Hay un error de seguridad que comete el 90 % de las empresas con menos de 100 empleados en España. No es un fallo técnico sofisticado, no requiere conocimientos avanzados para evitarlo y su coste de corrección es mínimo comparado con el daño que provoca. El error es este: gestionar las contraseñas corporativas con una hoja de Excel compartida, un documento en Google Drive o, directamente, pasándolas por WhatsApp. Según el informe Verizon DBIR 2025, el 80 % de las brechas de datos relacionadas con hacking involucran credenciales comprometidas o débiles. Cuando una empresa comparte la contraseña del panel de control de Shopify en un chat de grupo, o cuando el comercial que acaba de irse se lleva consigo los accesos al CRM porque nadie los ha cambiado, el impacto potencial es enorme. Esta guía explica por qué las soluciones caseras no funcionan, qué debe tener un gestor de contraseñas empresarial de verdad y cómo implementarlo en tu equipo en menos de una semana.

El error que comete el 90 % (y por qué es tan peligroso)

El error universal no es usar contraseñas débiles —aunque también— sino compartirlas de forma insegura. Estos son los patrones más comunes y el riesgo concreto que implica cada uno:

  • Hoja de Excel en Google Drive o SharePoint: Cualquier persona con acceso a esa carpeta —o que robe las credenciales de alguien con acceso— ve todas las contraseñas de la empresa en texto plano. Si hay una brecha de Google Workspace, las contraseñas quedan expuestas automáticamente.
  • Contraseñas por email o WhatsApp: Los mensajes quedan almacenados indefinidamente. Si el dispositivo de un empleado se compromete o se vende sin borrar correctamente, todas esas contraseñas son accesibles para quien lo tenga.
  • Reutilización de contraseñas: «Usamos la misma para todo porque es más fácil de recordar.» Cuando esa contraseña aparece en una filtración (haveibeenpwned.com tiene más de 12.000 millones de contraseñas filtradas), el atacante tiene acceso a todos tus sistemas simultáneamente.
  • Sin proceso de offboarding: Un empleado se va y nadie cambia las contraseñas a las que tenía acceso. El 47 % de los incidentes de seguridad internos en pymes los cometen exempleados con accesos no revocados.

Por qué las hojas de cálculo no son un gestor de contraseñas

La objeción más común a usar un gestor de contraseñas es «ya tenemos un sistema: lo apuntamos en una hoja de Excel». El problema es que una hoja de Excel no resuelve ninguno de los problemas reales:

  • No cifra los datos: Un archivo Excel con contraseñas es texto plano con estructura. Cualquiera con acceso al archivo tiene acceso a todo lo que contiene.
  • No genera contraseñas seguras: Los humanos somos terribles generando aleatoriedad. Las contraseñas que inventamos son predecibles para los ataques de diccionario modernos.
  • No detecta filtraciones: Si una de tus contraseñas aparece en una base de datos de brechas, la hoja de Excel no te avisa.
  • No gestiona el acceso por rol: No puedes dar a un empleado acceso solo a las herramientas de su departamento sin darle acceso a todo el documento.
  • No facilita el offboarding: Cuando alguien se va, tienes que localizar manualmente todas las contraseñas a las que tenía acceso y cambiarlas una por una.

Qué debe tener un gestor de contraseñas empresarial

No todos los gestores de contraseñas son iguales. Un gestor personal no es adecuado para uso empresarial. Esto es lo que necesita una solución corporativa:

  • Bóvedas compartidas por equipo o departamento: Marketing accede a las contraseñas de redes sociales, Finanzas a las de banca online, pero no a las del otro.
  • Integración con SSO y directorio de empresa: Compatibilidad con Google Workspace, Microsoft Active Directory u Okta para que el alta y baja de usuarios sea automática.
  • Informes de seguridad: Qué empleados usan contraseñas débiles, cuáles están reutilizadas, cuáles han aparecido en filtraciones conocidas.
  • Autenticación multifactor (MFA): El acceso al gestor debe requerir al menos dos factores. Si alguien roba la contraseña maestra, no puede acceder sin el segundo.
  • Arquitectura zero-knowledge: El proveedor no puede ver tus contraseñas. Si sufre una brecha, tus datos siguen cifrados e inutilizables para el atacante.

Implementación paso a paso en tu empresa

Implementar un gestor de contraseñas empresarial no requiere conocimientos técnicos avanzados. Con estas cinco fases, una pyme puede tenerlo operativo en menos de una semana:

  1. Día 0 — Auditoría rápida: Identifica qué contraseñas existen actualmente y dónde están almacenadas. No necesita ser exhaustiva; el objetivo es tener una imagen inicial.
  2. Día 1 — Configurar la cuenta de empresa: Crea la organización, configura los equipos (Finanzas, Marketing, IT) y activa MFA obligatorio para todos.
  3. Días 2-3 — Migración de contraseñas críticas: Empieza por las más sensibles: accesos bancarios, panel de hosting, administración de servidores, cuentas de correo. No intentes migrar todo de golpe.
  4. Días 4-5 — Onboarding del equipo: Sesión de 30 minutos con cada departamento explicando cómo usar el gestor. La mayor barrera es psicológica, no técnica.
  5. Semana 2 en adelante — Proceso de offboarding: Cuando alguien se va, el administrador revoca su acceso al gestor y rota las contraseñas de las bóvedas a las que tenía acceso.

Contraseñas vs. passkeys: el futuro que ya está aquí

Las passkeys son el sucesor tecnológico de las contraseñas: credenciales criptográficas vinculadas al dispositivo que no pueden ser phisheadas porque nunca se transmiten al servidor. Google, Apple, Microsoft y la mayoría de los grandes servicios ya las soportan. Sin embargo, la adopción empresarial será gradual durante los próximos años, y mientras tanto las contraseñas seguirán siendo la realidad de la mayoría de los sistemas. Un buen gestor de contraseñas ya soporta passkeys y te permitirá gestionar ambas en paralelo durante la transición.

¿Cómo protegerte?

Si hay una sola herramienta de seguridad que toda empresa debería implementar antes que cualquier otra, es un gestor de contraseñas. La relación coste-protección es imbatible: por el precio de unos cafés al mes, eliminas el riesgo número uno de brechas corporativas.

1Password Teams es el gestor de contraseñas empresarial preferido por más de 100.000 empresas en todo el mundo. Incluye bóvedas compartidas por equipo, integración con Google Workspace y Microsoft 365, informes de seguridad con alertas de contraseñas comprometidas, arquitectura zero-knowledge auditada por terceros, soporte de passkeys y asistencia técnica prioritaria. Desde 4,99 € por usuario al mes. Prueba 1Password Teams gratis durante 14 días →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *