Espacio de claves
Ritmo del atacante
Tiempo para probar todo el espacio

Esto modela el ataque offline (una flash volcada). En el propio dispositivo, los intentos online están limitados por un bloqueo que borra la bóveda tras unos pocos intentos.

Sobre esta herramienta

Un PIN de 4 dígitos solo tiene 10.000 valores posibles. Esta calculadora muestra qué significa eso frente a un atacante offline que ha volcado la flash: elige un espacio de secreto, un factor de trabajo PBKDF2 y una GPU, y estima el tiempo de barrer todo el espacio de claves.

Luego activa la vinculación al dispositivo — y el ataque offline se vuelve inviable, porque cada intento necesita un secreto por-chip que no puede extraerse del hardware.

Es la compañera interactiva del artículo Un PIN de 4 dígitos basta: claves vinculadas al ESP32-S3.

¿Qué calcula?

  • Espacio de claves — el tamaño del alfabeto elevado a la longitud del secreto.

  • Ritmo del atacante — el rendimiento SHA-256 bruto de la GPU dividido por el trabajo de PBKDF2 (≈ dos compresiones SHA-256 por iteración).

  • Tiempo — espacio de claves ÷ ritmo para probar cada candidato; el tiempo esperado para encontrar el secreto es aproximadamente la mitad.

Una nota sobre el realismo

Esto modela el ataque offline sobre una bóveda exfiltrada. En el propio dispositivo, los intentos online se detienen primero con un bloqueo por fuerza bruta que borra la bóveda tras unos pocos intentos fallidos — el número de iteraciones se dimensiona para la latencia de desbloqueo, no como defensa contra fuerza bruta.

Privacidad

Todo se calcula en tu navegador con aritmética simple. No se transmite ninguna entrada a ningún sitio.

Preguntas frecuentes

¿Cuánto se tarda en romper por fuerza bruta un PIN de 4 dígitos?

Un PIN de 4 dígitos solo tiene 10.000 valores posibles, así que una GPU sin endurecimiento de clave lo rompe casi al instante. La defensa real es un factor de trabajo PBKDF2 que ralentiza cada intento, o la vinculación al dispositivo que vuelve inviable el ataque offline.

¿Aumentar el número de iteraciones de PBKDF2 detiene los ataques de fuerza bruta?

Más iteraciones multiplican el coste por intento y elevan el tiempo de barrer todo el espacio de claves, pero ese número se dimensiona para la latencia de desbloqueo, no como defensa contra fuerza bruta. Con un espacio de claves de PIN tan pequeño ralentiza al atacante offline pero no hace inviable el ataque por sí solo.

¿Cómo vuelve inviable la fuerza bruta la vinculación al dispositivo?

La vinculación al dispositivo mezcla un secreto por-chip en la derivación de clave, así que cada intento necesita hardware que no puede extraerse de la flash volcada. El atacante ya no puede probar candidatos offline contra la bóveda exfiltrada.

¿Cómo estima la calculadora la velocidad del atacante?

Divide el rendimiento SHA-256 bruto de la GPU entre el trabajo de PBKDF2, tratando cada iteración como unas dos compresiones SHA-256. El espacio de claves dividido por ese ritmo da el tiempo de probar cada candidato; el tiempo esperado para encontrar el secreto es aproximadamente la mitad.

¿Se envía a algún servidor lo que escribo?

No. Cada valor se calcula en tu navegador con aritmética simple y no se transmite ninguna entrada a ningún sitio.