Entropía (Shannon)

Entropía en teoría de la información (entropía de Shannon) mide cuán imprevisible es una variable aleatoria, en bits. Una fuente de entropía de 1 bit puede producir 2 resultados igualmente probables; n bits de entropía pueden producir 2ⁿ. Matemáticamente: H = log₂(N) para N resultados igualmente probables.

Ejemplos:

• El lanzamiento de una moneda justa: 1 bit.
• El lanzamiento de un dado justo: log₂(6) ≈ 2,58 bits.
• Una contraseña aleatoria de 8 caracteres en minúsculas: 8 × log₂(26) ≈ 37,6 bits.
• Una contraseña aleatoria de 16 caracteres con [a-z A-Z 0-9 símbolos]: 16 × log₂(94) ≈ 104,9 bits.
• Un UUID v4: 122 bits (6 bits son constantes de versión/variante).

Por qué la entropía importa para los secretos: un atacante que fuerza tu contraseña prueba combinaciones de una en una. El trabajo esperado es 2ⁿ⁻¹ intentos donde n es la entropía de tu contraseña. A mil millones de intentos por segundo:

• 40 bits: ~9 minutos para forzar. Inadecuado.
• 60 bits: ~17 años. Marginal.
• 80 bits: ~38 millones de años. Adecuado.
• 128 bits: muerte térmica del universo antes del agotamiento. Nivel criptográfico.

Error común: la entropía depende de la distribución, no solo del valor. Una contraseña “aleatoria” elegida por un humano (“Password123!”) tiene mucha menos entropía de la que sugiere su longitud, porque el proceso de selección humana no es uniforme. Las contraseñas aleatorias generadas por ordenador (mediante crypto.getRandomValues o /dev/urandom) alcanzan la entropía teórica completa de su conjunto de caracteres.

Usa nuestro generador de contraseñas para ver el medidor de entropía en tiempo real mientras ajustas la longitud y las clases de caracteres.

Ejemplo práctico

Tres contraseñas para la misma cuenta imaginaria, ordenadas por entropía de Shannon. Primera: Password123! — 12 caracteres, parece “fuerte” en longitud pero la estructura (palabra del diccionario + dígitos secuenciales + puntuación obvia) reduce la entropía efectiva a aproximadamente 20-25 bits porque los atacantes usan diccionarios basados en reglas (el best64 de hashcat, OneRuleToRuleThemAll) que prueban exactamente este patrón. Descifrable en menos de un minuto. Segunda: una frase de contraseña Diceware como correct horse battery staple — cuatro palabras de la lista Diceware de 7.776 palabras, entropía = 4 × log₂(7776) ≈ 51,7 bits. Resistente a ataques de diccionario durante años en una sola GPU. Tercera: 16 caracteres aleatorios de un alfabeto de 94 caracteres mediante crypto.getRandomValues: 16 × log₂(94) ≈ 104,8 bits. Computacionalmente inviable de forzar con cualquier tecnología actual o previsible. La lección: la entropía proviene del proceso de generación, no de parecer complicado.

Un matiz importante: la entropía no es lo mismo que la longitud. Una contraseña de 30 caracteres tomada solo de letras minúsculas tiene 30 × log₂(26) ≈ 141 bits — fuerte. Pero una “contraseña” de 30 caracteres que es en realidad una cita de un libro famoso tiene quizás 20-30 bits porque el espacio de búsqueda es el catálogo de citas famosas, no cada posible cadena de 30 caracteres. Los atacantes apuntan a la distribución real, no a la nominal.

Cuándo y por qué importa

La entropía importa cada vez que un secreto necesita resistir intentos de adivinación: contraseñas, claves API, tokens de sesión, claves de cifrado y las semillas para cualquier operación criptográfica. NIST SP 800-63B (la guía moderna de contraseñas) recomienda explícitamente apuntar a un mínimo de 80 bits para secretos de largo plazo y 128 bits para claves criptográficas. El error más común es generar valores “aleatorios” usando Math.random() — que es un PRNG no criptográfico con a lo sumo 52 bits de estado efectivo y es trivialmente predecible a partir de unos pocos resultados. Para cualquier aleatoriedad relevante para la seguridad, usa crypto.getRandomValues() en navegadores, crypto.randomBytes() en Node, secrets.token_*() en Python, o SecureRandom en Java/JVM. El segundo error es reutilizar un token de sesión o nonce en múltiples sesiones; incluso un valor de 128 bits reutilizado debilita el sistema al canal que filtró el original. Referencia: NIST SP 800-63B — Directrices de Identidad Digital.

Fuentes de entropía hardware vs software: los sistemas operativos modernos recopilan entropía del ruido físico — fluctuaciones de tiempo del teclado, movimientos del ratón, tiempos de llegada de paquetes de red y, en CPUs recientes, instrucciones de ruido térmico dedicadas (RDRAND en Intel, RDSEED en AMD). El /dev/random de Linux históricamente se bloqueaba cuando el pool de entropía era bajo; /dev/urandom mezcla el pool a través de un CSPRNG y nunca se bloquea. Desde Linux 5.18 (2022) los dos son esencialmente equivalentes — ambos seguros para uso criptográfico una vez que se recopila la entropía de arranque. Las VMs en la nube y los contenedores pueden tener entropía débil en el arranque; la generación de claves criptográficas en una VM recién arrancada es uno de los pocos casos restantes donde esperar brevemente a que se acumule entropía importa de forma medible. Referencia: RFC 4086 — Requisitos de Aleatoriedad para Seguridad.