Los ciberataques crecen en volumen y sofisticación y las contraseñas siguen siendo uno de los principales vectores de entrada para incidentes de seguridad. Aunque pueda parecer un aspecto básico, una mala política de contraseñas puede ser la responsable de brechas críticas en distintas organizaciones, independientemente de su tamaño.
Desde ataques de ransomware hasta campañas de phishing altamente personalizadas, las credenciales comprometidas están presentes en un alto porcentaje de incidentes de seguridad actuales. En el ámbito empresarial, el impacto va más allá del acceso no autorizado:
- Interrupción de la actividad
- Pérdida de datos sensibles
- Daño reputacional
- Incumplimientos normativos RGPD (protección de datos personales), ISO 27001 (controles de acceso) y ENS (medidas de autenticación).
Si tengo que pensar en dos principios básicos para recomendar a mis empleados a la hora de crear sus contraseñas, serían:
- Longitud antes que complejidad extrema
Las recomendaciones actuales priorizan contraseñas largas (mínimo 12–14 caracteres) frente a combinaciones complejas difíciles de recordar. Las “frases de paso” son una alternativa eficaz.
Ejemplo:
NubeSegura_ImpulsaMiEmpresa2026
- No reutilizar contraseñas
La reutilización de credenciales entre servicios corporativos y personales sigue siendo una práctica muy común y peligrosa. Una filtración externa puede convertirse rápidamente en una brecha interna.
Esta práctica debería prohibirse de forma explicita y apoyarse en herramientas de gestión de contraseñas corporativas.
Una buena política de contraseñas, sobre todo en entornos empresariales, debería contemplar los siguientes pilares:
Rotación inteligente de contraseñas
Contrario a políticas antiguas, forzar cambios frecuentes sin indicios de compromiso puede ser contraproducente. Dentro de las recomendaciones actuales contamos con:
- Rotación solo ante sospecha o confirmación de brecha
- Monitorización de credenciales expuestas
- Refuerzo con MFA
Protección frente a ataques automatizados
- Limitación de intentos fallidos, con desbloqueo únicamente manual
- Uso de CAPTCHA en accesos críticos
- Monitorización de accesos anómalos y patrones de comportamiento
Autenticación con multifactor (MFA)
Para entornos empresariales, una política de contraseñas sin MFA es insuficiente. La autenticación multifactor reduce drásticamente el riesgo incluso cuando una contraseña ha sido comprometida.
Tipos de MFA que recomiendo:
- Aplicaciones de autenticación
- Tokens físicos
- Certificados digitales
Concienciación y cultura de seguridad
Ninguna política técnica es efectiva sin el apoyo de los usuarios. Por eso siempre recomiendo dar un paso más y acompañar las medidas arriba descriptas con :
- Una política de ciberseguridad clara y bien comunicada.
- Programas de formación continua.
- Simulaciones periódicas de phishing
La seguridad de las contraseñas debe entenderse como una responsabilidad compartida entre todos los empleados de la organización.
Además, no debemos olvidar que una correcta gestión de contraseñas contribuye directamente al cumplimiento de diversos marcos regulatorios.
En definitiva, establecer políticas modernas, apoyadas en MFA, concienciación y herramientas adecuadas, es una medida de alto impacto y bajo coste relativo, con beneficios claros tanto en la seguridad como en la continuidad del negocio.
Responsable de Ciberseguridad
