"Usa una frase de contraseña, es más fuerte que una contraseña" es uno de los consejos de seguridad más repetidos — y peor entendidos. Una frase de contraseña puede ser drásticamente más fuerte que una contraseña aleatoria, o drásticamente más débil, dependiendo por completo de cómo se construyó. La palabra "passphrase" describe un formato, no una garantía de fortaleza. Este artículo zanja la cuestión con lo único que importa: la entropía, medida en bits, y el coste de descifrar cada construcción. Compararemos una frase tipo diceware contra una cadena de caracteres aleatoria cara a cara, mostraremos la matemática y explicaremos cuándo gana cada una.
La Única Métrica que Importa — la Entropía
Tanto las frases como las contraseñas aleatorias se evalúan con la misma vara: bits de entropía, el logaritmo en base 2 del número de salidas equiprobables que el proceso de generación pudo producir. La entropía es una propiedad del proceso, no de la cadena resultante. La cadena correct horse battery staple y la cadena x7Qm$2pL no te dicen nada sobre su propia fortaleza de forma aislada — necesitas saber cómo se generó cada una. Si ambas se eligieron uniformemente al azar de un espacio definido, calculas el tamaño del espacio y tomas su logaritmo.
Para una contraseña aleatoria de caracteres que toma cada carácter de forma independiente y uniforme de un pool de N símbolos, la entropía es longitud × log₂(N). Para una frase que toma cada palabra de forma independiente y uniforme de una lista de W palabras, la entropía es palabras × log₂(W). Esa simetría es el corazón de la comparación: una palabra no es más que un "carácter" tomado de un alfabeto mucho mayor.
Diceware — de Dónde Sale la Entropía de la Frase
El método canónico de frase de contraseña es Diceware, presentado por Arnold Reinhold en 1995. Lanzas cinco dados físicos de seis caras, produciendo un número de 11111 a 66666, y lo buscas en una lista de exactamente 6⁵ = 7.776 palabras. Cada palabra aporta por tanto log₂(7.776) ≈ 12,92 bits de entropía. La EFF publicó en 2016 una lista refinada de 7.776 palabras (la "EFF Long Wordlist") que elimina entradas confundibles u ofensivas conservando el recuento exacto de 6⁵, así que la entropía por palabra no cambia.
La aritmética es entonces trivial y exacta:
- 4 palabras →
4 × 12,92 ≈ 51,7 bits - 5 palabras →
5 × 12,92 ≈ 64,6 bits - 6 palabras →
6 × 12,92 ≈ 77,5 bits - 7 palabras →
7 × 12,92 ≈ 90,4 bits - 8 palabras →
8 × 12,92 ≈ 103,4 bits
Crucialmente, esto solo se cumple si las palabras se eligen mediante un proceso aleatorio sin sesgo — dados, o un CSPRNG. Un humano "pensando en cuatro palabras al azar" no produce nada cercano a 51,7 bits, porque la elección humana está fuertemente sesgada hacia palabras comunes, relacionadas semánticamente y ordenadas gramaticalmente. La entropía de mi perro adora el beicon es una fracción mínima de cuatro palabras Diceware genuinamente aleatorias.
La Comparación Cara a Cara
Ahora podemos responder la pregunta del título con números. Considera una contraseña aleatoria del pool completo de 94 caracteres ASCII imprimibles (mayúsculas, minúsculas, dígitos, símbolos). Cada carácter vale log₂(94) ≈ 6,55 bits. Así que:
- Una contraseña aleatoria de 10 caracteres →
10 × 6,55 ≈ 65,5 bits— equivalente a una frase Diceware de 5 palabras (64,6 bits). - Una contraseña aleatoria de 12 caracteres →
12 × 6,55 ≈ 78,6 bits— equivalente a una frase de 6 palabras (77,5 bits). - Una contraseña aleatoria de 20 caracteres →
20 × 6,55 ≈ 131 bits— supera a una frase de 10 palabras (129 bits).
Por carácter tecleado, una contraseña aleatoria de pool completo es mucho más densa en entropía: una frase de 6 palabras promedia unos 28–30 caracteres incluyendo espacios, mientras que una cadena aleatoria de 12 la iguala. Si tu único objetivo fuera minimizar pulsaciones a entropía fija, la contraseña aleatoria gana sin discusión. Pero las pulsaciones no son el único coste — la memorabilidad lo es, y ahí es donde las frases se ganan su reputación.
¿Cuál Es Realmente Más Difícil de Descifrar?
"Más difícil de descifrar" depende del ataque. Hay dos escenarios fundamentalmente distintos, y confundirlos es la fuente de la mayoría de los malentendidos.
Ataques online (con límite de tasa)
Cuando un atacante debe enviar intentos a un servicio en vivo, está limitado por rate limiting, bloqueos y latencia de red — típicamente a menos de unos pocos miles de intentos por hora. A ese ritmo, cualquier cosa por encima de ~40 bits es indescifrable en cualquier plazo humano. Tanto una frase de 4 palabras como una contraseña aleatoria de 8 caracteres son completamente seguras online. Aquí la comparación es irrelevante; gana cualquier formato.
Ataques offline (cracking de hashes)
El caso peligroso es cuando un servicio sufre una brecha y el atacante obtiene los hashes para descifrarlos offline a plena velocidad de hardware. Aquí la función de hash importa enormemente. Contra un hash rápido como SHA-1 sin sal, un clúster de GPUs moderno alcanza 10¹²–10¹³ intentos por segundo. Contra un hash deliberadamente lento como bcrypt (coste 12), Argon2id o PBKDF2 con muchas iteraciones — como exige para secretos memorizados NIST SP 800-63B sección 5.1.1.2 — el mismo hardware logra solo miles o pocos millones por segundo. La elección del hash por el defensor compra 6–9 órdenes de magnitud.
Pongamos precio a una frase de 5 palabras (64,6 bits ≈ 2,8 × 10¹⁹ candidatas) contra el peor caso — un hash rápido a 10¹² intentos/seg. El tiempo medio de cracking es la mitad del espacio de claves: 1,4 × 10¹⁹ ÷ 10¹² ≈ 1,4 × 10⁷ segundos ≈ 162 días. Al límite. Una frase de 6 palabras (77,5 bits) eleva eso a unos 3.500 años. Una contraseña aleatoria de 20 caracteres (131 bits) son ~10¹⁹–10²⁰ años — territorio de muerte térmica del universo. La conclusión: contra el cracking offline, el recuento bruto de bits es todo el juego, y el formato es irrelevante una vez que controlas por entropía.

El Atacante Conoce tu Formato
Una objeción común: "pero el atacante sabe que usé Diceware, así que puede atacar la lista de palabras". Es cierto, y la matemática de entropía ya lo tiene en cuenta. La cifra de 12,92 bits/palabra asume que el atacante tiene la lista y fuerza combinaciones de palabras en lugar de combinaciones de caracteres — por eso precisamente calculamos log₂(7.776) y no log₂(26^longitud_media_palabra). No hay penalización oculta. Se aplica el principio de Kerckhoffs: la seguridad debe descansar en el secreto (qué palabras se eligieron), nunca en ocultar el método. Lo mismo vale para las contraseñas aleatorias: asume que el atacante conoce tu longitud y pool de caracteres. Una contabilidad honesta de entropía siempre asume el método conocido en el peor caso.
El error inverso es más peligroso. Estimar la fortaleza de una frase metiéndola en un medidor de entropía por carácter (como un ingenuo medidor longitud × log₂(94)) la sobrestima enormemente, porque el medidor asume caracteres aleatorios cuando la generación real fue por palabra. A la inversa, los medidores conscientes de diccionario como zxcvbn reconocen palabras comunes y pueden subestimar una frase Diceware genuinamente aleatoria, porque no distinguen una selección aleatoria de una memorable. Calcula siempre la entropía de una frase como palabras × log₂(tamaño_lista), nunca desde un medidor de caracteres.
Linaje de las Contraseñas de un Solo Uso — un Inciso Histórico
La idea de mapear bits aleatorios a palabras memorables precede a Diceware en el diseño de protocolos. RFC 2289 ("A One-Time Password System", 1998) y su predecesor RFC 1760 (el sistema S/KEY) definieron un diccionario estándar de 2.048 palabras cortas usado para codificar una contraseña de un solo uso de 64 bits como seis palabras en inglés. Con 2.048 = 2¹¹ palabras, cada palabra lleva exactamente 11 bits, así que seis palabras codifican 66 bits — elegidos deliberadamente para que un secreto generado por máquina fuese transcribible por un humano sin error. Ese linaje es la razón de que la intuición de "las palabras aleatorias son memorables" esté integrada en décadas de ingeniería de seguridad, no sea una moda reciente.
Cuándo Gana la Frase de Contraseña
Las frases dominan en exactamente una situación, pero es importante: los secretos que debes memorizar y teclear a mano. La contraseña maestra de tu gestor, una clave de cifrado de disco completo, la passphrase de una clave SSH, un código de recuperación — no pueden vivir en un gestor (protegen al gestor mismo) y deben sobrevivir en la memoria humana. Aquí una frase Diceware de 6–7 palabras entrega 77–90 bits con una carga de memorización que una cadena aleatoria de 14 caracteres jamás igualaría. Los estudios de psicología cognitiva sobre recuerdo de frases muestran consistentemente que las frases multipalabra se retienen mucho mejor que cadenas aleatorias de igual entropía, y teclearlas en el móvil es más rápido y con menos errores.
Cuándo Gana la Contraseña Aleatoria
Para el 99% de las credenciales que viven dentro de un gestor y se rellenan automáticamente, nunca las tecleas ni memorizas — así que la memorabilidad vale cero, y la densidad de entropía (y evitar patrones de lista de palabras) es lo único que importa. Aquí una cadena aleatoria de 20 caracteres de pool completo es el valor por defecto correcto: máxima entropía en mínima longitud, sin estructura lingüística que un cracker inteligente pueda explotar, y trivialmente generada. La regla general que emerge: contraseñas aleatorias para todo lo que un gestor almacena; frases para el puñado de secretos que llevas en la cabeza.
Errores Comunes que Destruyen la Entropía de una Frase
- Elegir tú mismo las palabras. Las palabras elegidas por humanos colapsan 50+ bits a menos de 20. Los dados (o un CSPRNG) no son opcionales.
- Usar muy pocas palabras. Una frase de 3 palabras son solo ~38 bits — descifrable offline en horas contra un hash rápido. Cinco palabras es el suelo práctico; seis para secretos críticos.
- Añadir estructura "memorable". Forzar las palabras a una frase gramatical, ordenarlas o elegir un tema reduce el espacio efectivo y es justo lo que modelan los crackers dirigidos.
- Listas de palabras diminutas. Una lista de 1.000 palabras da solo
~9,97 bits/palabra; la lista Diceware/EFF de 7.776 es el estándar por algo. Listas reputadas mayores (las "Short" de EFF cambian longitud de palabra por tamaño de lista) desplazan el trade-off pero la entropía siguelog₂(W)exactamente.
Verifica la Matemática Tú Mismo
Puedes comprobar el presupuesto de entropía de cualquier frase contando sus palabras frente al tamaño de tu lista, y verificar que la longitud de una contraseña aleatoria hace lo que esperas. Pega una frase candidata en nuestro Contador de Palabras para confirmar el recuento exacto, y luego multiplica por log₂(7.776) ≈ 12,92. Para generar los secretos con una fuente criptográficamente segura — tanto contraseñas aleatorias de caracteres como la aleatoriedad subyacente para seleccionar palabras — usa el Generador de Contraseñas, que toma de crypto.getRandomValues() y reporta la entropía en bits con una etiqueta alineada con NIST. Para el trasfondo más profundo sobre entropía, longitud frente a complejidad y la guía moderna del NIST, consulta nuestra guía complementaria Cómo Crear Contraseñas Seguras.
El Veredicto
Ningún formato es inherentemente "más fuerte". La fortaleza es entropía, y la entropía la determina la aleatoriedad del proceso de generación, no si el resultado se lee como palabras o símbolos. A igual entropía, una frase y una contraseña aleatoria son exactamente igual de difíciles de descifrar — la estrategia óptima del atacante cuesta lo mismo contra ambas. La decisión real es sobre el coste de uso: las contraseñas aleatorias empaquetan más entropía por carácter y ganan para credenciales guardadas en gestor; las frases Diceware cambian longitud por memorabilidad y ganan para los pocos secretos que llevas en la cabeza. Genera ambas con aleatoriedad real, nunca con intuición humana, y dimensiónalas a tu modelo de amenaza — 5–6 palabras o 12–20 caracteres para la mayoría de cuentas, más para las raíces de confianza.