IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Auditamos nuestro propio generador de contraseñas: esto es lo que encontramos en el código

01/07/2026 3 min de lectura Administrador

Publicamos afirmaciones de seguridad en nuestra herramienta de generación de contraseñas: que usa criptografía real, que nada se transmite a nuestros servidores, que no hay analítica de terceros involucrada. Son afirmaciones fáciles de escribir y difíciles de verificar — a menos que alguien audite el código real.

Así que lo hicimos nosotros mismos, con una metodología white-box estricta: cada hallazgo debía registrarse como Confirmado, Refutado, o No concluyente, siempre citando archivo y línea exacta. Nada se sube de nivel de confianza sin evidencia directa.

1. ¿Usa criptografía real?

Confirmado. Cada carácter y palabra generada pasa por una función que utiliza crypto.getRandomValues() — la API criptográfica del navegador diseñada para producir números impredecibles en un sentido criptográfico. Math.random(), que no ofrece esa garantía, no aparece en ningún punto del flujo de generación.

2. ¿Se transmite la contraseña generada a algún servidor?

Confirmado que no. Revisamos cada llamada de red disparada por la herramienta, incluyendo la de analítica interna. El único dato que viaja a nuestro servidor es el modo usado (por ejemplo, "modo contraseña" o "modo frase de paso") — nunca el valor generado.

3. ¿Hay analítica de terceros (Google Analytics, Meta, etc.) en esta herramienta específica?

Confirmado que no. El diseño del sitio separa deliberadamente las páginas de herramientas (que solo cargan analítica propia, de primera parte) de las páginas de marketing (que sí incluyen Google Analytics). Verificamos que el layout usado por el generador de contraseñas no incluye ningún script de terceros.

Lo que también encontramos: un texto de ayuda impreciso

La auditoría no solo confirmó lo que ya afirmábamos — también encontró un error de precisión en el texto de ayuda de la opción "compatible con sistemas legacy". El texto mencionaba que la opción evitaba comillas, backslash y diagonal, pero esos caracteres nunca formaron parte del conjunto de símbolos generado, ni siquiera en el modo normal. No era un problema de seguridad, pero sí una afirmación de producto que no resistía la verificación directa del código — y la corregimos.

Por qué publicamos esto

Cualquier proveedor puede afirmar que su herramienta es segura. Muy pocos publican la evidencia línea por línea que sustenta esa afirmación. Si va a confiar una contraseña generada a una herramienta online, la pregunta correcta no es "¿dicen que es segura?" — es "¿puedo verificarlo yo mismo?". En nuestro caso, la respuesta es sí: puede inspeccionar el código fuente de la página en cualquier momento.

#contrasenas #criptografia #auditoria #transparencia

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Qué aprendimos al lanzar un ataque de fuerza bruta real contra nuestro propio firewall
3-2-1-1-0: la estrategia de backup que sí sobrevive a un ataque de ransomware