AES-256-GCM is a symmetric authenticated encryption algorithm used by TLS 1.3, Signal, and most modern secure systems. The GCM mode adds an authentication tag that detects any modification to the ciphertext.

What is the difference between AES-GCM and AES-CBC?

Both use AES with a 256-bit key. GCM mode is authenticated (AEAD) — it detects tampering. CBC mode does not authenticate, meaning a modified ciphertext may decrypt without error but produce garbage.

RSA-OAEP is an asymmetric encryption scheme. The public key encrypts, only the private key decrypts. OAEP is the secure padding scheme required for modern RSA encryption.

Can I decrypt on a different device?

Yes. The Base64 output contains the salt, IV, and ciphertext — everything needed. Paste it on another device with the same password and it decrypts correctly.

How strong is the password protection?

PBKDF2 with 310,000 SHA-256 iterations (OWASP 2023 recommendation) derives the key. A random 128-bit salt per encryption prevents rainbow-table attacks.

Herramienta Gratuita

Encriptador / Desencriptador de Texto

Encripta y desencripta texto en tu navegador usando AES-256-GCM, AES-256-CBC o RSA-OAEP 2048. Claves derivadas de contraseña mediante PBKDF2. Ningún dato sale de tu dispositivo.

Algoritmo

Contraseña / Frase de paso

La clave se deriva de tu contraseña usando PBKDF2-SHA256 (310,000 iteraciones). AES-256-GCM también autentica el texto cifrado — cualquier manipulación es detectada.

Entrada

Toda la encriptación y desencriptación se ejecuta enteramente en tu navegador usando la Web Crypto API — ningún dato se envía a ningún servidor.

¿Qué algoritmo debo usar?

AES-256-GCM es la opción recomendada para la mayoría de casos de uso. Es un esquema de encriptación autenticado — significa que encripta tus datos y verifica su integridad, detectando cualquier manipulación. AES-256-CBC es una opción clásica pero carece de autenticación integrada. RSA-OAEP es asimétrico — cualquiera con la clave pública puede encriptar, pero solo el titular de la clave privada puede desencriptar. Usa RSA para escenarios como enviar un secreto a alguien sin compartir una contraseña.

¿Cómo se derivan las claves de las contraseñas?

Para AES-GCM y AES-CBC, tu contraseña nunca se usa directamente como clave. En su lugar, PBKDF2 con SHA-256 e iteraciones 310,000 se usa para derivar una clave de 256 bits de tu contraseña y un salt aleatorio. El salt se almacena junto al texto cifrado, por lo que la desencriptación solo requiere la contraseña. Esto significa que incluso las contraseñas débiles se vuelven mucho más difíciles de romper por fuerza bruta.

Formato de salida

La salida encriptada está codificada en Base64 y contiene el salt, IV (vector de inicialización) y texto cifrado — todo lo necesario para desencriptarlo. Simplemente pega la salida de vuelta en la pestaña Desencriptar con la misma contraseña.

Cómo usar

Elige la pestaña Encriptar o Desencriptar.
Selecciona un algoritmo — AES-256-GCM es recomendado.
Para algoritmos AES: introduce una contraseña. Para RSA: genera o pega un par de claves.
Pega tu texto y haz clic en Encriptar o Desencriptar.
Copia la salida.

Toda la encriptación se ejecuta en tu navegador usando la Web Crypto API — ningún dato se envía a ningún servidor.

Preguntas Frecuentes

¿Qué es AES-256-GCM?: AES-256-GCM (Estándar de Encriptación Avanzada, clave de 256 bits, Modo de Contador Galois) es un algoritmo de encriptación autenticado simétrico. Es usado por TLS 1.3, Signal y la mayoría de sistemas seguros modernos. El modo GCM añade una etiqueta de autenticación que detecta cualquier modificación al texto cifrado.
¿Cuál es la diferencia entre AES-GCM y AES-CBC?: Ambos usan el mismo cifrador de bloques AES con una clave de 256 bits. El modo GCM es un esquema AEAD (Encriptación Autenticada con Datos Asociados) — produce una etiqueta de autenticación junto al texto cifrado, por lo que cualquier manipulación es detectada durante la desencriptación. El modo CBC no autentica, lo que significa que un texto cifrado modificado puede desencriptarse sin error pero producir salida basura.
¿Qué es RSA-OAEP?: RSA-OAEP es un esquema de encriptación asimétrico. Generas un par de claves: la clave pública se puede compartir abiertamente y usar para encriptar mensajes, pero solo la clave privada puede desencriptarlos. OAEP (Relleno de Encriptación Asimétrica Óptima) es el esquema de relleno seguro requerido para la encriptación RSA.
¿Puedo desencriptar en un dispositivo diferente?: Sí. La salida contiene toda la información necesaria para desencriptar — salt, IV y texto cifrado — codificado como Base64. Copia la salida, pégala en otro dispositivo en la pestaña Desencriptar, introduce la misma contraseña (o clave privada para RSA), y se desencriptará correctamente.
¿Qué tan fuerte es la protección por contraseña?: Se usa PBKDF2 con iteraciones SHA-256 310,000 (recomendación OWASP 2023) para derivar la clave. Se genera un salt aleatorio de 128 bits por encriptación, previniendo ataques de tabla arcoíris. Dicho esto, siempre usa una frase de paso larga y aleatoria — la seguridad de la encriptación simétrica depende en última instancia de la fortaleza de tu contraseña.

Herramientas Relacionadas

Hash Generator

Generate MD5, SHA-1, SHA-2, SHA-3, and Argon2 hashes — browser-side, no upload

Bcrypt Generator

Hash and verify passwords using bcrypt with adjustable cost factor

Password Generator

Generate strong random passwords with entropy scoring