¿Cuántos caracteres debe tener una contraseña?

La longitud es el factor más determinante en la seguridad de una contraseña. Cada carácter adicional multiplica exponencialmente el número de combinaciones posibles, haciendo los ataques de fuerza bruta cada vez más inviables.

Recomendaciones por tipo de cuenta

• Cuentas críticas (banca, email, gestor de contraseñas): 20+ caracteres
• Cuentas importantes (redes sociales, trabajo): 16+ caracteres
• Cuentas estándar (foros, apps): 12+ caracteres
• WiFi doméstico: 16+ caracteres

La matemática detrás de la longitud

Con un conjunto de 95 caracteres posibles (mayúsculas, minúsculas, números y símbolos comunes) y un ataque de 10 billones de intentos por segundo:

• 8 caracteres: 95⁸ = 6,6 billones de combinaciones → crackeado en horas
• 12 caracteres: 95¹² = 540 cuatrillones → tardaría miles de años
• 16 caracteres: 95¹⁶ = número astronómico → prácticamente imposible

Longitud vs complejidad

Una contraseña larga pero simple puede ser más segura que una corta pero compleja. Por ejemplo, "unacasamuygrandeenelmonte" (25 caracteres, solo minúsculas) tiene más entropía que "P@ss!" (5 caracteres con símbolos), aunque si la primera usa palabras de diccionario, un ataque de diccionario la puede descubrir.

El estándar NIST 2026

El Instituto Nacional de Estándares y Tecnología de EEUU recomienda contraseñas de mínimo 15 caracteres para usuarios estándar y 20+ para cuentas privilegiadas. También recomienda verificar las contraseñas contra listas de contraseñas comprometidas conocidas.