: estas cifras son un límite superior. La fórmula asume que cada carácter se elige uniformemente al azar en todo el conjunto. Los atacantes reales no comienzan desde "aaaaaaaa" — ejecutan diccionarios, listas de contraseñas filtradas, patrones de teclado, nombres, fechas y sustituciones predecibles primero. Una contraseña como P@ssw0rd123 tiene un conjunto de caracteres nominal y longitud grandes pero se descifra casi instantáneamente porque aparece en listas de palabras. Trate el tiempo calculado como significativo solo para contraseñas generadas por un proceso aleatorio, no elegidas por un humano.
Esta es información de seguridad general, no una garantía de seguridad para ninguna cuenta específica; combine contraseñas fuertes únicas con autenticación multifactor.
Preguntas frecuentes
¿Por qué se divide entre dos? La fuerza bruta encuentra la contraseña en algún punto del espacio de claves; de media, ese punto está a mitad de camino, así que el tiempo esperado es la mitad del máximo.
¿Es una garantía? No. La calculadora supone una contraseña totalmente aleatoria. Las contraseñas reutilizadas, de diccionario o basadas en patrones se descifran mucho más rápido, sin importar su longitud.
¿Qué tamaño de conjunto de caracteres debo elegir? Marca únicamente los tipos de carácter que realmente aparecen. Aquí se asume que los símbolos forman un conjunto de 32 signos de puntuación habituales.
