AI SECURITY logo AI SECURITY
Background
Concienciación Contraseñas ISO 27001 ENS Seguridad

Contraseñas Seguras: Guía Completa para Empleados

Aprende por qué usar contraseñas diferentes en cada servicio, cómo compartirlas de forma segura, qué requisitos mínimos deben cumplir y qué gestores de contraseñas usar. Guía práctica para cumplir ISO 27001 y ENS.

AI Security
8 min lectura
Background

¿Por qué las contraseñas son tan importantes?

Las contraseñas son la primera línea de defensa de tu empresa. Un empleado con una contraseña débil o reutilizada puede comprometer toda la organización: acceso a datos de clientes, información financiera, correos confidenciales y sistemas críticos.

Según estudios recientes, el 81% de las brechas de seguridad están relacionadas con contraseñas débiles o robadas. Y lo peor: la mayoría de estos ataques son evitables con prácticas básicas.

Dato alarmante: El 65% de los empleados reutiliza la misma contraseña en múltiples servicios. Si un atacante obtiene esa contraseña, tiene acceso a todo.

1. Por qué usar contraseñas diferentes en cada servicio

Imagina este escenario: usas la misma contraseña para tu email corporativo, LinkedIn, y una tienda online donde compraste algo hace años. Esa tienda sufre una brecha de datos (algo muy común), y tu email y contraseña acaban en una base de datos que los hackers comparten en la dark web.

¿Qué hace el atacante?

  • Prueba tu email + contraseña en Gmail, Outlook, Office 365
  • Prueba en LinkedIn, Facebook, Twitter
  • Prueba en Amazon, PayPal, tu banco
  • Todo esto de forma automatizada en segundos

Si usas la misma contraseña, el atacante entra en todos esos servicios. Si usas contraseñas diferentes, solo compromete la tienda online (que probablemente ni usas ya).

Regla de oro: Una contraseña única para cada servicio. Sin excepciones. Usa un gestor de contraseñas para recordarlas todas.

2. Nunca compartas contraseñas por email o chat

Este es uno de los errores más comunes y peligrosos. "Te paso la contraseña del servidor por email" o "Mira, la clave del WiFi es..." por WhatsApp.

¿Por qué es tan peligroso?

  • Si hackean tu email: Lo primero que busca un atacante es "contraseña", "password", "clave", "acceso". Encuentra todas las que has compartido.
  • Los chats se guardan: WhatsApp, Teams, Slack... todo queda guardado. Si alguien accede a tu cuenta, ve todo el historial.
  • Capturas de pantalla: El destinatario puede hacer captura y guardarla en un lugar inseguro.
  • Reenvíos accidentales: "Ups, le di a reenviar a todos" con la contraseña del servidor de producción.

¿Cómo compartir contraseñas de forma segura?

  • Gestores de contraseñas con compartición: Bitwarden, 1Password permiten compartir credenciales de forma cifrada
  • Servicios de un solo uso: OneTimeSecret crea links que se autodestruyen tras ser leídos
  • Verbalmente: Si es urgente, dilo por teléfono y que el otro lo escriba sin guardarlo
  • Nunca por escrito permanente: Ni email, ni chat, ni post-its en el monitor

Consejo ISO 27001: Documenta en tu política de seguridad cómo deben compartirse las credenciales. Los auditores lo revisarán.

3. Requisitos mínimos de complejidad

La complejidad de una contraseña determina cuánto tiempo tardaría un atacante en descifrarla por fuerza bruta (probando todas las combinaciones posibles).

Qué hace una contraseña fuerte

  • Longitud mínima: 12 caracteres (mejor 16 o más)
  • Mezcla de tipos: mayúsculas, minúsculas, números, símbolos
  • Sin palabras del diccionario: "contraseña123" se descifra en segundos
  • Sin información personal: nada de nombres, fechas de nacimiento, matrículas
  • Sin patrones de teclado: "qwerty", "123456", "asdfgh" están en todas las listas

Tiempo para descifrar según complejidad

Contraseña Tiempo
123456 Instantáneo
password Instantáneo
Empresa2024 3 minutos
Tr0b4dor&3 3 días
correct-horse-battery-staple 550 años
kT#9mP$2vL@8nQ&4 34.000 años

4. Evita patrones predecibles

Este punto es tan importante que hemos escrito un artículo específico sobre por qué "Mayúscula + palabra + números" es hackeable.

El resumen: los atacantes conocen los patrones que usamos los humanos. Si tu política de empresa dice "mínimo una mayúscula y un número", el 90% de empleados hará:

  • Primera letra mayúscula: Password, Empresa, Madrid
  • Números al final: 123, 2024, año actual
  • Símbolos predecibles: ! al final, @ en lugar de "a"

Resultado: Empresa2024!, Madrid123!, Password2024!

Estos patrones están en los diccionarios de ataque. Los hackers no prueban "aaaa", "aaab", "aaac"... Prueban primero las contraseñas más comunes y los patrones más usados.

Lee el artículo completo: ¿Tu contraseña empieza con mayúscula y acaba en números? Es hackeable

5. Gestores de contraseñas recomendados

"No puedo recordar 50 contraseñas diferentes" - Exacto. Por eso existen los gestores de contraseñas. Tú solo recuerdas UNA contraseña maestra (muy fuerte), y el gestor recuerda todas las demás.

Bitwarden (Nuestra recomendación)

  • Gratuito para uso personal (versión de pago muy asequible para empresas)
  • Open source: El código es público, auditado por expertos
  • Multiplataforma: Windows, Mac, Linux, iOS, Android, extensiones de navegador
  • Autocompletado: Rellena formularios automáticamente
  • Generador de contraseñas: Crea contraseñas aleatorias de cualquier longitud
  • Compartición segura: Comparte credenciales con el equipo de forma cifrada

1Password (Premium)

  • Excelente interfaz y experiencia de usuario
  • Funciones avanzadas para empresas
  • Watchtower: Alerta si alguna de tus contraseñas aparece en filtraciones
  • De pago (desde 2.99$/mes personal)

KeePassXC (Para técnicos)

  • 100% offline (la base de datos la guardas tú)
  • Open source y gratuito
  • Requiere más configuración manual
  • Ideal si no quieres depender de servicios en la nube

Para empresas: Bitwarden Teams (4$/usuario/mes) o 1Password Business (7.99$/usuario/mes) incluyen administración centralizada, políticas de seguridad y logs de auditoría para ISO 27001/ENS.

6. Autenticación de dos factores (2FA)

Incluso con una contraseña perfecta, si alguien la descubre (phishing, keylogger, brecha de datos), puede entrar en tu cuenta. El 2FA añade una segunda capa de protección.

Con 2FA activado, para entrar necesitas:

  1. Algo que sabes: Tu contraseña
  2. Algo que tienes: Tu móvil con la app de autenticación

Si el atacante tiene tu contraseña pero no tu móvil, no puede entrar.

Apps de autenticación recomendadas

  • Microsoft Authenticator: Integración perfecta con Office 365
  • Google Authenticator: Simple y funcional
  • Authy: Permite backup en la nube (recuperar si pierdes el móvil)

Importante: Los SMS como segundo factor son mejor que nada, pero menos seguros que las apps. Los atacantes pueden clonar SIMs o interceptar SMS.

Checklist: ¿Tus contraseñas cumplen?

  • ☐ Uso contraseñas diferentes para cada servicio
  • ☐ Mis contraseñas tienen al menos 12 caracteres
  • ☐ No uso patrones predecibles (Palabra2024!)
  • ☐ Uso un gestor de contraseñas
  • ☐ Tengo 2FA activado en servicios críticos (email, banco, redes sociales)
  • ☐ Nunca comparto contraseñas por email o chat
  • ☐ No tengo contraseñas apuntadas en post-its o documentos

Cumplimiento ISO 27001 y ENS

Si tu empresa busca certificarse en ISO 27001 o cumplir el Esquema Nacional de Seguridad (ENS), necesitas:

  • Política de contraseñas documentada: Requisitos mínimos, caducidad, historial
  • Formación a empleados: Evidencia de que el personal conoce las normas
  • Controles técnicos: Que los sistemas fuercen los requisitos de complejidad
  • Gestión de accesos: Quién tiene acceso a qué, revisiones periódicas

Evalua la concienciacion de tu equipo

Herramienta gratuita para cumplir ISO 27001 y ENS

  • Test de concienciacion para tus empleados
  • Graficos de resultados por departamento
  • Informe descargable para auditorias

Sin compromiso · Configuracion en 5 minutos · Datos 100% seguros

Artículos relacionados:

Background
Volver al blog