El problema real con las contraseñas

Según el Verizon Data Breach Investigations Report, el 80% de las brechas de seguridad involucran contraseñas comprometidas, ya sea por ser débiles, reutilizadas o robadas en filtraciones anteriores.

Los errores más comunes en empresas:

  • Usar la misma contraseña en múltiples servicios.
  • Contraseñas cortas o predecibles (nombre de la empresa + año).
  • Compartir contraseñas por WhatsApp o correo.
  • No cambiar contraseñas cuando un empleado sale de la empresa.

¿Cómo es una contraseña realmente segura?

Una contraseña segura tiene estas características:

  • Longitud: mínimo 12 caracteres. A mayor longitud, mayor seguridad.
  • Aleatoriedad: mezcla de letras (mayúsculas y minúsculas), números y símbolos.
  • Unicidad: diferente para cada cuenta o servicio.
  • Sin información personal: sin fechas de nacimiento, nombres o palabras del diccionario.

El problema: nadie puede memorizar docenas de contraseñas así. Ahí es donde entran los gestores de contraseñas.

¿Qué es un gestor de contraseñas?

Un gestor de contraseñas es una aplicación que almacena todas tus contraseñas de forma encriptada en un "cofre digital". Solo necesitas recordar una contraseña maestra para acceder a todas las demás. El gestor también puede generar contraseñas aleatorias y rellenarlas automáticamente en los sitios web.

Gestores recomendados para empresas

1Password Business

Uno de los más populares para equipos. Permite compartir credenciales de forma segura entre miembros, asignar permisos por rol y auditar accesos. Costo: aproximadamente US$7.99/usuario/mes.

Bitwarden Teams

La opción de código abierto más reconocida. Muy buena relación precio-rendimiento. Permite auto-hospedaje para empresas con requisitos estrictos de privacidad. Costo: US$3/usuario/mes.

LastPass Teams

Conocido y fácil de usar, con buena integración con Microsoft 365 y SSO. Ha tenido incidentes de seguridad en el pasado, por lo que se recomienda revisar sus actualizaciones de seguridad antes de adoptar. Costo: US$4/usuario/mes.

Microsoft Authenticator + Azure AD

Si ya usas Microsoft 365, Azure Active Directory ofrece gestión de credenciales y SSO (inicio de sesión único) integrado. No es un gestor de contraseñas tradicional, pero reduce la cantidad de contraseñas que tu equipo necesita manejar.

Buenas prácticas de contraseñas para empresas

  1. Adoptar un gestor de contraseñas para todo el equipo, con cuentas individuales.
  2. Activar MFA en todas las cuentas críticas (correo, banca, plataformas de trabajo).
  3. No compartir contraseñas por WhatsApp o correo — usar el gestor para compartir de forma segura.
  4. Revocar accesos inmediatamente cuando un empleado sale de la empresa.
  5. Revisar contraseñas comprometidas en servicios como HaveIBeenPwned.com.

¿Cómo proteger la contraseña maestra?

La contraseña maestra de tu gestor es la más importante de todas. Usa una frase de contraseña (passphrase): 4 o 5 palabras aleatorias juntas, como "zapato-nube-piano-tigre-7". Son largas, fáciles de recordar y casi imposibles de romper por fuerza bruta.

Nunca la escribas en papel ni la guardes en notas digitales. Y activa MFA también para tu gestor de contraseñas.

¿Tu empresa tiene contraseñas bien gestionadas?

En iProject3 hacemos diagnósticos de seguridad y te ayudamos a implementar una política de contraseñas y gestión de accesos adecuada para tu equipo.

Solicitar diagnóstico de seguridad

Fuentes