Guías de seguridad

Por qué las contraseñas "normales" ya no son suficientes

El paisaje de la ciberseguridad ha cambiado radicalmente en la última década. Las herramientas disponibles para los atacantes son cada vez más potentes: una GPU moderna puede probar miles de millones de combinaciones por segundo. Esto significa que una contraseña de 8 caracteres, aunque incluya letras, números y símbolos, puede ser descifrada en horas o días usando fuerza bruta.

Pero el problema más grave no es la fuerza bruta: es la reutilización. Cuando un servicio online sufre una filtración de datos (algo que ocurre constantemente), los atacantes obtienen millones de combinaciones de email y contraseña. Si usas la misma contraseña en varios sitios, comprometer uno de ellos expone todos los demás. Este ataque se llama "credential stuffing" y es responsable de la mayoría de accesos no autorizados a cuentas.

Los cinco principios de una contraseña segura

Una contraseña verdaderamente segura cumple estos cinco criterios simultáneamente:

• Larga: Al menos 16 caracteres para cuentas importantes, 20 o más para cuentas críticas como email principal o banca.
• Aleatoria: Generada por un algoritmo criptográfico, no inventada por una persona. El cerebro humano es incapaz de crear aleatoriedad real.
• Compleja: Combina mayúsculas, minúsculas, números y símbolos para maximizar el espacio de búsqueda del atacante.
• Única: Diferente en cada cuenta y servicio que uses. Sin excepciones.
• Privada: Nunca compartida con nadie, ni siquiera con personas de confianza o soporte técnico.

Cómo generar contraseñas seguras

Existen dos métodos principales para crear contraseñas seguras: los generadores de contraseñas aleatorias y las passphrases (frases de contraseña). Cada uno tiene sus ventajas:

Generadores de contraseñas aleatorias (como CryptoPass): Producen cadenas como "K#9vXm@2pL&nQ7jR". Son matemáticamente óptimas en términos de entropía, pero imposibles de memorizar. La solución es guardarlas en un gestor de contraseñas: no necesitas recordarlas.

Passphrases: Secuencias de palabras aleatorias como "caballo-batería-grapadora-correcto-luna". Son más largas pero más fáciles de recordar si necesitas escribirlas a mano ocasionalmente. Una passphrase de 5 palabras tiene más entropía que muchas contraseñas cortas complejas.

Organizar y gestionar tus contraseñas

La solución a tener contraseñas únicas y complejas para cada servicio (potencialmente cientos de cuentas) es un gestor de contraseñas. Este software almacena todas tus credenciales cifradas con AES-256, protegidas por una única contraseña maestra que solo tú conoces.

Cómo empezar con un gestor de contraseñas:

1. Elige un gestor de confianza: Bitwarden (gratuito, código abierto) es la opción más recomendada para la mayoría de usuarios. 1Password es excelente si prefieres una opción de pago con más funciones.
2. Crea una contraseña maestra robusta: Esta es la contraseña más importante que tendrás. Usa una passphrase de 5-6 palabras aleatorias que puedas memorizar. Anótala y guárdala en un lugar físico seguro como copia de emergencia.
3. Instala el plugin del navegador: Para que el gestor rellene automáticamente las contraseñas sin que tengas que copiarlas manualmente.
4. Importa tus contraseñas existentes: La mayoría de gestores permiten importar desde el gestor del navegador (Chrome, Firefox, Safari).
5. Ve cambiando contraseñas gradualmente: No necesitas cambiarlas todas de golpe. Empieza por las cuentas más importantes: email, banco, redes sociales.
6. Genera nuevas contraseñas con el gestor: Cada vez que crees una nueva cuenta, usa el generador integrado del gestor para crear una contraseña fuerte y única.

La contraseña maestra: tu activo más valioso

La contraseña maestra del gestor protege todas las demás. Debe ser:

• Una passphrase de al menos 4-5 palabras aleatorias (no una frase familiar)
• Algo que puedas memorizar sin escribirlo digitalmente en ningún lado
• Guardada en papel en un lugar seguro (como copia de emergencia)
• Nunca compartida con nadie, ni con el soporte técnico del gestor
• Reforzada con 2FA activado en el propio gestor de contraseñas

2FA: la segunda línea de defensa

Incluso la contraseña más fuerte puede ser robada a través de phishing. La autenticación de dos factores (2FA) añade una capa de seguridad que protege tu cuenta incluso si alguien conoce tu contraseña. Actívalo en todas las cuentas importantes, empezando por el email, los servicios bancarios y las redes sociales.

Usa preferiblemente una app de autenticación (Google Authenticator, Authy, Microsoft Authenticator) en lugar de SMS. El 2FA por SMS es vulnerable al ataque SIM swapping, donde el atacante convence a tu operadora para transferir tu número.

El coste real de las contraseñas débiles en empresas

Según el informe Verizon Data Breach Investigations Report, el 81% de las filtraciones relacionadas con hackeos involucran contraseñas débiles, reutilizadas o robadas. El coste promedio de una filtración de datos en Europa supera el millón de euros cuando se incluyen multas RGPD, costes forenses, pérdida de negocio y daño reputacional.

Las empresas tienen una superficie de ataque mucho mayor que los particulares: múltiples empleados, sistemas internos, acceso remoto, herramientas SaaS compartidas y cuentas de servicio con altos privilegios. Cada contraseña débil es una puerta potencial para un atacante.

Componentes de una política de contraseñas efectiva

Una política corporativa moderna debe abordar estos elementos:

Requisitos de longitud y complejidad: Mínimo 14 caracteres para cuentas de empleados estándar, 20 o más para administradores de sistemas, acceso VPN y cuentas de servicio. Se recomienda exigir al menos tres de los cuatro tipos de caracteres (mayúsculas, minúsculas, números, símbolos).

Gestión del ciclo de vida: Contrariamente a la práctica histórica, el NIST (y ahora la mayoría de expertos) ya no recomienda cambios periódicos obligatorios para contraseñas fuertes y únicas. Sin embargo, sí se debe exigir el cambio inmediato cuando hay sospecha de compromiso, cuando un empleado abandona la empresa, o cuando un sistema es auditado y detecta debilidades.

Prohibiciones explícitas:

• Compartir contraseñas entre empleados
• Usar contraseñas corporativas en servicios personales
• Almacenar contraseñas en documentos sin cifrar o en texto plano
• Usar variaciones predecibles de contraseñas anteriores
• Contraseñas basadas en información de la empresa (nombre, año de fundación, etc.)

Gestores de contraseñas corporativos

La implementación de un gestor de contraseñas corporativo es la medida de mayor impacto para mejorar la higiene de contraseñas en una organización. Permite:

• Centralizar el acceso a credenciales compartidas de forma segura
• Revocar accesos instantáneamente cuando un empleado causa baja
• Auditar qué contraseñas son débiles, reutilizadas o han aparecido en filtraciones
• Compartir contraseñas entre equipos sin revelarlas en texto plano
• Integrar con sistemas Single Sign-On (SSO) corporativos

Las opciones más recomendadas para empresas son Bitwarden Business (desde 3€/usuario/mes, código abierto) y 1Password Business (desde 7€/usuario/mes, mayor integración empresarial).

Autenticación multifactor (MFA) obligatoria

La MFA debe ser obligatoria, no opcional, para:

• Acceso VPN y trabajo remoto
• Herramientas de administración de sistemas
• Acceso a datos sensibles de clientes o financieros
• Servicios SaaS críticos (CRM, ERP, facturación)
• Repositorios de código fuente
• Paneles de control de infraestructura cloud

Para entornos de alta seguridad, considera llaves físicas de seguridad (como YubiKey) para los administradores de sistema, que son inmunes al phishing.

Formación y concienciación del equipo

La tecnología sola no es suficiente. Los empleados son tanto el eslabón más débil como la primera línea de defensa. Un programa de formación efectivo debe incluir:

• Taller inicial de onboarding sobre seguridad de contraseñas y phishing
• Simulaciones periódicas de phishing (sin aviso previo) para medir y mejorar la respuesta
• Protocolo claro de qué hacer si se sospecha de un compromiso de cuenta
• Canal de comunicación para reportar incidentes sin miedo a represalias
• Actualización anual sobre nuevas amenazas y mejores prácticas

Procedimiento de baja de empleados

Uno de los fallos más comunes en las empresas es no gestionar correctamente la baja de empleados. Al salir, deben revocarse inmediatamente: todos los accesos a sistemas internos, cuentas de email corporativo, acceso VPN, herramientas SaaS, y credenciales compartidas de cuentas de equipo. El gestor de contraseñas corporativo simplifica enormemente este proceso.

Protocolo de respuesta inmediata

Si detectas un compromiso, actúa en este orden de prioridad:

1. Cambia la contraseña inmediatamente desde un dispositivo seguro (no el que podría estar comprometido). Si no puedes acceder a la cuenta porque el atacante ya cambió la contraseña, usa la opción de "olvidé mi contraseña" para recuperar el acceso.
2. Activa o revisa el 2FA: Si el 2FA estaba activo, revisa si el atacante lo modificó. Si no estaba activo, actívalo ahora. Desconfía de cualquier código de recuperación que ya no reconozcas.
3. Revisa las sesiones activas: La mayoría de servicios permiten ver y cerrar sesiones activas desde todas las ubicaciones. Ciérralas todas y fuerza un nuevo inicio de sesión.
4. Revisa los ajustes de la cuenta: Busca cambios no autorizados: dirección de email de recuperación, número de teléfono, reenvío de emails, aplicaciones con acceso autorizado, y permisos de otras aplicaciones vinculadas.
5. Cambia las contraseñas de cuentas vinculadas: Si la cuenta comprometida era tu email principal, cambia también todas las cuentas que usaban ese email para recuperación de contraseñas.
6. Comprueba el daño: Revisa el historial de actividad de la cuenta: ¿envió emails en tu nombre? ¿Realizó compras? ¿Accedió a datos sensibles? ¿Compartió información con terceros?
7. Notifica a contactos si es necesario: Si el atacante usó tu cuenta para enviar mensajes fraudulentos a tus contactos, avísales para que ignoren esos mensajes y no hagan clic en ningún enlace.
8. Informa al servicio afectado: La mayoría de plataformas tienen formularios de reporte de incidentes de seguridad. Notifícales para que puedan investigar y tomar medidas.

Si es tu cuenta bancaria

En caso de compromiso de cuentas bancarias o financieras, el protocolo es más urgente:

• Llama inmediatamente al número de atención al cliente de tu banco (disponible 24h)
• Solicita el bloqueo preventivo de la cuenta o tarjeta
• Revisa todos los movimientos recientes y denuncia los no autorizados
• Presenta una denuncia ante las fuerzas de seguridad (puede ser necesaria para reclamar a tu banco)
• Contacta con tu banco para iniciar el proceso de devolución de cargos fraudulentos

Cómo determinar cómo te hackearon

Entender el vector de ataque ayuda a prevenir futuros incidentes:

• Phishing: Recibiste un email o mensaje que parecía legítimo y te llevó a introducir tus credenciales en una web falsa.
• Filtración de datos: El servicio sufrió una brecha y tus credenciales quedaron expuestas. Comprueba en HaveIBeenPwned.
• Reutilización de contraseña: Usabas la misma contraseña en otro servicio que fue comprometido.
• Malware: Un programa malicioso en tu dispositivo capturó tus contraseñas. Ejecuta un antivirus completo.
• Acceso físico: Alguien con acceso físico a tu dispositivo o red capturó tus credenciales.

Fase 1: Inventario de cuentas

El primer paso es saber exactamente cuántas cuentas tienes y en qué servicios. La mayoría de personas tienen muchas más cuentas de las que recuerdan. Para hacer el inventario:

• Revisa los emails de bienvenida en tu carpeta de entrada y enviados
• Busca en tu gestor de contraseñas o en el del navegador la lista de credenciales guardadas
• Revisa los servicios donde tienes "iniciar sesión con Google/Facebook" activo
• Consulta los extractos bancarios buscando suscripciones recurrentes
• Cierra o elimina las cuentas que ya no uses (reducir superficie de ataque)

Fase 2: Auditoría de contraseñas

Una vez tienes el inventario, evalúa la calidad de cada contraseña:

• Contraseñas reutilizadas: El mayor riesgo. Identifícalas y cámbialas por contraseñas únicas generadas aleatoriamente.
• Contraseñas débiles o cortas: Cualquier contraseña de menos de 12 caracteres o basada en palabras del diccionario debe ser actualizada.
• Contraseñas antiguas: Cuentas que no usas hace tiempo pueden tener contraseñas que hayas reutilizado en otros lugares.
• Contraseñas en filtraciones: Comprueba en HaveIBeenPwned o con la herramienta de CryptoPass si alguna contraseña ha aparecido en bases de datos de filtraciones conocidas.

Si usas Bitwarden o 1Password, ambos tienen herramientas integradas que identifican automáticamente contraseñas reutilizadas, débiles o comprometidas.

Fase 3: Auditoría de 2FA

Revisa el estado del 2FA en todas tus cuentas:

• ¿Cuántas cuentas importantes tienen 2FA activo? La meta debe ser el 100% de cuentas críticas.
• ¿Estás usando 2FA por SMS? Considera migrar a una app de autenticación para mayor seguridad.
• ¿Tienes los códigos de recuperación del 2FA guardados en un lugar seguro?
• ¿Tu gestor de contraseñas tiene 2FA activado?

Fase 4: Revisión de sesiones y aplicaciones

Revisa qué aplicaciones y servicios tienen acceso autorizado a tus cuentas principales:

• En Google: myaccount.google.com → Seguridad → Aplicaciones de terceros con acceso
• En Facebook: Configuración → Aplicaciones y sitios web
• En Twitter/X: Configuración → Seguridad → Aplicaciones y sesiones
• Revoca el acceso a todas las aplicaciones que ya no uses o no reconozcas

Fase 5: Verificación de filtraciones

Comprueba si tu información personal ha sido expuesta:

1. Visita HaveIBeenPwned.com e introduce tu email principal (y cualquier email secundario)
2. Activa las notificaciones automáticas para recibir alertas de nuevas filtraciones
3. Comprueba también tu número de teléfono, ya que muchas filtraciones incluyen números móviles
4. Si tu email aparece en una filtración, cambia la contraseña del servicio afectado y cualquier otro donde usaras la misma contraseña
5. Usa la herramienta de verificación de filtraciones de CryptoPass para comprobar contraseñas específicas

Fase 6: Plan de mantenimiento

Una auditoría única no es suficiente. Establece rutinas de mantenimiento:

• Mensual: Revisa alertas de filtraciones, verifica que el 2FA funciona en cuentas críticas.
• Trimestral: Revisa la lista de aplicaciones con acceso autorizado, cierra sesiones antiguas.
• Anual: Auditoría completa: inventario de cuentas, auditoría de contraseñas, actualización de métodos de recuperación.
• Inmediato: Cuando un servicio notifica una filtración, cuando detectas actividad sospechosa, o cuando cambias de trabajo (revocar accesos corporativos).