BeValk Logo
contraseñas seguras

Cómo crear contraseñas seguras que puedas recordar en 2026

María Aperador

24/02/2026

18 min

Cómo crear contraseñas seguras que puedas recordar en 2026

Si esa es tu contraseña, deja de leer y cámbiala ahora. En serio. Haz una pausa, cambia esa contraseña y vuelve. Este artículo seguirá aquí cuando termines.

¿Ya? Bien. Ahora vamos a asegurarnos de que la nueva contraseña que has puesto sea realmente segura, que no la uses en otras 15 cuentas y, sobre todo, que puedas recordarla sin tener que apuntarla en un post-it pegado al monitor.

Porque el problema de las contraseñas no es que no sepamos que tienen que ser seguras. El problema es que nos dan pereza. Y esa pereza es exactamente lo que aprovechan los ciberdelincuentes.

Por qué las contraseñas importan más que nunca

En 2025 se filtraron más de 2.000 millones de contraseñas en brechas de seguridad a nivel mundial. Eso no es una cifra que yo me invente: es la realidad de un mundo donde cada mes aparecen bases de datos robadas con millones de credenciales.

Piénsalo así: si usas la misma contraseña en tu email, tu banco y tu cuenta de Netflix, basta con que una de esas plataformas sufra una brecha para que un ciberdelincuente tenga acceso a las tres. Es lo que se llama credential stuffing (relleno de credenciales): probar tu email y contraseña robados en cientos de servicios automáticamente.

Y no, no lo hacen a mano. Usan programas que prueban miles de combinaciones por segundo en decenas de webs simultáneamente.

Datos que deberían quitarte el sueño:

  • El 80% de las brechas de seguridad involucran contraseñas débiles o reutilizadas
  • Una contraseña de 6 caracteres solo con minúsculas se descifra en menos de 1 segundo
  • El usuario medio tiene más de 100 cuentas online y reutiliza la misma contraseña en al menos 5 de ellas
  • España está entre los 10 países europeos con más credenciales filtradas

Si además te han duplicado la SIM con un ataque de SIM Swapping, el ciberdelincuente puede recibir los códigos de verificación por SMS y acceder a tus cuentas incluso aunque la contraseña sea buena. Por eso la contraseña sola ya no basta, pero sigue siendo la primera barrera.

Las contraseñas más usadas en España

Cada año, informes como el de NordPass analizan millones de contraseñas filtradas para revelar cuáles son las más comunes. Los resultados son siempre descorazonadores. En España, las contraseñas más utilizadas siguen siendo:

  1. 123456 (utilizada por cientos de miles de personas)
  2. 123456789
  3. 12345
  4. 12345678
  5. españa (así, sin mayúscula)
  6. qwerty
  7. 1234567
  8. 000000
  9. password
  10. realmadrid

Sí, “realmadrid” y “barcelona” aparecen cada año. También “hola”, “tequiero”, “carlos”, “alejandro” y el clásico “contraseña”. Todas se descifran en menos de un segundo.

¿Por qué la gente sigue usando estas contraseñas? Por tres razones:

  1. Pereza: Crear contraseñas complejas es un esfuerzo
  2. Memoria: Nadie puede recordar 100 contraseñas diferentes y complejas
  3. Falsa seguridad: “A mí no me va a pasar”, hasta que pasa

Vamos a solucionar las tres.

El método que SÍ funciona para crear contraseñas seguras y recordarlas

Olvídate de lo que te han enseñado sobre contraseñas. Eso de mezclar mayúsculas, minúsculas, números y símbolos al azar (“Tr4b@jo$2026!”) es un infierno que nadie recuerda. Y paradójicamente, no es tan seguro como parece.

Las recomendaciones actualizadas del NIST (el Instituto Nacional de Estándares y Tecnología de Estados Unidos, la referencia mundial en ciberseguridad) han cambiado radicalmente:

  • Longitud sobre complejidad: Una contraseña larga es más segura que una corta y compleja
  • No obligar a cambiar periódicamente: Cambiar la contraseña cada 90 días lleva a crear contraseñas peores (contraseña1, contraseña2, contraseña3…)
  • No prohibir pegar contraseñas: Para facilitar el uso de gestores de contraseñas
  • Mínimo 15 caracteres recomendado para cuentas importantes

El método de las frases (passphrase)

Esta es la técnica que yo uso y recomiendo. Es simple, segura y memorable:

Paso 1: Piensa en una frase personal que solo tú conozcas

No vale un refrán famoso. Tiene que ser algo personal, algo que tenga sentido para ti pero que nadie pueda adivinar:

  • “Mi gata Luna duerme en el sofá azul”
  • “En 2019 comí 3 churros en la feria de Sevilla”
  • “Mi abuela Paca hace la mejor tortilla del barrio”

Paso 2: Conviértela en contraseña

Tienes dos opciones:

Opción A - La frase completa (la más segura):

Usa la frase tal cual, con espacios: Mi gata Luna duerme en el sofá azul

Son 37 caracteres. Un ordenador actual necesitaría millones de años para descifrarla por fuerza bruta. Y tú la recuerdas sin problema.

Opción B - Iniciales + extras (para sitios que no aceptan espacios):

Toma las iniciales de cada palabra y añade algo que recuerdes:

  • “Mi gata Luna duerme en el sofá azul” = MgLdesA_2024!
  • “En 2019 comí 3 churros en la feria de Sevilla” = E2c3celfdS_19!

Paso 3: Personaliza para cada servicio

Añade algo que identifique el servicio al inicio o al final:

  • Para el banco: MgLdesA_2024!BK
  • Para el email: MgLdesA_2024!ML
  • Para Netflix: MgLdesA_2024!NF

Así tienes una base que recuerdas y una variación única para cada servicio.

Ejemplo práctico completo

Imaginemos que tu frase es: “Mi padre Luis nació en Cádiz en 1958”

Servicio

Contraseña

Caracteres

Banco

MpLneCe58_BK!

14

Email

MpLneCe58_EM!

14

Instagram

MpLneCe58_IG!

14

Amazon

MpLneCe58_AZ!

14

Todas diferentes, todas seguras, todas fáciles de recordar si conoces tu frase base.

Lo que NUNCA debes usar como contraseña

  • Tu nombre, el de tu pareja, hijos o mascota
  • Tu fecha de nacimiento o aniversario
  • Tu equipo de fútbol
  • Tu número de teléfono
  • Palabras del diccionario solas
  • Secuencias de teclado (qwerty, asdfgh)
  • La misma contraseña que ya usas en otro sitio

Y cuidado con esos emails de “actualiza tu contraseña” que te llegan sin haberlos pedido. Antes de hacer clic en ningún enlace, comprueba que la URL es legítima. Muchos ataques de phishing bancario empiezan con un correo falso que te pide “cambiar tu contraseña por motivos de seguridad” y te redirige a una web clonada donde roban tus credenciales.

Gestores de contraseñas gratuitos recomendados

Vale, el método de las frases está genial para tus 5-10 cuentas más importantes. Pero tienes más de 100 cuentas. ¿De verdad vas a memorizar una frase para cada una?

No. Para eso existen los gestores de contraseñas: aplicaciones que guardan todas tus contraseñas en una bóveda cifrada. Solo necesitas recordar UNA contraseña maestra (la del gestor) y él se encarga del resto.

Los 3 mejores gestores gratuitos

1. Bitwarden (mi recomendación)

  • Gratis para uso personal
  • Código abierto (cualquiera puede auditar su seguridad)
  • Disponible en iOS, Android, Windows, Mac, Linux y extensión de navegador
  • Genera contraseñas aleatorias de la longitud que quieras
  • Sincroniza entre todos tus dispositivos
  • Opción de autocompletado en webs y apps

2. KeePassXC (para los más técnicos)

  • Completamente gratuito y de código abierto
  • La base de datos se guarda en local (tú decides dónde almacenarla)
  • Sin servidores externos: máximo control sobre tus datos
  • Funciona sin conexión a internet
  • Ideal si no te fías de guardar contraseñas “en la nube”

3. Proton Pass (del equipo de ProtonMail)

  • Gratuito con generosas funciones
  • De los creadores de ProtonMail, con fuerte enfoque en privacidad
  • Cifrado de extremo a extremo
  • Incluye generador de alias de email (para registros en los que no quieres dar tu email real)
  • Disponible en todas las plataformas

Cómo empezar con un gestor de contraseñas

  1. Instala Bitwarden (o el que prefieras) en tu móvil y en tu navegador
  2. Crea tu cuenta con una contraseña maestra FUERTE (usa el método de las frases)
  3. Empieza por las cuentas más importantes: banco, email, redes sociales
  4. Cada vez que inicies sesión en un sitio, deja que el gestor guarde la contraseña
  5. Poco a poco, ve cambiando las contraseñas antiguas por unas nuevas generadas por el gestor
  6. Activa el autocompletado para no tener que copiar y pegar

No tienes que migrar las 100 cuentas en un día. Empieza por las 5 más críticas y ve ampliando. En un mes tendrás todas.

Verificación en dos pasos (2FA). Qué es y cómo activarla

La contraseña es la primera cerradura de tu puerta. La verificación en dos pasos (2FA) es la segunda. Aunque alguien consiga tu contraseña, si tienes 2FA activado, necesita además un segundo código que solo tú tienes.

Tipos de 2FA (de menos a más seguro)

1. SMS (el menos seguro)

Te llega un código por mensaje de texto. Es mejor que nada, pero tiene un problema grave: si te hacen un SIM Swapping, el estafador recibe el SMS en tu lugar.

2. App de autenticación (recomendado)

Apps como Google Authenticator, Microsoft Authenticator o Authy generan códigos de 6 dígitos que cambian cada 30 segundos. El código se genera en tu teléfono, no se envía por SMS. Mucho más seguro.

3. Llave de seguridad física (el más seguro)

Un dispositivo USB (como YubiKey) que conectas al ordenador o acercas al móvil por NFC. Imposible de replicar remotamente. Ideal para cuentas críticas.

Dónde activar 2FA ya mismo

Prioriza estas cuentas en este orden:

  1. Email principal (Gmail, Outlook, etc.) - Es la llave para recuperar todas las demás
  2. Banca online - Tu dinero
  3. WhatsApp - Activar PIN de verificación en dos pasos (Ajustes > Cuenta > Verificación en dos pasos)
  4. Redes sociales (Instagram, X/Twitter, Facebook, TikTok)
  5. Amazon, PayPal, Wallapop - Donde tienes tarjetas vinculadas

Cómo activar 2FA con Google Authenticator

  1. Descarga Google Authenticator en tu móvil (iOS/Android)
  2. Ve a la configuración de seguridad de la cuenta que quieres proteger
  3. Busca “Verificación en dos pasos” o “Autenticación de dos factores”
  4. Selecciona “App de autenticación”
  5. Escanea el código QR que te muestra la web con Google Authenticator
  6. Introduce el código de 6 dígitos que aparece en la app
  7. Guarda los códigos de respaldo en un lugar seguro (por si pierdes el móvil)

Importantísimo: guarda los códigos de respaldo. Si pierdes el móvil y no tienes los códigos, puedes quedarte sin acceso a tus propias cuentas.

Passkeys. El futuro sin contraseñas

Las passkeys son la tecnología que está empezando a sustituir a las contraseñas. En lugar de escribir una contraseña, te identificas con tu huella dactilar, tu cara (Face ID) o el PIN de tu dispositivo.

Cómo funcionan

Cuando creas una passkey en un servicio:

  1. Se generan dos claves criptográficas: una pública (que se queda en el servidor) y una privada (que se guarda en tu dispositivo)
  2. Para iniciar sesión, tu dispositivo demuestra que tiene la clave privada usando tu huella o tu cara
  3. La clave privada nunca sale de tu dispositivo ni se envía por internet
  4. No hay contraseña que robar, filtrar ni adivinar

Dónde puedes usar passkeys ya en 2026

  • Google: Todas las cuentas de Google admiten passkeys
  • Apple: iCloud, App Store y todos los servicios de Apple
  • Microsoft: Cuenta de Microsoft y servicios asociados
  • WhatsApp: Inicio de sesión con passkey
  • Amazon: En proceso de implementación global
  • PayPal: Disponible en algunos mercados
  • GitHub, LinkedIn, X/Twitter: Ya disponibles

¿Debo dejar de usar contraseñas?

Todavía no. Las passkeys son el futuro, pero el presente es mixto:

  • No todos los servicios las soportan: La mayoría de webs españolas (bancos, comercios, administración pública) aún no ofrecen passkeys
  • Necesitas dispositivos compatibles: iPhone con iOS 16+ o Android 9+ con actualización de Google Play Services
  • La transición será gradual: Pasarán años hasta que las contraseñas desaparezcan por completo

Mi recomendación: Activa passkeys donde estén disponibles (Google, Apple, Microsoft) y sigue usando contraseñas fuertes + 2FA para todo lo demás. No es una cosa u otra, es combinar ambas.

Checklist rápida de seguridad

Imprime esta lista o hazle una captura de pantalla. Marca lo que ya tengas y trabaja en lo que te falte:

  • Contraseña del email principal: 15+ caracteres, única, creada con el método de las frases
  • Contraseña del banco: 15+ caracteres, única, diferente a las demás
  • Gestor de contraseñas instalado: Bitwarden u otro, en móvil y navegador
  • 2FA activado en email: Con app de autenticación, NO con SMS
  • 2FA activado en banca online: Con el método más seguro que ofrezca tu banco
  • 2FA activado en WhatsApp: PIN de verificación en dos pasos
  • 2FA activado en redes sociales: Instagram, X/Twitter, Facebook
  • Códigos de respaldo guardados: En papel o en un lugar seguro offline
  • Passkeys activadas: En Google, Apple y Microsoft como mínimo
  • Comprobación de filtraciones: Visita haveibeenpwned.com con tu email

¿Cuántas has marcado? Si son menos de 5, tienes tarea para este fin de semana. No tardarás más de 30 minutos en mejorar drásticamente tu seguridad digital.

Protégete con BeValk

Crear contraseñas seguras es fundamental, pero los ciberdelincuentes lo saben y por eso atacan por otros flancos. Su modus operandi favorito es el phishing: enviarte un email o SMS que parece de tu banco pidiéndote que “actualices tu contraseña” y dirigiéndote a una web falsa.

Con BeValk puedes:

  1. Verificar enlaces sospechosos con MarIA: Si recibes un email de “cambio de contraseña”, copia el enlace y pregúntale a MarIA si es legítimo antes de hacer clic
  2. Detectar phishing en tiempo real: La app analiza URLs y te avisa si son fraudulentas
  3. Recibir alertas de ciberseguridad: Te mantenemos informada de las últimas amenazas y estafas

Si quieres una protección completa contra estafas digitales, no te quedes solo con la contraseña. Consulta nuestra guía completa anti-estafas 2026 y descarga BeValk para tener un escudo en tu bolsillo.

Descarga BeValk para iOS y Android y que ningún ciberdelincuente te pille desprevenida.

Última actualización: febrero 2026