En 1998, Adolphe Quetelet llevaba 124 años muerto, pero su fórmula gobernaba el mundo. Un astrónomo belga que nunca pretendió medir la salud individual había inventado lo que hoy llamamos IMC; un ratio tan burdo que clasifica a The Rock como obeso. El NIST estaba a punto de declarar que la mayoría de reglas de complejidad de contraseñas hacen más mal que bien. Y a CSS le faltaban cuatro años para tener border-radius. Tres hechos completamente inconexos, salvo por un hilo común: la brecha entre lo que dice la ciencia y lo que acabamos haciendo en la práctica.
Este artículo va sobre esa brecha. Sobre fórmulas que usamos sin cuestionarlas, teatro de seguridad que aceptamos como normal, y diseño visual que seguimos haciendo a prueba y error. Por el camino, construimos 12 herramientas para navegador que permiten explorar estas ideas de forma práctica. Todo se ejecuta en el cliente; nada sale de tu máquina.
Tu cuerpo no es una hoja de cálculo (pero las matemáticas siguen siendo útiles)
Quetelet diseñó su índice en la década de 1830 para estudiar poblaciones, no individuos. La OMS lo adoptó igualmente, y ahora cada consulta médica del mundo lo usa como atajo de cribado. La fórmula es casi cómicamente simple: peso en kg dividido entre altura en metros al cuadrado. No dice nada sobre masa muscular, densidad ósea o dónde almacena grasa tu cuerpo. Y sin embargo, a escala poblacional, sigue siendo uno de los mejores predictores de riesgo metabólico que tenemos. La paradoja es que el IMC es simultáneamente demasiado tosco para cualquier individuo y demasiado útil para abandonarlo. Si quieres ver dónde caes y entender qué significan realmente los rangos, puedes calcularlo aquí.
Un número más interesante es uno que la mayoría de la gente nunca ha oído: tu Tasa Metabólica Basal. Es la energía que tu cuerpo quema sin hacer absolutamente nada; respirar, bombear sangre, mantener la temperatura. En la mayoría de adultos, supone entre el 60 y el 75% del gasto calórico diario total. La ecuación de Mifflin-St Jeor, publicada en 1990, sigue considerándose el estimador más preciso para adultos sanos, superando a la antigua fórmula de Harris-Benedict en aproximadamente un 5% en estudios de validación. La revelación llega cuando multiplicas la TMB por un factor de actividad para obtener tu Gasto Energético Diario Total (TDEE). Ese único número explica más sobre ganancia y pérdida de peso que cualquier libro de dietas. Puedes hacer el cálculo y ver cómo el número cambia drásticamente entre "oficinista sedentario" y "entrena 6 días a la semana".
Luego está la hidratación, donde la sabiduría popular ("8 vasos al día") carece esencialmente de base científica. Se remonta a una recomendación de 1945 de la Junta de Alimentación y Nutrición de EE.UU. que se sacó de contexto; el texto original señalaba que la mayor parte de esa agua proviene de los alimentos. Las Academias Nacionales de Ciencias publicaron directrices realmente basadas en evidencia que tienen en cuenta el peso corporal, la actividad y el clima. Alguien haciendo trabajo manual en Sevilla y alguien programando en Estocolmo necesitan cantidades de agua muy diferentes. Construimos una calculadora personalizada basada en esas directrices.
El problema de las contraseñas es peor de lo que crees
Un dato que debería inquietarte: "P@ssw0rd!" cumple los requisitos de complejidad de la mayoría de sitios web. Mayúscula, listo. Número, listo. Carácter especial, listo. Ocho caracteres, listo. Un atacante con un equipo modesto de GPU la descifra en segundos.
El problema fundamental es que llevamos décadas midiendo la fortaleza de las contraseñas de forma equivocada. Las reglas tradicionales (debe contener mayúsculas, minúsculas, número, símbolo) optimizan para la incomodidad humana, no para la resistencia criptográfica. Lo que realmente importa es la entropía; el número de bits de aleatoriedad en tu contraseña. Una frase de contraseña de 20 caracteres con palabras comunes aleatorias tiene mucha más entropía que "Tr0ub4dor&3", aunque parezca más simple. NIST SP 800-63B, publicado en 2017, reconoció esto formalmente al recomendar que los sistemas verifiquen las contraseñas contra bases de datos de filtraciones conocidas en lugar de imponer complejidad arbitraria. Puedes probar tus propias contraseñas y ver el cálculo de entropía; las estimaciones de tiempo de crackeo suelen ser aleccionadoras.
Ya que hablamos de criptografía: todo algoritmo de cifrado moderno desciende, conceptualmente, de un truco de hace 2000 años. Julio César desplazaba cada letra de sus mensajes militares tres posiciones; la A se convertía en D, la B en E. Suetonio lo documentó. El cifrado es trivialmente descifrable hoy (solo hay 25 claves posibles), pero contiene la idea central detrás de todo cifrado simétrico: una transformación reversible controlada por una clave secreta. Si nunca has jugado con uno, pruébalo. Cifrar y descifrar unos cuantos mensajes te da una intuición sobre cómo funciona el cifrado que ninguna explicación de libro puede igualar.
En el otro extremo del espectro está el hashing, el primo unidireccional del cifrado. Una función hash toma cualquier entrada y produce una salida de tamaño fijo que es prácticamente imposible de revertir. SHA-256, el mismo algoritmo que asegura la blockchain de Bitcoin y el historial de commits de Git, producirá una cadena hexadecimal de 64 caracteres completamente diferente si cambias un solo bit de la entrada. Esta propiedad (llamada efecto avalancha) es lo que hace que los hashes sean útiles para la integridad de archivos, el almacenamiento de contraseñas y los sistemas de direccionamiento por contenido. El NIST recomienda SHA-256 o superior para cualquier cosa sensible en materia de seguridad. Puedes generar hashes de cualquier texto usando MD5, SHA-1, SHA-256 o SHA-512 y ver el efecto avalancha por ti mismo.
Por qué las propiedades visuales de CSS siguen siendo un juego de adivinanzas
Algo extraño del desarrollo web moderno. Tenemos TypeScript detectando errores de tipo antes de la ejecución. Tenemos linters que aplican estilos de código automáticamente. Pero cuando se trata de propiedades CSS visuales como border-radius, box-shadow y gradientes, seguimos escribiendo números, guardando, recargando, entrecerrando los ojos y escribiendo números diferentes. Es la parte más manual de un flujo de trabajo que, por lo demás, está cada vez más automatizado.
Tomemos border-radius. La mayoría de desarrolladores saben que redondea esquinas. Menos saben que soporta la notación con barra (border-radius: 10px 30px 50px 10px / 20px 40px) que crea formas orgánicas y asimétricas. Intenta adivinar esos valores en DevTools. No puedes visualizarlo. El cerebro humano no está diseñado para mapear ocho números a una forma 2D. Un editor visual donde arrastras esquinas y ves el resultado no es una comodidad; es la única forma sensata de explorar todo el rango de la propiedad.
Las sombras son aún peor. El sistema de elevación de Material Design apila múltiples sombras con diferentes desplazamientos, desenfoque y opacidades para simular profundidad realista. Un solo componente de tarjeta en Material UI usa tres valores de box-shadow apilados. Conseguir eso a mano es como mezclar colores leyendo códigos hexadecimales; técnicamente posible, prácticamente absurdo. Un editor de sombras por capas con vista previa en tiempo real marca la diferencia entre "esta sombra no queda bien" y "esta sombra parece un objeto físico".
Los gradientes CSS son los más infrautilizados de los tres. Los lineales están por todas partes. Los radiales aparecen de vez en cuando. Pero los cónicos, especificados en la especificación CSS Images Level 3, siguen siendo prácticamente desconocidos a pesar de estar soportados en todos los navegadores modernos. Pueden producir gráficos de tarta, ruedas de color y barridos angulares sin una sola línea de JavaScript o SVG. Tener los tres tipos de gradiente en un solo editor revela combinaciones en las que la mayoría de desarrolladores nunca piensan.
El coste oculto de dejar las cosas enchufadas
Un pequeño desvío hacia la economía energética. El hogar medio en España gasta alrededor de 1.200 euros al año en electricidad, y la mayoría de la gente no tiene ni idea de qué aparatos son los responsables. Un calefactor de 2000W funcionando 8 horas al día cuesta aproximadamente 50-60 euros al mes a tarifas medias. Un PC gaming encendido las 24 horas puede añadir 30-40 euros. Incluso una sola bombilla incandescente sustituida por LED ahorra unos 10 euros al año.
Las matemáticas son sencillas: vatios por horas por precio del kWh. Pero hacerlo para cada aparato de tu casa es lo suficientemente tedioso como para que casi nadie lo haga. Construimos una calculadora de coste eléctrico que lo desglosa por día, semana, mes y año. Los resultados suelen cambiar comportamientos.
Dos herramientas más para el día a día, porque las pequeñas fricciones se acumulan. La escala de GPA 4.0 es exclusivamente estadounidense y especialmente confusa para estudiantes internacionales; créditos ponderados, conversiones de notas en letras y escalas diferentes entre países convierten una simple media en un dolor de cabeza. Y dividir la cuenta de un restaurante (calculadora de propinas) no debería requerir una negociación grupal, especialmente cuando las costumbres sobre propinas varían enormemente entre países (15-20% en EE.UU., 0% en Japón, servicio incluido en Francia).
Una nota sobre privacidad
Todas las herramientas mencionadas aquí se ejecutan completamente en tu navegador usando la Web Crypto API y JavaScript estándar. Sin llamadas a servidores, sin analytics sobre tus datos, sin cuentas. Tus contraseñas, datos de salud y experimentos CSS se quedan en tu máquina. Esto no es una característica que estemos destacando; es la única forma en que estas herramientas deberían funcionar. El hecho de que la mayoría de alternativas te obliguen a enviar datos sensibles a un servidor para realizar un cálculo simple es la verdadera historia.