Formación en Contraseñas Seguras: Guía con Test para Empresas
¿Por qué las contraseñas son tan importantes?
Las contraseñas son la primera línea de defensa de tu empresa. Un empleado con una contraseña débil o reutilizada puede comprometer toda la organización: acceso a datos de clientes, información financiera, correos confidenciales y sistemas críticos.
Según estudios recientes, el 81% de las brechas de seguridad están relacionadas con contraseñas débiles o robadas. Y lo peor: la mayoría de estos ataques son evitables con prácticas básicas.
Dato alarmante: El 65% de los empleados reutiliza la misma contraseña en múltiples servicios. Si un atacante obtiene esa contraseña, tiene acceso a todo.
En este mini-curso aprenderás las mejores prácticas para crear, gestionar y proteger tus contraseñas. Al finalizar, tendrás los conocimientos necesarios para cumplir con los requisitos de ISO 27001 y el Esquema Nacional de Seguridad (ENS).
⏱️ Duración estimada: 8-10 minutos. Tu progreso se guarda automáticamente.
1. Por qué usar contraseñas diferentes
Imagina este escenario: usas la misma contraseña para tu email corporativo, LinkedIn, y una tienda online donde compraste algo hace años. Esa tienda sufre una brecha de datos, y tu email y contraseña acaban en la dark web.
¿Qué hace el atacante?
- Prueba tu email + contraseña en Gmail, Outlook, Office 365
- Prueba en LinkedIn, Facebook, Twitter
- Prueba en Amazon, PayPal, tu banco
- Todo esto de forma automatizada en segundos
Si usas la misma contraseña, el atacante entra en todos esos servicios. Si usas contraseñas diferentes, solo compromete la tienda online.
🔑 Regla de oro: Una contraseña única para cada servicio. Sin excepciones. Usa un gestor de contraseñas para recordarlas todas.
Ejemplo real: Breach de LinkedIn 2012
En 2012, LinkedIn sufrió una brecha que expuso 117 millones de contraseñas. Años después, esas credenciales se usaron para acceder a cuentas de Dropbox, Facebook y correos corporativos de miles de usuarios que reutilizaban contraseñas.
2. Nunca compartas por email o chat
Este es uno de los errores más comunes y peligrosos. "Te paso la contraseña del servidor por email" o "Mira, la clave del WiFi es..." por WhatsApp.
¿Por qué es tan peligroso?
- Si hackean tu email: Lo primero que busca un atacante es "contraseña", "password", "clave". Encuentra todas las que has compartido.
- Los chats se guardan: WhatsApp, Teams, Slack... Si alguien accede a tu cuenta, ve todo el historial.
- Capturas de pantalla: El destinatario puede hacer captura y guardarla en un lugar inseguro.
- Reenvíos accidentales: "Ups, le di a reenviar a todos" con la contraseña del servidor.
¿Cómo compartir contraseñas de forma segura?
✅ Gestores de contraseñas con compartición
Passbolt permite compartir credenciales de forma cifrada entre equipos. → Te ayudamos a implementarlo
✅ Servicios de un solo uso
OneTimeSecret crea links que se autodestruyen tras ser leídos
✅ Verbalmente
Si es urgente, dilo por teléfono y que el otro lo escriba sin guardarlo
📋 Consejo ISO 27001: Documenta en tu política de seguridad cómo deben compartirse las credenciales. Los auditores lo revisarán.
3. Requisitos mínimos de complejidad
La complejidad de una contraseña determina cuánto tiempo tardaría un atacante en descifrarla por fuerza bruta (probando todas las combinaciones posibles).
Qué hace una contraseña fuerte
- Longitud mínima: 12 caracteres (mejor 16 o más)
- Mezcla de tipos: mayúsculas, minúsculas, números, símbolos
- Sin palabras del diccionario: "contraseña123" se descifra en segundos
- Sin información personal: nada de nombres, fechas de nacimiento, matrículas
- Sin patrones de teclado: "qwerty", "123456", "asdfgh" están en todas las listas
Tiempo para descifrar según complejidad
| Contraseña | Tiempo | Nivel |
|---|---|---|
123456 | Instantáneo | PELIGROSA |
password | Instantáneo | PELIGROSA |
Empresa2024 | 3 minutos | DÉBIL |
Tr0b4dor&3 | 3 días | REGULAR |
correct-horse-battery | 550 años | FUERTE |
kT#9mP$2vL@8nQ | 34.000 años | MUY FUERTE |
💡 Tip: Una frase larga y fácil de recordar ("mi-gato-come-atun-los-martes") es más segura que una corta con símbolos ("P@ss1!").
4. Evita patrones predecibles
Los atacantes conocen los patrones que usamos los humanos. Si tu política de empresa dice "mínimo una mayúscula y un número", el 90% de empleados hará:
- Primera letra mayúscula: Password, Empresa, Madrid
- Números al final: 123, 2024, año actual
- Símbolos predecibles: ! al final, @ en lugar de "a"
Resultado: Empresa2024!, Madrid123!, Password2024!
⚠️ Importante: Estos patrones están en los diccionarios de ataque. Los hackers prueban primero las contraseñas más comunes y los patrones más usados.
Las variaciones "inteligentes" tampoco funcionan
"Ya, pero yo cambio letras por números. M4dr1d en vez de Madrid. Eso es seguro, ¿no?"
No. Las sustituciones típicas están en todos los diccionarios:
a→4o@e→3i→1o!o→0s→5o$
Cuando el atacante prueba "madrid", también prueba automáticamente: m4drid, madr1d, m@drid, m4dr1d... y todas las combinaciones.
✅ La solución: Usa contraseñas completamente aleatorias generadas por un gestor, o frases largas sin patrón predecible como "lampara-tren-nube-42-verde".
5. Gestores de contraseñas recomendados
"No puedo recordar 50 contraseñas diferentes" - Exacto. Por eso existen los gestores de contraseñas. Tú solo recuerdas UNA contraseña maestra (muy fuerte), y el gestor recuerda todas las demás.
Passbolt (Nuestra recomendación para empresas)
🔐 Passbolt - Gestor open source para equipos
- Open source: Código auditado, sin puertas traseras
- Self-hosted: Tus contraseñas en tu servidor, no en la nube de terceros
- Compartición segura: Cifrado end-to-end entre miembros del equipo
- Integración LDAP/AD: Gestión centralizada de usuarios
- Auditoría completa: Logs para cumplimiento ISO 27001/ENS
KeePassXC (Para uso personal o técnicos)
- 100% offline: La base de datos la guardas tú en local
- Open source y gratuito
- Sin dependencia de servicios en la nube
- Multiplataforma: Windows, Mac, Linux
- Ideal para usuarios individuales que prefieren control total
💡 ¿Cuál elegir? Para uso personal sin compartir: KeePassXC. Para equipos que necesitan compartir credenciales de forma segura: Passbolt.
6. Autenticación de dos factores (2FA)
Incluso con una contraseña perfecta, si alguien la descubre (phishing, keylogger, brecha de datos), puede entrar en tu cuenta. El 2FA añade una segunda capa de protección.
Con 2FA activado, para entrar necesitas:
- Algo que sabes: Tu contraseña
- Algo que tienes: Tu móvil con la app de autenticación
Si el atacante tiene tu contraseña pero no tu móvil, no puede entrar.
Apps de autenticación recomendadas
- Microsoft Authenticator: Ideal para Office 365
- Google Authenticator: Simple y funcional
- Authy: Con backup en la nube (recuperar si pierdes el móvil)
⚠️ Importante: Los SMS como segundo factor son mejor que nada, pero menos seguros que las apps. Los atacantes pueden clonar SIMs o interceptar SMS. Usa apps siempre que sea posible.
Checklist final: ¿Cumples con todo?
Revisa estos puntos para asegurarte de que tus contraseñas están bien protegidas:
- ☐ Uso contraseñas diferentes para cada servicio
- ☐ Mis contraseñas tienen al menos 12 caracteres
- ☐ No uso patrones predecibles (Palabra2024!)
- ☐ Uso un gestor de contraseñas
- ☐ Tengo 2FA activado en email, banco y redes sociales
- ☐ Nunca comparto contraseñas por email o chat
- ☐ No tengo contraseñas apuntadas en post-its o documentos
Cumplimiento ISO 27001 y ENS
Si tu empresa busca certificarse en ISO 27001 o cumplir el Esquema Nacional de Seguridad (ENS), necesitas:
- Política de contraseñas documentada: Requisitos mínimos, caducidad, historial
- Formación a empleados: Evidencia de que el personal conoce las normas
- Controles técnicos: Que los sistemas fuercen los requisitos de complejidad
- Gestión de accesos: Quién tiene acceso a qué, revisiones periódicas
🎓 ¡Has completado el curso! Ahora conoces las mejores prácticas para gestionar contraseñas de forma segura. Aplica estos conocimientos en tu día a día.
Evalua la concienciacion de tu equipo
Herramienta gratuita para cumplir ISO 27001 y ENS
- Test de concienciacion para tus empleados
- Graficos de resultados por departamento
- Informe descargable para auditorias
Sin compromiso · Configuracion en 5 minutos · Datos 100% seguros
Artículos relacionados: