Cuando una cuenta se compromete, casi nunca es “mala suerte”: suele haber reutilización de contraseñas, contraseñas débiles o predecibles, o falta de verificación en dos pasos.
Hoy los atacantes prueban credenciales filtradas en otros servicios (credential stuffing) y explotan el cansancio del usuario con avisos falsos. La buena noticia es que no necesitas ser técnico para protegerte: con unas pocas decisiones bien tomadas puedes reducir el riesgo de forma drástica.
En esta guía verás qué es una contraseña segura de verdad (según NIST y NCSC), y las 5 claves prácticas para aplicarlo.
¿Qué es una contraseña segura?
Una contraseña segura es una frase de paso larga (idealmente 14–20+ caracteres o 3–5 palabras), única para cada servicio y poco predecible: no usa datos personales, evita patrones típicos y no aparece en listas de contraseñas filtradas. Su fortaleza proviene sobre todo de la longitud y la aleatoriedad de las palabras/símbolos, no de cambiar letras por números.
Las 5 claves que realmente funcionan
1) Pasa de “8 caracteres raros” a frases de paso largas y memorables
Olvida combinaciones imposibles que terminan en patrones obvios (P@ssw0rd!, Verano2025!). Opta por frases de 3–4 palabras aleatorias, mejor si mezclas idiomas o imágenes raras en tu cabeza (“piano-nieve-cactus”).
NIST prioriza longitud y unicidad frente a reglas arbitrarias; el NCSC confirma que tres palabras aleatorias logran contraseñas “lo bastante largas y lo bastante fuertes” sin torturar tu memoria. Si el servicio lo permite, usa espacios o separadores.
2) No reutilices jamás: usa un gestor de contraseñas
La reutilización es el camino corto hacia el desastre: si una web filtra tu contraseña, el atacante la probará en tu correo, banco o redes. Un gestor crea, guarda y rellena contraseñas únicas y robustas en cada sitio, y además te avisa de filtraciones conocidas.
3) Activa verificación en dos pasos (mejor si es resistente al phishing)
El doble factor frena la mayoría de accesos no autorizados. Prioriza apps de autenticación o, cuando sea posible, llaves de seguridad, que CISA clasifica como métodos resistentes al phishing. Evita depender solo de SMS, que pueden ser interceptados o suplantados. Guarda códigos de respaldo en tu gestor y revisa qué servicios críticos ofrecen passkeys para simplificar y blindar tus inicios de sesión.
4) Comprueba si tu contraseña (o tu email) salió en una brecha
Antes de “inventarte” otra contraseña, verifica si ya apareció en filtraciones con Have I Been Pwned (HIBP): su servicio Pwned Passwords permite comprobar contraseñas conocidas sin exponer la tuya, gracias a un esquema de k-anonymity (solo se envían 5 caracteres del hash).
Si tu email figura en brechas, cambia la contraseña de esos servicios y activa 2FA; si tu contraseña aparece en Pwned Passwords, descártala para siempre.
5) Higiene básica sin mitos: actualiza, desconfía del phishing y no cambies por cambiar
Mantén sistema y apps al día y desconfía de enlaces urgentes que piden “verificar tu cuenta”. Sobre los cambios periódicos: NIST y NCSC no recomiendan forzarlos por calendario; solo cambia cuando hay indicios o cuando el servicio te avise por riesgo.
¿Cada cuánto debo cambiar la contraseña?
Cuando haya motivo. Si tu correo aparece en una brecha, si has reutilizado credenciales, si compartiste la contraseña o sospechas acceso, cámbiala ya y activa 2FA. El enfoque de cambio periódico obligatorio se considera contraproducente: genera patrones previsibles y más soporte por olvidos.
Errores que siguen costando cuentas
- Reutilizar con “variaciones” mínimas (MiBanco2025 → MiCorreo2025).
- Confiar en “l33t” predecible (s→$, o→0, a→@).
- Guardar contraseñas en notas sin cifrar o enviarlas por email.
- Depender solo de SMS cuando hay opciones mejores (app o passkeys).
- Usar preguntas de seguridad con respuestas obvias (cumpleaños, mascota). Todo esto está documentado en guías oficiales; corrige estos hábitos y tu riesgo cae en picado.
Crea una contraseña segura ahora mismo (método exprés)
Piensa tres palabras aleatorias que no estén relacionadas entre sí (mejor imágenes raras para ti) y únelas con un separador: “piedra-bosque-cometa”. Compruébala en Pwned Passwords; si aparece, cámbiala por otra combinación totalmente distinta. Guárdala en tu gestor, activa 2FA en el servicio y anota tus códigos de respaldo.
Contraseñas seguras en la práctica: lo que te llevas
No necesitas 20 reglas imposibles: con frases largas, gestor, 2FA resistente al phishing, comprobación de brechas y higiene realista, tus cuentas pasan de “fáciles de adivinar” a difíciles de romper. Aplica estas cinco claves primero en email, banca, nube y cualquier servicio que concentre información sensible; el resto viene rodado.