El problema de las contraseñas en entornos de pequeña empresa

En muchas pymes, las contraseñas de acceso a herramientas de trabajo se comparten entre empleados por correo electrónico o se almacenan en documentos sin proteger. Esta práctica, habitual por comodidad, crea un riesgo significativo: si un empleado abandona la empresa o si ese documento cae en manos equivocadas, el acceso a los sistemas queda comprometido.

Otro patrón frecuente es la reutilización de contraseñas: una misma clave para el correo corporativo, el sistema de facturación y el acceso a la banca online. Cuando un servicio externo sufre una filtración de datos y esa contraseña queda expuesta, todos los demás servicios que la comparten quedan también en riesgo.

Principios de una política de contraseñas básica

Una política de contraseñas no necesita ser un documento extenso. Para una empresa pequeña, es suficiente con establecer por escrito un conjunto de reglas claras que todos los empleados conozcan y comprendan:

  • Longitud mínima: contraseñas de al menos doce caracteres son significativamente más resistentes a ataques de fuerza bruta que las de ocho caracteres.
  • Sin reutilización entre servicios: cada herramienta debe tener su propia contraseña única.
  • Sin información personal predecible: nombres, fechas de nacimiento o el nombre de la empresa son datos fácilmente obtenibles de fuentes públicas.
  • Cambio obligatorio ante incidentes: si hay indicios de que una contraseña ha podido quedar expuesta, debe cambiarse de inmediato.
  • No compartir por correo ni mensajería: las contraseñas no deben transmitirse a través de canales no cifrados.

Las guías actuales del NIST y del INCIBE han dejado de recomendar el cambio periódico obligatorio de contraseñas —salvo ante sospecha de compromiso— ya que esta práctica lleva a los usuarios a elegir claves más débiles y predecibles. La recomendación actual es priorizar la longitud y la unicidad.

Gestores de contraseñas: qué son y por qué facilitan el cumplimiento

Un gestor de contraseñas es una aplicación que almacena las credenciales de forma cifrada y las rellena automáticamente en los formularios de inicio de sesión. Su uso elimina la necesidad de memorizar múltiples contraseñas complejas, lo que hace viable en la práctica que cada servicio tenga una clave larga y única.

Los gestores de contraseñas también incluyen generadores que crean contraseñas aleatorias de la longitud deseada, eliminando el sesgo humano en la elección.

Opciones habituales para entornos de empresa

Bitwarden: gestor de código abierto con planes de empresa que incluyen gestión centralizada de usuarios y revocación de accesos. Dispone de versión autoalojada para organizaciones que prefieren no almacenar credenciales en servidores externos. La versión individual es gratuita.

KeePass / KeePassXC: gestor local de código abierto que almacena las contraseñas en un archivo cifrado AES-256 en el dispositivo del usuario. No requiere suscripción ni conexión a Internet, aunque la sincronización entre dispositivos requiere un paso adicional (almacenar el archivo en una unidad compartida o servicio de nube controlado).

1Password Teams / Families: gestor comercial con funciones específicas para equipos, incluyendo bóvedas compartidas con permisos granulares por usuario.

Autenticación en dos factores (2FA)

La autenticación en dos factores añade un segundo paso de verificación al proceso de inicio de sesión: además de la contraseña, el sistema solicita un código temporal generado por una aplicación o enviado por SMS. Esto significa que si una contraseña queda comprometida, el acceso a la cuenta no es posible sin disponer también del segundo factor.

Para la mayoría de los servicios empresariales —correo corporativo, herramientas de facturación, almacenamiento en la nube, acceso VPN— el segundo factor más recomendable es una aplicación de autenticación como Google Authenticator, Authy o Microsoft Authenticator, que genera códigos de seis dígitos válidos durante treinta segundos.

El segundo factor por SMS es menos seguro que las aplicaciones de autenticación —los números de teléfono pueden ser objeto de ataques de SIM swapping— pero es significativamente mejor que no tener ningún segundo factor.

Prioridad de activación del 2FA

Si los recursos de tiempo son limitados, conviene activar el segundo factor primero en los servicios de mayor riesgo:

  1. Correo electrónico corporativo (suele ser la llave maestra del resto de accesos)
  2. Plataformas de banca online y pasarelas de pago
  3. Herramientas de gestión de clientes y facturación
  4. Accesos de administración a la web corporativa
  5. Almacenamiento en la nube con datos sensibles

Gestión de accesos al incorporar y cesar empleados

Uno de los fallos más habituales en pymes es no revocar los accesos de empleados que ya no forman parte de la empresa. Un proceso mínimo de gestión de altas y bajas debería incluir:

  • Un listado actualizado de todas las herramientas a las que accede cada empleado.
  • Un procedimiento de baja que incluya la desactivación de la cuenta corporativa, el cambio de contraseñas de cuentas compartidas y la revocación de accesos a servicios externos.
  • La transferencia de datos y proyectos antes de eliminar la cuenta del empleado.

Qué hacer si una contraseña queda expuesta

Si hay indicios o confirmación de que una contraseña ha podido quedar expuesta —por ejemplo, si aparece en una filtración de datos de un servicio externo— los pasos inmediatos son:

  1. Cambiar la contraseña afectada en el servicio comprometido.
  2. Cambiar la misma contraseña en cualquier otro servicio donde se haya utilizado.
  3. Revisar los accesos recientes a la cuenta en busca de actividad no reconocida.
  4. Activar el segundo factor si no estaba activado.

El servicio Have I Been Pwned permite comprobar si una dirección de correo ha aparecido en filtraciones de datos conocidas.

Los contenidos de este artículo tienen carácter informativo general. Para una evaluación de los riesgos específicos de cada empresa, se recomienda consultar con un profesional de seguridad informática.