¿Qué es bcrypt?

bcrypt es un algoritmo de hashing de contraseñas diseñado para ser lento y computacionalmente costoso, lo que lo hace resistente a ataques de fuerza bruta. A diferencia de funciones hash rápidas como MD5 o SHA-256, bcrypt intencionalmente tarda más tiempo en calcularse, lo que aumenta significativamente el costo para los atacantes que intentan descifrar contraseñas.

¿Por qué usar bcrypt?

Factor de Costo Adaptativo

Puedes aumentar el número de rondas a medida que el hardware se vuelve más rápido, manteniendo tus hashes seguros a lo largo del tiempo

Salt Integrado

Cada hash incluye un salt aleatorio único, previniendo ataques de tabla arcoíris

Estándar de la Industria

Utilizado por frameworks principales incluyendo Laravel, Ruby on Rails, Django y Spring Security

Probado en Batalla

Basado en el cifrado Blowfish, en uso desde 1999 sin vulnerabilidades prácticas conocidas

Entendiendo el Formato del Hash bcrypt

Hash de ejemplo: $2b$12$WApznUPhDubN0oeveSFPpOLo0dVMFJ.3CC9TmGkMxLFvnEGbgm4jq

$2b$

Versión del algoritmo (2b es el estándar actual)

12

Factor de costo (rondas = 2^12 = 4.096 iteraciones)

22 Caracteres

El salt (codificado en Base64)

31 Caracteres

El hash (codificado en Base64)

Table of Contents

1. ¿Qué es bcrypt?
- 1.1. ¿Por qué usar bcrypt?
- 1.2. Entendiendo el Formato del Hash bcrypt
2. Cómo Usar
3. Características
4. Preguntas Frecuentes

Cómo Usar

Generar un Hash bcrypt

Selecciona la Pestaña Generar

Asegúrate de que la pestaña Generar esté seleccionada en la interfaz de la herramienta

Ingresa la Contraseña

Escribe tu contraseña en el campo de entrada

Elige el Factor de Costo

Selecciona el número de rondas — el valor predeterminado de 12 se recomienda para la mayoría de casos de uso

Generar

Haz clic en el botón Generar Hash para crear tu hash bcrypt

Copiar Resultado

Usa el botón copiar para copiar el hash resultante a tu portapapeles

Verificar una Contraseña

Cambia a la Pestaña Verificar

Haz clic en la pestaña Verificar en la interfaz de la herramienta

Ingresa la Contraseña

Escribe la contraseña que deseas verificar

Pega el Hash

Pega el hash bcrypt que deseas verificar

Verificar

Haz clic en el botón Verificar Contraseña para comprobar si coinciden

Verifica el Resultado

El resultado mostrará Coincidencia (verde) o No Coincide (rojo)

Eligiendo el Factor de Costo Correcto

Recomendación: Para la mayoría de aplicaciones en producción, usa 12 rondas para un equilibrio óptimo entre seguridad y rendimiento.

Rondas	Nivel de Seguridad	Caso de Uso
4–9	Bajo	Solo desarrollo y pruebas
10–11	Medio	Aplicaciones de baja seguridad
12–13	Recomendado	Aplicaciones en producción
14–17	Alto	Sistemas de alta seguridad
18+	Muy Alto	Máxima seguridad (generación lenta)

Características

Dos Modos: Generar y Verificar

Cambia entre generar nuevos hashes bcrypt y verificar los existentes con un solo clic.

El modo Generar crea nuevos hashes a partir de contraseñas
El modo Verificar comprueba la contraseña contra un hash existente
Cambio fluido entre modos

Factor de Costo Ajustable

Elige entre rondas 4 a 31 para controlar la fortaleza del hashing con insignias de seguridad codificadas por color.

Indicadores visuales del nivel de seguridad
Equilibra seguridad vs. rendimiento
Más rondas = seguridad más fuerte

Información Detallada del Hash

Ve la versión del algoritmo, factor de costo y tiempo exacto de generación para entender el impacto en el rendimiento.

Visualización de la versión del algoritmo
Desglose del factor de costo
Métricas de rendimiento en tiempo real

Seguridad en el Cliente

Todo el hashing de contraseñas y verificación ocurre completamente en tu navegador usando la librería bcryptjs.

Sin transmisión al servidor
Protección completa de privacidad
Funciona sin conexión

Privacidad Primero: Tus contraseñas nunca salen de tu navegador. Todas las operaciones se realizan localmente usando JavaScript.

Preguntas Frecuentes

¿Por qué la misma contraseña produce diferentes hashes?

bcrypt genera automáticamente un salt aleatorio único para cada hash. Esto significa que incluso contraseñas idénticas producirán hashes completamente diferentes, lo que previene que los atacantes usen tablas precomputadas (tablas arcoíris) para descifrar contraseñas.

Beneficio de seguridad: Cada hash es único, haciendo imposibles los ataques de tabla arcoíris incluso para contraseñas comunes.

¿Qué factor de costo debo usar?

Para la mayoría de aplicaciones en producción, se recomienda 12 rondas. Esto proporciona un buen equilibrio entre seguridad y rendimiento.

Usa 12 rondas para aplicaciones estándar en producción
Usa 14+ rondas para datos altamente sensibles
Usa 4-8 rondas solo para desarrollo y pruebas

Importante: Los factores de costo más altos aumentan significativamente el tiempo de procesamiento. Prueba el impacto en el rendimiento antes de desplegar en producción.

¿Cuál es la diferencia entre $2a$, $2b$ y $2y$?

$2a$

Especificación bcrypt original

$2b$

Versión actualizada que corrige el manejo de contraseñas largas

$2y$

Identificador de implementación de PHP

Las tres versiones son compatibles — esta herramienta genera hashes $2b$ y puede verificar los tres formatos.

¿Hay una longitud máxima de contraseña?

bcrypt procesa hasta 72 bytes de entrada. Los caracteres más allá de este límite se truncan silenciosamente.

Para frases de contraseña largas: Si necesitas hashear frases de contraseña muy largas, considera pre-hashear con SHA-256 antes de aplicar bcrypt.

Para la mayoría de contraseñas esto no es un problema, ya que las contraseñas típicas están muy por debajo de 72 caracteres.

¿Es segura mi contraseña al usar esta herramienta?

Sí, absolutamente. Todo el hashing y verificación se realiza completamente en tu navegador usando JavaScript. Tu contraseña nunca se transmite a ningún servidor.

Procesamiento 100% en el cliente
Sin comunicación con el servidor
Funciona sin conexión
Sin registro o almacenamiento de datos

Verifica por ti mismo: Puedes probar esto usando la herramienta mientras estés desconectado de internet — funcionará perfectamente.