Modelo de seguridad y privacidad

Todo se genera en tu navegador

Todas las frases de contraseña, contraseñas y tokens se crean localmente, en tu dispositivo, mediante JavaScript que se ejecuta en tu navegador. No hay ningún paso de generación en el servidor. La página es, en la práctica, una herramienta estática: una vez cargada, hace su trabajo sin comunicarse con un backend.

Tus secretos nunca se envían ni se almacenan

Los valores que generas no se transmiten por la red, no se escriben en un registro, no se guardan en una cuenta ni se colocan en una cookie. No hay ninguna cuenta de usuario en absoluto. La única analítica es una herramienta respetuosa con la privacidad y sin cookies que cuenta visitas de página anónimas: nunca recibe los secretos que generas.

Qué fuente de aleatoriedad se utiliza

La aleatoriedad procede de la API Web Crypto (crypto.getRandomValues), el generador de números aleatorios criptográficamente seguro integrado en los navegadores modernos. Cuando el generador asigna bytes aleatorios a una lista de palabras o a un conjunto de caracteres, usa muestreo por rechazo para evitar el sesgo de módulo, de modo que cada palabra o carácter es igualmente probable. Nunca usa Math.random para los secretos.

Cómo se estima la entropía

Como la herramienta elige ella misma las palabras y los caracteres, conoce el tamaño exacto del conjunto del que se extrajo cada uno y calcula la entropía directamente: bits = longitud × log2(tamaño del conjunto). No usa un medidor de fortaleza heurístico, que infravaloraría los secretos verdaderamente aleatorios. Las cifras de tiempo de descifrado son ilustrativas, se basan en tasas de adivinación supuestas, y la estimación cuántica refleja únicamente la aceleración cuadrática del algoritmo de Grover.

Contra qué puede y no puede protegerte esta herramienta

Puede darte un secreto de alta entropía que resista los intentos de adivinación y el descifrado sin conexión. No puede protegerte de un dispositivo comprometido, un registrador de pulsaciones, malware, miradas indiscretas, phishing o un servicio que almacene mal tu contraseña. Una generación robusta es una capa; el almacenamiento seguro y los buenos hábitos son las demás.

Trata el resultado como sensible desde el momento en que aparece en pantalla. Cópialo en tu gestor de contraseñas y, después, borra el portapapeles si estás en una máquina compartida.

Consejos prácticos que respaldamos

Usa un gestor de contraseñas de confianza para que cada cuenta tenga un secreto único y solo memorices una frase de contraseña robusta. No reutilices nunca una frase de contraseña o una contraseña entre servicios. Activa la autenticación de dos factores donde se ofrezca. Prefiere la longitud a la complejidad. Y mantén tus dispositivos y tu navegador actualizados: el secreto más fuerte no puede ayudar a una máquina comprometida.

Uso sin conexión y JavaScript

Los generadores requieren JavaScript, porque el trabajo criptográfico ocurre en el navegador; con JavaScript desactivado, la herramienta no puede producir secretos. Una vez cargada la página, funciona sin conexión: puedes desconectarte de la red y seguir generando, lo cual es una forma razonable de crear un secreto de alto valor con la confianza añadida de que nada sale de tu máquina.