Las contraseñas débiles o reutilizadas son la causa del 81% de las brechas de seguridad relacionadas con el hackeo, según el Verizon Data Breach Investigations Report. A pesar de ello, en muchas PYMEs españolas es habitual encontrar contraseñas como “empresa2024”, la misma contraseña en todos los servicios, o credenciales compartidas entre varios empleados.
El problema no es que los empleados sean descuidados por naturaleza. El problema es que la gestión de contraseñas sin herramientas adecuadas es humanamente imposible: un trabajador medio gestiona más de 90 cuentas online, y recordar contraseñas únicas y complejas para cada una de ellas está fuera de las capacidades de la memoria humana. La solución es implementar un gestor de contraseñas corporativo.
Por qué las contraseñas tradicionales no funcionan
El problema de la complejidad vs. la memorabilidad
Durante años, las políticas de seguridad exigían contraseñas con mayúsculas, minúsculas, números y símbolos. El resultado: los empleados creaban contraseñas como “Empresa1!” (fácil de recordar, fácil de hackear) o las apuntaban en un post-it bajo el teclado.
El NIST (National Institute of Standards and Technology) publicó en 2017 nuevas directrices que cambiaron completamente el paradigma:
- Longitud sobre complejidad: Una frase de contraseña larga (“mi-perro-se-llama-lucas-2024”) es más segura que “P@ssw0rd!”.
- No obligar a cambios periódicos: Forzar cambios frecuentes genera contraseñas más débiles.
- No usar hints ni preguntas de seguridad: Son fácilmente explotables mediante ingeniería social.
- Verificar contra listas de contraseñas conocidas: Rechazar automáticamente las contraseñas que aparecen en bases de datos de brechas conocidas.
La reutilización: el mayor riesgo
Cuando una empresa sufre una brecha de datos y las contraseñas quedan expuestas, los atacantes las prueban automáticamente en cientos de servicios diferentes. Este ataque se llama “credential stuffing”. Si un empleado usa la misma contraseña en LinkedIn que en el ERP de la empresa, una brecha en LinkedIn puede comprometer el sistema de gestión empresarial.
En España, según el INCIBE, más del 70% de los usuarios reutilizan contraseñas entre servicios personales y profesionales.
Política de contraseñas para PYMEs: lo mínimo imprescindible
Antes de implantar un gestor, es conveniente tener documentada una política de contraseñas básica. Esta política debe establecer:
Requisitos mínimos por tipo de servicio
| Tipo de servicio | Longitud mínima | Caducidad | MFA obligatorio |
|---|---|---|---|
| Correo corporativo | 14 caracteres | No (salvo brecha) | Sí |
| VPN y acceso remoto | 16 caracteres | No (salvo brecha) | Sí |
| Banca y pagos | 16 caracteres | No (salvo brecha) | Sí |
| ERP / CRM | 14 caracteres | No (salvo brecha) | Sí (recomendado) |
| Redes sociales corporativas | 14 caracteres | No (salvo brecha) | Sí |
| Servicios internos (baja criticidad) | 12 caracteres | No | Opcional |
Normas básicas que todo empleado debe conocer
- Nunca compartir contraseñas con compañeros. Si varios empleados necesitan acceso a un servicio, el gestor de contraseñas permite compartir credenciales de forma segura.
- Nunca usar la misma contraseña en servicios personales y profesionales.
- Nunca escribir contraseñas en papel, notas adhesivas o documentos de texto sin cifrar.
- Notificar al responsable de IT inmediatamente si sospechas que una contraseña ha sido comprometida.
- Usar únicamente el gestor de contraseñas corporativo para generar y almacenar contraseñas.
Gestores de contraseñas para equipos: comparativa
Un gestor de contraseñas es una aplicación que genera, almacena y autocompleta contraseñas de forma segura. La bóveda de contraseñas se cifra con una contraseña maestra que solo conoce el usuario (o el administrador en entornos empresariales). Ni siquiera el propio proveedor puede acceder a las contraseñas almacenadas.
Para empresas, los gestores ofrecen funcionalidades adicionales: gestión centralizada, compartición segura de credenciales entre equipos, auditorías de seguridad, integración con directorios corporativos (Active Directory, LDAP) y control de acceso por roles.
| Gestor | Plan empresa (precio/usuario/mes) | Características destacadas | Hosting |
|---|---|---|---|
| Bitwarden Teams | 3€ | Open source, auditable, muy económico | Nube o self-hosted |
| 1Password Teams | 4,99€ | Muy buena UX, Watchtower (alertas de brechas), integración SSO | Nube |
| Dashlane Business | 8€ | VPN incluida, Dark Web Monitoring | Nube |
| Keeper Business | 4,5€ | Conformidad RGPD, HIPAA; BreachWatch | Nube |
| NordPass Business | 4,99€ | Interfaz simple, buena para PYMEs sin IT | Nube |
| Passbolt | Gratuito (self-hosted) / 4€ (nube) | Open source, diseñado para equipos técnicos | Self-hosted o nube |
Nuestra recomendación para PYMEs: Bitwarden Teams es la opción con mejor relación calidad-precio. Es open source (el código es auditable públicamente), ofrece todas las funcionalidades empresariales necesarias y puede instalarse en servidores propios si la empresa prefiere no depender de la nube del proveedor.
Cómo implantar un gestor de contraseñas en tu empresa en 5 pasos
Paso 1: Elige e implementa la herramienta (día 1-2)
- Crea una cuenta de organización.
- Configura las políticas: longitud mínima de contraseña, tiempo de bloqueo automático, MFA obligatorio para acceder al gestor.
Paso 2: Forma al equipo (día 3-5)
- Sesión de formación de 30-45 minutos con todos los empleados.
- Explica cómo instalar la extensión del navegador y la aplicación móvil.
- Demuestra cómo funciona el autocompletado y la generación de contraseñas.
Paso 3: Migración gradual (semana 2-4)
- Pide a los empleados que vayan añadiendo sus contraseñas actuales al gestor según vayan accediendo a cada servicio.
- No intentes hacer una migración masiva de golpe: es frustrante y genera abandonos.
Paso 4: Organización por carpetas y equipos (mes 1)
- Crea colecciones o carpetas por departamento o función: “Equipo de ventas”, “Administración”, “IT”.
- Comparte las credenciales compartidas (redes sociales, plataformas de suscripción) a través del gestor.
- Elimina las hojas de cálculo y documentos con contraseñas.
Paso 5: Auditoría y limpieza continua (mensual)
- Usa la funcionalidad de auditoría del gestor para identificar: contraseñas débiles, reutilizadas, antiguas o que aparecen en brechas conocidas.
- Establece un proceso para revocar accesos cuando un empleado abandona la empresa.
Autenticación multifactor (MFA): la segunda línea de defensa
Un gestor de contraseñas resuelve el problema de las contraseñas débiles y reutilizadas, pero si alguien logra obtener la contraseña de un empleado (mediante phishing, por ejemplo), aún puede acceder a la cuenta. El MFA añade un segundo factor que el atacante también necesita conocer o poseer.
Tipos de segundo factor, de menor a mayor seguridad
| Tipo de MFA | Seguridad | Coste | Ejemplo |
|---|---|---|---|
| SMS / llamada de voz | Baja (vulnerable a SIM swapping) | Gratis | Código de 6 dígitos por SMS |
| App de autenticación (TOTP) | Alta | Gratis | Google Authenticator, Authy, Microsoft Authenticator |
| Push notification | Alta | Incluido en apps | Duo Security push |
| Clave de seguridad física (FIDO2) | Muy alta | 25-50€/dispositivo | YubiKey, Google Titan |
| Biometría (huella, reconocimiento facial) | Alta | Depende del dispositivo | Face ID, Windows Hello |
Para la mayoría de PYMEs, las apps de autenticación (TOTP) son el equilibrio perfecto entre seguridad y usabilidad. Las más populares:
- Microsoft Authenticator: Gratuita, soporta push notifications, integración nativa con M365.
- Google Authenticator: Gratuita, simple, muy extendida.
- Authy: Gratuita, permite backup de tokens en la nube (útil si se pierde el móvil).
- Duo Security: Más completa para entornos empresariales, versión gratuita hasta 10 usuarios.
Dónde activar MFA como prioridad absoluta
- Correo electrónico corporativo (Google Workspace o Microsoft 365)
- Acceso a la VPN
- Gestor de contraseñas
- Banca online y herramientas de pago
- Plataformas de administración de sistemas (paneles de hosting, consolas cloud)
- ERP y CRM
SSO (Single Sign-On): simplificando el acceso en empresas más grandes
Para PYMEs en crecimiento con más de 20-30 empleados y múltiples aplicaciones SaaS, el SSO permite que los empleados accedan a todas las aplicaciones con un único login corporativo. Las plataformas más populares son:
- Microsoft Entra ID (antes Azure AD): Perfecto si ya usas Microsoft 365.
- Google Workspace: SSO nativo con cientos de aplicaciones si ya usas Google.
- Okta: Plataforma de identidad líder, versión gratuita hasta 5 usuarios, luego ~2€/usuario/mes.
- JumpCloud: Directorio cloud completo, desde 9€/usuario/mes.
Qué hacer cuando un empleado abandona la empresa
La gestión de offboarding es uno de los puntos más críticos y más descuidados en ciberseguridad. Cuando un empleado abandona la empresa:
- Revoca su acceso al gestor de contraseñas inmediatamente.
- Cambia todas las contraseñas compartidas a las que tenía acceso.
- Desactiva su cuenta de correo y configura un reenvío o mensaje de ausencia.
- Revoca sus sesiones activas en todos los servicios (Google, Microsoft, VPN, etc.).
- Recupera o borra remotamente cualquier dispositivo corporativo que tenga.
Tener un checklist de offboarding documentado y seguirlo cada vez que alguien abandona la empresa es tan importante como el propio gestor de contraseñas.
Conclusión
Implementar un gestor de contraseñas corporativo y el MFA en los servicios críticos es una de las inversiones con mayor retorno en ciberseguridad para una PYME. El coste es mínimo (3-5€/usuario/mes), la implementación es accesible sin conocimientos técnicos avanzados, y el impacto en la reducción del riesgo es enorme.
Si solo puedes hacer una cosa hoy: activa el MFA en el correo corporativo de todos tus empleados.
Este artículo es de carácter educativo y no constituye un servicio profesional de ciberseguridad. Consulte a un especialista certificado para soluciones específicas a su empresa.