¿Qué es la seguridad de contraseñas?
La seguridad de contraseñas es el conjunto de hábitos y herramientas que mantienen sus credenciales difíciles de adivinar, difíciles de robar e inútiles para un atacante incluso si una de ellas se filtra.
Las llaves de su empresa
Las contraseñas son las llaves de su correo, su banco, los registros de sus clientes y casi todo lo demás con lo que funciona su empresa. La seguridad de contraseñas es, simplemente, la práctica de hacer que esas llaves sean fuertes, únicas y estén bien protegidas, además de añadir una cerradura de respaldo por si alguna se copia.
Importa porque las contraseñas débiles y reutilizadas son, año tras año, la principal vía por la que los atacantes entran en las empresas. Rara vez necesitan forzar nada cuando pueden simplemente iniciar sesión con una contraseña que fue adivinada, reutilizada de la filtración de otro sitio o entregada en una página de inicio de sesión falsa. Si gestiona bien las contraseñas, cierra el camino más transitado hacia su empresa, lo cual es precisamente por qué está en el centro de la prevención de una filtración de datos.
Cómo se descifran y roban las contraseñas
Comprender las pocas formas en que caen las contraseñas le permite defenderse de todas ellas con unos cuantos movimientos sencillos. Los atacantes no se sientan a teclear conjeturas a mano: lo automatizan a una escala enorme.
Fuerza bruta y adivinación
El software prueba millones de combinaciones por segundo. Las contraseñas cortas o comunes como "Verano2026!" caen en instantes. La longitud es la mejor defensa: cada carácter adicional multiplica enormemente el trabajo.
Relleno de credenciales
Cuando se filtra un sitio, los atacantes toman esas contraseñas filtradas y las prueban en todas partes. Si su equipo reutiliza contraseñas, una filtración ajena también abre sus cuentas.
Phishing
Una página de inicio de sesión falsa engaña a alguien para que escriba su contraseña real. No hace falta descifrar nada: el usuario la entrega. Esto se solapa directamente con el phishing y la ingeniería social.
Rociado de contraseñas
En lugar de muchos intentos contra una sola cuenta, los atacantes prueban unas pocas contraseñas comunes contra muchas cuentas a la vez, manteniéndose por debajo de los límites de bloqueo. Una cuenta débil es todo lo que necesitan.
Registradores de teclas y malware
El software malicioso puede registrar todo lo que se escribe y capturar las contraseñas a medida que se introducen. Esta es una razón más por la que importan la protección de los dispositivos y la defensa contra el malware.
Almacenamiento inseguro
Las contraseñas garabateadas en notas, guardadas en hojas de cálculo o compartidas por chat son presa fácil. Una filtración de alguno de esos lugares entrega toda la lista de una sola vez.
Cómo una contraseña reutilizada hunde a una empresa
Un gerente de oficina usa la misma contraseña para una cuenta de fidelización de una tienda y para el correo de la empresa. La tienda sufre una filtración y esa contraseña termina en una base de datos que circula entre delincuentes. Un atacante prueba ese par de correo y contraseña contra servicios empresariales comunes y descubre que funciona en el inicio de sesión del correo de la empresa.
A partir de ahí, todo se desencadena: el atacante lee facturas, averigua quién le paga a quién y envía a un cliente un convincente correo falso de "datos bancarios actualizados", un clásico compromiso de correo empresarial. La solución que habría detenido todo esto era casi gratuita: una contraseña única para la cuenta de correo, más un segundo paso de inicio de sesión. Ese es todo el argumento a favor de la seguridad de contraseñas en una sola historia.
Los fundamentos de contraseñas que realmente funcionan
Una buena seguridad de contraseñas no consiste en memorizar cadenas imposibles. Consiste en usar las herramientas adecuadas para que su personal no tenga que hacerlo. Estos pasos cuestan poco y bloquean la mayoría de las apropiaciones de cuentas.
Dele a todos un gestor de contraseñas
Genera una contraseña larga y única para cada cuenta y las recuerda todas. Su personal solo memoriza una contraseña maestra fuerte. Esta única herramienta acaba con la reutilización y con las contraseñas débiles.
Active la autenticación multifactor
Haga obligatorio un segundo paso de inicio de sesión en el correo, la banca y las cuentas de administrador. Así, incluso una contraseña robada falla. Vea la autenticación multifactor para saber cómo.
Prefiera la longitud sobre la complejidad
Una frase de contraseña de varias palabras aleatorias supera a un enredo corto de símbolos y es más fácil de escribir. Apunte a la longitud; deje que el gestor de contraseñas se encargue del resto.
Deje las rotaciones forzadas
Abandone la vieja regla de "cambiar cada 90 días": fomenta variantes débiles y predecibles. Cambie las contraseñas cuando haya indicios de compromiso, no por calendario.
Coteje contra listas de filtraciones
Bloquee las contraseñas que se sabe que se han filtrado y revíselas al registrarse. Hay herramientas y servicios que pueden señalar credenciales que ya han aparecido en filtraciones públicas.
Blinde las cuentas de administrador
Las cuentas poderosas merecen las contraseñas más fuertes y únicas, y autenticación multifactor obligatoria. Limite quién las tiene y retire el acceso en cuanto deje de ser necesario.
Las contraseñas son el primer punto de casi cualquier lista de verificación de seguridad por una razón. Nuestra lista de verificación de seguridad básica para pequeñas empresas, gratuita, le guía por estos y los demás aspectos esenciales en un lenguaje sencillo.
Preguntas frecuentes sobre seguridad de contraseñas
¿Qué hace realmente que una contraseña sea fuerte?
La longitud importa mucho más que la complejidad. Una frase de contraseña larga formada por varias palabras aleatorias es a la vez más fuerte y más fácil de recordar que una cadena corta de símbolos. Y lo más importante: cada cuenta necesita una contraseña única, para que una sola filtración no abra todo.
¿Aún debo cambiar las contraseñas cada 90 días?
Las recomendaciones actuales, incluidas las del NIST, han abandonado los cambios periódicos obligatorios. Tienden a empujar a las personas hacia variaciones débiles y predecibles. En su lugar, use contraseñas largas y únicas, cámbielas solo cuando haya indicios de compromiso y apóyese en la autenticación multifactor.
¿Es seguro usar los gestores de contraseñas?
Sí. Un gestor de contraseñas de buena reputación es mucho más seguro que las alternativas que la gente usa sin uno: reutilizar contraseñas, anotarlas en notas adhesivas o guardarlas en el navegador o en una hoja de cálculo. Cifra todo detrás de una sola contraseña maestra fuerte y de la autenticación multifactor.
Si tengo contraseñas fuertes, ¿aún necesito autenticación multifactor?
Sí. Incluso una contraseña fuerte puede ser obtenida mediante phishing o robada en una filtración. La autenticación multifactor añade una segunda comprobación, de modo que una contraseña robada por sí sola no basta para iniciar sesión. Es la mejora individual más eficaz que puede hacer a la seguridad de sus cuentas.
Obtenga gratis la lista de verificación de seguridad básica para pequeñas empresas
Las contraseñas fuertes son el primer paso. Nuestra lista de verificación gratuita cubre el resto de los fundamentos que bloquean la mayoría de los ataques, en lenguaje sencillo y sin tecnicismos.
O reciba consejos de seguridad en lenguaje claro por correo: