Desde mayo de 2022, Google bloqueó permanentemente el acceso básico por contraseña a Gmail para aplicaciones de terceros — un cambio que rompió silenciosamente miles de configuraciones de correo electrónico de un día para otro. El Instituto Nacional de Ciberseguridad (INCIBE) recomienda la autenticación en dos factores para todos los servicios de correo empresarial, y este movimiento de Google sigue exactamente esa lógica. Las contraseñas de aplicación son el recurso de compatibilidad designado para software que no puede completar un flujo OAuth — pero el propio Google las califica de “innecesarias en la mayoría de los casos”. Esta guía explica con precisión cuándo todavía necesitas una en 2026, cómo generar una en menos de dos minutos, y cómo limpiar las que ya no usas.
¿Qué es una contraseña de aplicación de Gmail?
Una contraseña de aplicación de Gmail es un código de 16 caracteres que permite a una aplicación o dispositivo específico acceder a tu cuenta de Google sin necesitar tu contraseña real de Google. Solo funciona si la verificación en dos pasos (2SV) ya está activa — Google no te mostrará la página de contraseñas de aplicación de otro modo. Una vez generado, el código se muestra solo una vez; lo copias directamente en el campo de contraseña de la aplicación.
El concepto se remonta a cuando la mayoría del software de correo gestionaba la autenticación con un simple intercambio de usuario + contraseña mediante IMAP o SMTP. Ese modelo tiene un problema fundamental: entregas tus credenciales reales de Google a una aplicación de terceros, lo que significa que si esa aplicación sufre una brecha, toda tu cuenta de Google queda expuesta. Las contraseñas de aplicación se introdujeron como mitigación parcial — un token con alcance limitado a IMAP/SMTP, sin acceso completo a la cuenta.
Google describe las contraseñas de aplicación así en su página de soporte: “Una contraseña de aplicación es un código de 16 dígitos que da permiso a una aplicación o dispositivo menos seguro para acceder a tu cuenta de Google.” La formulación “menos seguro” es deliberada y honesta — las contraseñas de aplicación son una capa de compatibilidad para sistemas heredados, no un enfoque recomendado.
Un detalle importante que sorprende a muchos usuarios: las contraseñas de aplicación solo están disponibles si usas la verificación en dos pasos estándar (SMS, aplicación autenticadora o llave de seguridad física). Si estás inscrito en el Programa de Protección Avanzada de Google, las contraseñas de aplicación están completamente desactivadas. Si tu administrador de Google Workspace ha restringido la creación de contraseñas de aplicación a nivel de dominio, la página devolverá un error o simplemente no cargará.
¿Realmente la necesitas en 2026?
Para la gran mayoría de usuarios de Gmail en 2026: no. Los clientes de correo modernos, las aplicaciones móviles y la mayoría del software de escritorio admiten OAuth 2.0 — el flujo del botón “Iniciar sesión con Google” que emite un token de alcance limitado sin tocar jamás tu contraseña. Necesitas una contraseña de aplicación solo si usas software que no puede completar un flujo OAuth.
Aquí el desglose práctico:
NO necesitas una contraseña de aplicación si usas:
- Gmail en un navegador
- La aplicación oficial de Gmail en iOS o Android
- Mailbird (admite OAuth para Gmail desde 2020)
- Thunderbird 115 y versiones posteriores (cambia a OAuth por defecto)
- Outlook 2016 y posterior con una configuración de autenticación moderna
- Apple Mail en macOS Ventura y posterior
- Cualquier cliente de correo que muestre un popup del navegador “Iniciar sesión con Google” durante la configuración de la cuenta
Probablemente SÍ necesitas una contraseña de aplicación si usas:
- Scripts Python usando
smtplibconsmtp.gmail.com:587 - Herramientas de automatización heredadas (nodos de correo antiguos de Zapier, versiones antiguas de n8n, wrappers bash
sendmailpersonalizados) - Versiones de Thunderbird anteriores a 115 sin migración OAuth manual
- Impresoras o escáneres con función de “escanear a correo” por SMTP
- Dispositivos NAS con notificaciones por correo de Gmail
- Versiones muy antiguas de Outlook (2010 y anteriores) sin soporte OAuth
- Software CRM o ERP personalizado con autenticación SMTP codificada en duro
El ajuste de “Aplicaciones menos seguras” — que antes permitía a estas viejas aplicaciones saltarse la 2SV por completo — fue eliminado permanentemente por Google en mayo de 2022. Las contraseñas de aplicación se convirtieron en el único camino no-OAuth después de eso.
Cómo crear una contraseña de aplicación de Gmail (paso a paso)
Crear una contraseña de aplicación de Gmail lleva menos de dos minutos. Vas a myaccount.google.com/apppasswords, nombras la aplicación, haces clic en Crear, copias el código de 16 caracteres y lo pegas en el campo de contraseña de la aplicación. La verificación en dos pasos debe estar activa antes de que esta página sea accesible.
Requisitos previos antes de empezar:
- La verificación en dos pasos debe estar activada. Si no lo está, actívala primero en myaccount.google.com/signinoptions/two-step-verification. La guía completa está en nuestro artículo sobre la configuración de la doble autenticación de Gmail.
- No debes estar inscrito en el Programa de Protección Avanzada (las contraseñas de aplicación están desactivadas para esas cuentas).
- Si usas Google Workspace (cuenta de empresa o escolar), tu administrador debe permitir la creación de contraseñas de aplicación.
Paso 1 — Abrir la página de contraseñas de aplicación
Ve a myaccount.google.com/apppasswords. Puede que te pidan iniciar sesión o confirmar tu contraseña. Si la página muestra un error indicando que las contraseñas de aplicación no están disponibles, revisa los requisitos previos anteriores.
Paso 2 — Nombrar la aplicación
Verás un campo de texto etiquetado como “Nombre de la aplicación”. Escribe algo descriptivo — Thunderbird escritorio, Script Python facturas, Impresora Brother. Esta etiqueta es solo para tu referencia; Google no la usa para decisiones de acceso. Un nombre preciso importa cuando necesites revocar la contraseña correcta seis meses después.
Paso 3 — Hacer clic en Crear
Google genera un código de 16 caracteres mostrado en cuatro grupos de cuatro letras. Esa es la contraseña de aplicación. Se ve así: abcd efgh ijkl mnop.
Paso 4 — Copiar y usar inmediatamente
Esta es la única vez que verás este código exacto. Cópialo ahora. Cuando lo pegues en el cliente de correo o script, elimina los espacios — la aplicación necesita los 16 caracteres puros. En Thunderbird, por ejemplo, pégalo en el campo “Contraseña” durante la configuración de la cuenta IMAP; en un script Python de smtplib, asígnalo a la variable password.
Paso 5 — Cerrar el diálogo
Una vez que cierres el diálogo, la contraseña completa desaparece de la interfaz de Google. Lo que permanece es la etiqueta que elegiste en el Paso 2, visible en la página de gestión de contraseñas de aplicación. Si pierdes el código, no puedes recuperarlo — generas uno nuevo y actualizas la aplicación.
Cuándo todavía necesitas una contraseña de aplicación
Las contraseñas de aplicación siguen siendo necesarias para cualquier software que se autentica mediante IMAP o SMTP con usuario y contraseña, sin admitir el flujo de redirección de navegador OAuth. Los casos más comunes en 2026 son scripts heredados, clientes de escritorio más antiguos y dispositivos de hardware.
Scripts Python y desarrollo
El caso de uso más frecuente. Un script que usa smtplib.SMTP_SSL('smtp.gmail.com', 465) seguido de server.login(email, password) fallará con una contraseña estándar de Google y la 2SV activada. Sustituye password por la contraseña de aplicación de 16 caracteres y funcionará. Si quieres evitar contraseñas de aplicación en scripts a largo plazo, considera la API de Gmail con una cuenta de servicio o flujo OAuth 2.0.
Impresoras y escáneres con escanear-a-correo
Brother, HP, Ricoh, Canon — prácticamente cualquier dispositivo de oficina de gama media con función de correo SMTP usa autenticación básica. No hay popup de navegador en una impresora, por lo que OAuth es imposible. Las contraseñas de aplicación son la solución correcta aquí: crea una con la etiqueta Impresora HP oficina, introduce la dirección de Gmail y la contraseña de aplicación en los ajustes SMTP de la impresora.
Configuraciones antiguas de Thunderbird y Outlook
Thunderbird 115 cambió su autenticación Gmail por defecto a OAuth, pero las cuentas configuradas originalmente en versiones anteriores pueden seguir usando IMAP con una contraseña almacenada. Si Thunderbird te pide la contraseña de nuevo tras un cambio de Google, y la solicitud es para una contraseña y no un flujo OAuth, tienes una configuración de autenticación heredada. Opciones: vuelve a agregar la cuenta de Gmail en Thunderbird 115+ (activa OAuth), o genera una contraseña de aplicación y pégala en la solicitud.
NAS y notificaciones de servidores domésticos
Synology, QNAP y dispositivos similares suelen incluir una función de “notificación por correo” que requiere credenciales SMTP. Crea una contraseña de aplicación dedicada con el nombre del dispositivo como etiqueta. Trátala como cualquier otra credencial: si el dispositivo se retira, revoca la contraseña ese mismo día.
Por qué la mayoría de los clientes modernos ya no la necesitan
Los clientes de correo modernos se autentican mediante OAuth 2.0, que abre una ventana del navegador para el flujo “Iniciar sesión con Google” en lugar de pedir una contraseña. Google emite un token de acceso de alcance limitado a la aplicación — ninguna contraseña se comparte jamás, y el token puede revocarse desde tu cuenta de Google sin afectar a tu contraseña de Google.
Este cambio se produjo gradualmente entre 2016 y 2022. Gmail bloqueó las Aplicaciones menos seguras (IMAP/SMTP básico con tu contraseña real) en mayo de 2022, empujando a cada cliente restante a adoptar OAuth o depender de contraseñas de aplicación.
Mailbird, por ejemplo, gestiona la configuración de Gmail completamente mediante OAuth. Cuando añades una cuenta de Gmail en Mailbird, la aplicación abre tu navegador predeterminado en accounts.google.com, apruebas los permisos, y listo — ninguna contraseña de ningún tipo entra en el almacenamiento de Mailbird. El acceso está limitado a leer/escribir/enviar correo, no a toda tu cuenta de Google.
Esto es materialmente más seguro que una contraseña de aplicación. Una contraseña de aplicación, una vez generada, no tiene fecha de caducidad y no tiene restricción de alcance más allá de IMAP/SMTP. Un token OAuth tiene alcance limitado, caduca, y está vinculado a una aplicación aprobada específica.
Prueba Mailbird gratisSi actualmente usas un cliente de correo más antiguo que requiere una contraseña de aplicación para Gmail y pasas mucho tiempo en tu bandeja de entrada, cambiar a un cliente con soporte OAuth nativo merece el coste de migración. La mejora de seguridad es real. Consulta nuestro resumen de los mejores clientes de correo para Windows 2026 para una comparación de las principales opciones.
Seguridad: contraseñas de aplicación vs OAuth
Las contraseñas de aplicación son más seguras que compartir tu contraseña real de Google con una aplicación de terceros, pero notablemente más débiles que OAuth. Una contraseña de aplicación concede acceso IMAP/SMTP persistente sin caducidad, sin restricción de alcance más allá del correo, y sin invalidación automática si tu comportamiento cambia. Los tokens OAuth tienen alcance limitado, caducan, y son revocables por aplicación.
Lo que una contraseña de aplicación puede y no puede hacer:
Un código de aplicación de 16 caracteres permite al titular autenticarse mediante IMAP (leer correo, gestionar carpetas) y SMTP (enviar correo en tu nombre). No concede acceso a tu Google Drive, Calendario, Contactos o configuración de cuenta. No puede usarse para iniciar sesión directamente en google.com.
Contra lo que no protege: la persistencia. Si un script o aplicación que tiene tu contraseña de aplicación se ve comprometido, el atacante tiene acceso continuo de lectura/envío a tu Gmail hasta que revoques esa contraseña específica. No hay caducidad automática.
Un activador de revocación automática sí existe: cuando cambias la contraseña de tu cuenta de Google, todas las contraseñas de aplicación existentes se invalidan. Es una medida de emergencia útil — si sospechas una brecha, cambia tu contraseña de Google y todas las contraseñas de aplicación quedan inutilizadas de inmediato.
Higiene de seguridad práctica:
- Crea una contraseña de aplicación por caso de uso, nunca la reutilices entre varias aplicaciones
- Usa una etiqueta descriptiva (no solo “Correo”) para poder revocar con precisión
- Revisa tu lista de contraseñas de aplicación en myaccount.google.com/apppasswords trimestralmente
- Cuando retires un script, dispositivo o cliente, revoca su contraseña de aplicación ese mismo día
- Nunca almacenes una contraseña de aplicación en texto plano — usa variables de entorno, un gestor de secretos o el llavero de tu sistema operativo
Cómo revocar una contraseña de aplicación de Gmail
Para revocar una contraseña de aplicación de Gmail, ve a myaccount.google.com/apppasswords, encuentra la entrada por la etiqueta que le diste, y haz clic en el icono de revocación (papelera). La revocación es inmediata — la aplicación que usaba esa contraseña fallará al autenticarse en su próximo intento.
La página de revocación lista cada contraseña de aplicación activa por el nombre que le diste al crearla, junto con la fecha aproximada de creación. Si las etiquetaste claramente, esta página es fácil de auditar.
Qué ocurre después de la revocación:
La aplicación o script que tenía la contraseña recibirá un fallo de autenticación en su próximo intento de conexión. En Thunderbird, esto se manifiesta como una solicitud de contraseña. En un script Python, lanza un smtplib.SMTPAuthenticationError. La solución es generar una nueva contraseña de aplicación y actualizar la configuración de la aplicación.
Revocación masiva:
No hay botón de “revocar todo” de un solo clic en la página de contraseñas de aplicación. La revocación masiva más rápida es cambiar la contraseña de tu cuenta de Google — eso invalida inmediatamente cada contraseña de aplicación de tu cuenta. Todas las aplicaciones que usen contraseñas de aplicación deberán reconfigurarse con nuevas. Usa esta opción nuclear solo si sospechas una brecha en la cuenta o estás haciendo un restablecimiento de seguridad completo.
Solución de problemas: la contraseña de aplicación no funciona
Las razones más comunes por las que falla una contraseña de aplicación: el código se copió con espacios (pega los 16 caracteres puros, sin espacios), la verificación en dos pasos fue desactivada después de generar la contraseña (las contraseñas de aplicación se eliminan cuando se desactiva la 2SV), o la contraseña de Google fue cambiada (todas las contraseñas de aplicación se revocan automáticamente al cambiar la contraseña).
Sigue esta lista de verificación antes de generar una nueva contraseña de aplicación:
1. Espacios en el código
Google muestra el código de 16 caracteres como abcd efgh ijkl mnop. Algunos campos de contraseña aceptan este formato; otros rechazan los espacios. Ante la duda, introduce los 16 caracteres sin espacios: abcdefghijklmnop.
2. La verificación en dos pasos fue desactivada Si la 2SV se desactiva en la cuenta — aunque sea brevemente — todas las contraseñas de aplicación se eliminan. Reactivar la 2SV no las restaura. Genera nuevas contraseñas de aplicación tras reactivar la 2SV.
3. La contraseña de Google fue cambiada recientemente Cambiar tu contraseña de cuenta de Google revoca automáticamente todas las contraseñas de aplicación. Está documentado en la página de soporte de Google. Genera una nueva contraseña de aplicación tras cualquier cambio de contraseña.
4. Cuenta incorrecta Si gestionas varias cuentas de Google, confirma que la contraseña de aplicación pertenece a la misma cuenta que la aplicación intenta autenticar. Las contraseñas de aplicación son específicas de cuenta.
5. La aplicación usa el tipo de autenticación incorrecto
Algunos clientes de correo tienen un ajuste para el método de autenticación: Contraseña normal, OAuth2, Kerberos, etc. Para contraseñas de aplicación, selecciona Contraseña normal (o equivalente). Seleccionar OAuth2 cuando se usa una contraseña de aplicación fallará.
6. Restricción del administrador de Workspace Si tu cuenta es una cuenta de Google Workspace (escuela, empleador), el administrador puede restringir o deshabilitar la creación de contraseñas de aplicación. Si la página de contraseñas de aplicación muestra un error cuando estás conectado, contacta a tu administrador de Workspace.
7. Programa de Protección Avanzada Las cuentas inscritas en el Programa de Protección Avanzada no pueden crear contraseñas de aplicación. Es una restricción estricta por diseño — se espera que los usuarios de Protección Avanzada usen solo aplicaciones aprobadas por Google.
Alexis Dollé, experto en correo electrónico con más de 10 años de experiencia. Fundador de Email Tools. Pruebo cada cliente de correo y herramienta yo mismo, y escribo sobre ellos como se lo explicaría a un amigo — sin jerga de marketing, sin clasificaciones patrocinadas, cada afirmación con fuente.
LinkedInPreguntas frecuentes
¿Qué es una contraseña de aplicación de Gmail?
Una contraseña de aplicación de Gmail es un código de 16 caracteres que permite a una aplicación o dispositivo más antiguo acceder a tu cuenta de Google sin usar tu contraseña real de Google. Solo funciona si la verificación en dos pasos ya está activada. El propio Google indica que son innecesarias en la mayoría de los casos — las aplicaciones modernas usan OAuth en su lugar.
¿Dónde creo una contraseña de aplicación de Gmail?
Ve a myaccount.google.com/apppasswords mientras estás conectado a tu cuenta de Google. La verificación en dos pasos debe estar activa. Si no ves la página, tu cuenta usa Google Workspace con restricciones de administrador, no tiene 2SV activada, o está inscrita en el Programa de Protección Avanzada.
¿Sigo necesitando contraseñas de aplicación en 2026?
Para la mayoría de usuarios: no. Los clientes modernos como Mailbird, Thunderbird 115+ y Outlook 2016+ admiten OAuth y se conectan a Gmail sin contraseña de aplicación. Las necesitas para scripts heredados, herramientas de automatización, software IMAP/SMTP antiguo, o dispositivos sin soporte OAuth.
¿Qué pasó con las “aplicaciones menos seguras” de Gmail?
Google eliminó permanentemente el ajuste “Aplicaciones menos seguras” en mayo de 2022. Las contraseñas de aplicación (con 2SV) se convirtieron en el único recurso alternativo no-OAuth. Desde enero de 2025, Gmail también eliminó el interruptor IMAP — el IMAP ahora está siempre activo.
¿Son seguras las contraseñas de aplicación de Gmail?
Son más seguras que compartir tu contraseña real de Google, pero más débiles que OAuth. Una contraseña de aplicación evita la 2SV para la app que la tiene, no caduca automáticamente, y da acceso persistente hasta que la revoques. Limítalas al mínimo — una por caso de uso, revocación inmediata cuando no se necesite.
¿Qué hago si mi contraseña de aplicación de Gmail deja de funcionar?
Comprueba primero que copiaste los 16 caracteres sin espacios. Verifica que la verificación en dos pasos sigue activa. Si cambiaste recientemente tu contraseña de Google, la contraseña de aplicación fue revocada automáticamente — genera una nueva. Confirma también que la aplicación usa la contraseña de aplicación, no tu contraseña normal de Google.
Fuentes y referencias
- Ayuda de cuenta de Google — Iniciar sesión con contraseñas de aplicación. Describe las contraseñas de aplicación como “un código de 16 dígitos”, confirma el requisito de verificación en dos pasos, señala la revocación automática al cambiar contraseña. Consultado el 2026-05-18. support.google.com/accounts/answer/185833
- Ayuda de Gmail — Leer mensajes de Gmail en otros clientes de correo mediante IMAP. Confirma que Gmail “ya no admite aplicaciones o dispositivos de terceros que requieran compartir el nombre de usuario y la contraseña de Google”, señala el cambio de enero de 2025. Consultado el 2026-05-18. support.google.com/mail/answer/7126229
- Email Tools — Configuración de la autenticación de dos factores de Gmail. Guía completa para activar la verificación en dos pasos, requisito previo para crear contraseñas de aplicación. email-tools.me/posts/gmail-two-factor-authentication-setup/
- Email Tools — Mejores clientes de correo para Windows 2026. Presenta clientes con OAuth nativo como alternativas a configuraciones dependientes de contraseñas de aplicación. email-tools.me/posts/best-email-clients-windows-2026/
Artículos relacionados: Configuración de la doble autenticación de Gmail — activa la 2SV, requisito previo para crear contraseñas de aplicación. Mejores clientes de correo para Windows 2026 — clientes con OAuth nativo que eliminan la necesidad de contraseñas de aplicación. Guía de configuración IMAP de Mailbird — configuración de Gmail mediante OAuth en Mailbird.