Saltar al contenido principal
Volver a guías
Contraseñas

Contraseñas y MFA: la base de todo

Cómo gestionar contraseñas en 2026: gestor corporativo, MFA en todo lo que importa, llaves físicas para cuentas críticas. Lo único que de verdad funciona.

Para: Todo el equipo

Contenido

Por qué es lo primero

Más de una de cada tres brechas tiene como acceso inicial una credencial robada o reutilizada (Verizon DBIR 2024). Antes de invertir en tecnología cara, asegúrate de que las cuentas están bien protegidas — es donde más rentabilidad da el esfuerzo.

Lo mínimo aceptable

1. Un gestor de contraseñas

Una contraseña distinta y aleatoria por servicio. Eso no es posible con la memoria. Recomendaciones probadas: Bitwarden (open source, plan corporativo razonable), 1Password, Dashlane, Keeper. Evita guardar contraseñas en el navegador.

  • Una contraseña maestra larga (frase de 4-5 palabras al azar) y única.
  • MFA en el propio gestor.
  • Compartir contraseñas de equipo dentro del gestor (vaults compartidos), nunca por chat o email.

2. MFA en todo lo importante

MFA significa que aunque te roben la contraseña, no entran sin el segundo factor.

Orden de preferencia:

  1. Llave física (FIDO2/U2F) — YubiKey, Titan. Inmune a phishing. Para admins, IT, finanzas.
  2. App authenticator — Microsoft Authenticator, Google Authenticator, Aegis. Sirve para casi todo el mundo.
  3. SMS — solo si no hay alternativa. Vulnerable a SIM swapping.

Qué proteger sí o sí:

  • Cuenta de email corporativa.
  • Acceso al gestor de contraseñas.
  • VPN, RDP, paneles cloud (AWS, GCP, Azure, Vercel).
  • Banca y plataformas de pago.
  • Cualquier sitio que pueda hablar en nombre de la empresa.

3. Sin reutilización entre personal y trabajo

Una brecha de un foro personal de hace 5 años no debe regalar acceso a tu correo del trabajo.

Buenas prácticas operativas

  • Bloqueo de pantalla al alejarte. Mac/Windows: configura inactividad de 5-10 minutos.
  • No compartir credenciales por chat o email ni con compañeros, ni con IT, ni con "el técnico".
  • Si alguien te las pide urgentemente, sospecha — IT real nunca te pide tu contraseña.
  • Cambia inmediatamente una contraseña tras un alerta de MFA no solicitada o un aviso de brecha.

Si la organización lo permite

  • Suscripción Have I Been Pwned Domain con el dominio corporativo: avisa cada vez que un email del dominio aparezca en una filtración.
  • IdP corporativo (Microsoft Entra, Google Workspace) con bloqueo automático de contraseñas comunes y contraseñas filtradas conocidas.
  • Política basada en NIST SP 800-63B (2024): sin rotación periódica forzada, contraseñas largas, bloqueo en caso de filtración detectada.