5 junio 2026 · 6 min de lectura · Fundamentos

Contraseñas seguras en la empresa: guía sin excusas

En cada diagnóstico de seguridad que hacemos, preguntamos por la política de contraseñas. En el 90% de las PyMEs, la respuesta es un silencio incómodo seguido de «usamos una difícil para todos». Esta guía es para arreglar eso sin volver loco a nadie.

Por qué su política actual probablemente no funciona

En una auditoría reciente le pedimos a un cliente que nos dejara revisar su Active Directory. Encontramos 23 cuentas con contraseña idéntica al nombre de usuario. Siete usaban Empresa2024. Dos tenían la contraseña en el campo de descripción del AD — literalmente escrito en texto plano para que no se les olvidara.

Nadie lo hizo con mala intención. Simplemente nadie les dijo cómo hacerlo bien. Y lo que es peor: muchos "expertos" siguen recomendando reglas que empeoran la seguridad.

Lo que la ciencia dice sobre contraseñas (y lo que su TI sigue haciendo mal)

El NIST — el instituto que define estándares de seguridad para el gobierno de Estados Unidos — actualizó sus guías en 2017 y 2024. Las reglas cambiaron radicalmente. Pero en México, la mayoría de las empresas siguen aplicando políticas de 2005. Veamos qué dice el NIST hoy:

Lo que NO debería exigir (aunque suene lógico)

Cambiar contraseña cada 90 días. El NIST eliminó esta recomendación en 2017. La evidencia muestra que cuando obligás a cambiar contraseñas seguido, la gente elige contraseñas más débiles y predecibles — típicamente rotan entre dos o tres variaciones con un número al final. Contraseña1, Contraseña2, Contraseña3. Eso no protege nada.
Complejidad artificial: una mayúscula, un número, un carácter especial. El problema es que la gente convierte michigan en Michigan1! — y eso es trivial para un atacante. La complejidad forzada produce patrones predecibles.
Prohibir pegarlas. Suena bien en teoría. En la práctica, hace que la gente elija contraseñas más cortas y simples para no tener que teclearlas tanto. Un gestor de contraseñas es una mejor solución que prohibir pegar.

Lo que SÍ funciona

Longitud sobre complejidad. Una frase de 16 caracteres en minúsculas es exponencialmente más difícil de crackear que una palabra de 8 caracteres con símbolos. «elperrodemioficinaesnegro» le toma a una GPU moderna aproximadamente 4 mil millones de años. «M1ch1g@n» le toma 2 minutos.
Verificación contra listas de contraseñas comunes. Si su sistema permite password123 o admin2024, su política sirve para nada. Hay listas públicas con millones de contraseñas filtradas. Úselas para bloquear las más obvias.
MFA obligatorio. Sin excepción. Sin excusa. Una contraseña robada no debería ser suficiente para entrar a nada importante. Si su ERP, su correo o su VPN no tienen MFA activado, no están protegidos. Punto.

El gestor de contraseñas: la solución que nadie quiere adoptar

Cada vez que recomendamos un gestor de contraseñas en una PyME, la respuesta es la misma: «ay, eso es muy complicado para la gente». No lo es. Es más complicado recordar 17 contraseñas distintas, anotarlas en post-its que se pegan al monitor, y reiniciarlas cada tres meses cuando se bloquean.

Bitwarden es gratuito para equipos de hasta 2 personas. Para equipos más grandes, cuesta literalmente 4 dólares por usuario al mes. 1Password es más caro pero más pulido. KeePass es gratuito y local, aunque menos amigable. Cualquiera de los tres es infinitamente mejor que «el archivo de Excel con las contraseñas» que encontramos en el 60% de las empresas que auditamos. Sí, en serio. Un Excel. A veces con la celda pintada de amarillo.

El archivo de contraseñas en Excel cuenta como incidente

Si su empresa maneja datos de clientes, proveedores o empleados y las contraseñas viven en una planilla sin cifrar, técnicamente ya tuvo una brecha de seguridad. Solo que todavía no se enteró.

Tres pasos para implementar esto sin que nadie se queje

Instale Bitwarden en una tarde. Cree la organización, invite a los usuarios. No pida permiso. Hágalo y luego enseñe. La gente se adapta en tres días cuando no tiene alternativa.
Active MFA en TODO acceso externo. VPN, Office 365, Google Workspace, el ERP, el banco. Use una app como Microsoft Authenticator o Authy. Nada de SMS — el SIM swapping es real y está pasando en México.
Escriba una política de 5 líneas. Nada de documentos de 20 páginas que nadie va a leer. Cinco líneas: (a) mínimo 12 caracteres, (b) no reutilizar contraseñas entre sistemas, (c) usar el gestor para todas las cuentas corporativas, (d) MFA obligatorio en todo acceso remoto, (e) si ves algo raro, avisá al responsable.

El truco de la frase

Enséñele a la gente el truco de la frase: cuatro palabras al azar, fáciles de recordar, imposibles de adivinar. Ejemplo: «bicicleta.naranja.techo.jueves». Son 33 caracteres. No se crackea. No se olvida. Y no hay que ponerle números ni signos raros.

Esto no es teoría. Es lo que implementamos en cada cliente después de la primera auditoría. La mejora es inmediata y el costo es mínimo. Lo único que necesita es alguien que tome la decisión.

← Volver al blog