Gestión de contraseñas corporativas: del caos al orden
Política de contraseñas moderna según NIST 2024, comparativa de gestores para empresas y cómo migrar desde el Excel o el WhatsApp hacia una solución segura.
El problema real de las contraseñas en las PYMEs
Antes de hablar de soluciones, hablemos del problema con honestidad. En la mayoría de las PYMEs chilenas, la gestión de contraseñas es un caos que nadie quiere admitir abiertamente:
Las contraseñas viajan por WhatsApp. “Oye, ¿cuál es la clave del sistema de facturación?” y ahí va, en texto plano, guardada en el historial de chat de todos los que participaron en esa conversación, en los teléfonos personales de cada uno.
Hay un Excel o un cuaderno. Alguien en algún momento creó un archivo “Contraseñas.xlsx” que ahora vive en Google Drive (accesible para todo el equipo), en el escritorio de un computador, o en ambos. Nadie sabe exactamente quién lo tiene ni quién lo modificó por última vez.
Todos usan la misma contraseña para todo. O variaciones de la misma: empresa2024, empresa2024!, Empresa2024. Un sistema que sea hackeado compromete todos los demás.
Las contraseñas de los sistemas críticos las sabe solo una persona. Y esa persona está de vacaciones. O se fue de la empresa. O no recuerda cuál de sus variaciones usó en ese sistema.
Los proveedores externos tienen acceso permanente. La agencia de marketing que configuró el sitio web hace tres años sigue teniendo acceso de administrador al hosting. Nadie se acordó de cambiarlo cuando terminó el contrato.
Cuando un empleado se va con las contraseñas
El 29% de las brechas de seguridad en empresas son causadas por empleados que ya no trabajan allí pero mantienen acceso. Si no sabes exactamente a qué sistemas tiene acceso cada persona de tu equipo, tienes este problema ahora mismo.
La política de contraseñas moderna según NIST 2024
El NIST (National Institute of Standards and Technology) es la referencia técnica más respetada en seguridad de contraseñas. Sus recomendaciones de 2024 rompen con varios mitos muy extendidos.
Lo que el NIST ya NO recomienda
Cambio periódico obligatorio de contraseñas: durante años, la práctica estándar era forzar el cambio cada 30, 60 o 90 días. El NIST eliminó esta recomendación porque el resultado real es que los usuarios crean contraseñas débiles fáciles de recordar y les agregan un número que van incrementando. Enero2024! → Febrero2024! → Marzo2024!. Esto es predecible y fácil de adivinar.
Reglas de composición complejas forzadas: exigir que la contraseña tenga mayúsculas, minúsculas, números y símbolos en cada cambio produce el mismo efecto: contraseñas débiles pero que cumplen formalmente los requisitos.
Preguntas de seguridad: el nombre de tu primera mascota o tu ciudad natal son información pública o fácilmente obtenible. Las preguntas de seguridad son una puerta trasera débil.
Lo que el NIST sí recomienda
Contraseñas largas en lugar de complejas: una frase de cuatro palabras al azar (cielo-mesa-perro-luna) es más segura que P@ssw0rd! y mucho más fácil de recordar. La longitud es el factor más importante.
Longitud mínima: 12 caracteres. Idealmente 16 o más. Con un gestor de contraseñas, la longitud deja de ser un problema porque no tienes que recordarlas.
Contraseñas únicas para cada servicio. Esta es la regla más importante. Si una contraseña se filtra en una brecha de datos, solo compromete ese servicio y no todos los demás.
Verificar contra contraseñas conocidas. Los gestores modernos y algunos sistemas de autenticación verifican si la contraseña elegida aparece en listas de contraseñas filtradas conocidas. Si aparece, la rechazan aunque sea “técnicamente compleja”.
Solo cambiar cuando hay evidencia de compromiso. No cambia periódicamente por norma: cambia cuando hay una razón concreta (brecha detectada, empleado que sale de la empresa, proveedor que pierde acceso).
Gestores de contraseñas para empresas: comparativa
Un gestor de contraseñas es la solución que resuelve todos los problemas mencionados. Permite usar contraseñas únicas y fuertes en cada servicio sin tener que recordarlas, y controlar quién tiene acceso a qué.
1Password Business
El referente del mercado. Interfaz pulida, excelente experiencia de usuario, integración con casi todo.
| Característica | Detalle |
|---|---|
| Precio | ~$8 USD/usuario/mes (Business) |
| Plataformas | Windows, Mac, iOS, Android, Linux, extensión de navegador |
| Compartir contraseñas | Vaults compartidas por equipo o proyecto |
| Administración | Panel de administrador robusto, reportes de seguridad |
| SSO | Integración con Azure AD, Okta, Google Workspace |
| Recuperación de cuenta | A través del administrador de la empresa |
| Auditoría | Watchtower: detecta contraseñas débiles, filtradas o duplicadas |
| Para quién | Empresas que priorizan experiencia de usuario y soporte |
Fortalezas: la mejor experiencia de usuario del mercado, soporte excelente, Watchtower monitorea activamente la seguridad de tus contraseñas.
Desventajas: el más caro de los tres. Modelo solo en la nube (sin opción self-hosted).
Bitwarden Teams / Enterprise
La opción de código abierto. El código es público y auditable, lo que es una ventaja importante en transparencia de seguridad.
| Característica | Detalle |
|---|---|
| Precio | ~$4 USD/usuario/mes (Teams), ~$6 USD (Enterprise) |
| Plataformas | Windows, Mac, iOS, Android, Linux, extensión de navegador, Web |
| Compartir contraseñas | Organizaciones con colecciones |
| Administración | Panel de administrador completo |
| SSO | SAML 2.0, Azure AD, Google Workspace (plan Enterprise) |
| Self-hosted | Sí, puedes alojar tu propio servidor Bitwarden |
| Para quién | Empresas con foco en costo/transparencia o que quieren control total |
Fortalezas: código abierto auditable, precio competitivo, opción self-hosted única entre los tres.
Desventajas: interfaz menos pulida que 1Password, algunas funciones avanzadas requieren Enterprise.
Keeper Business
Fuerte en cumplimiento regulatorio y reportes de auditoría detallados.
| Característica | Detalle |
|---|---|
| Precio | ~$5 USD/usuario/mes (Business) |
| Plataformas | Windows, Mac, iOS, Android, Linux, extensión de navegador |
| Compartir contraseñas | Roles y equipos con permisos granulares |
| Administración | Panel avanzado con auditoría detallada |
| SSO | Amplia integración con proveedores de identidad |
| Cumplimiento | Excelente para SOC 2, ISO 27001, HIPAA |
| Para quién | Empresas con requisitos de cumplimiento o auditoría rigurosa |
Fortalezas: la mejor consola de administración de los tres, reportes de auditoría detallados.
Desventajas: precio más variable, interfaz de usuario ligeramente más compleja.
Tabla comparativa rápida
| 1Password Business | Bitwarden Teams | Keeper Business | |
|---|---|---|---|
| Precio/usuario/mes | ~$8 USD | ~$4 USD | ~$5 USD |
| Facilidad de uso | ★★★★★ | ★★★★☆ | ★★★★☆ |
| Panel de administración | ★★★★☆ | ★★★★☆ | ★★★★★ |
| Código abierto | No | Sí | No |
| Self-hosted | No | Sí | No |
| Precio para 10 usuarios/mes | ~$80 USD | ~$40 USD | ~$50 USD |
Recomendación para PYMEs que parten desde cero
Para la mayoría de las PYMEs chilenas de hasta 30 personas, Bitwarden Teams es el punto de partida ideal: buena relación calidad-precio, código abierto para transparencia, y tiene todo lo necesario. Si el equipo de TI o el dueño quiere la mejor experiencia de usuario sin pensar en precio, 1Password Business es la mejor inversión.
Implementación paso a paso
Paso 1: Escoge y contrata la herramienta (semana 1)
- Crea la cuenta empresarial con el correo corporativo del administrador
- Paga con tarjeta de empresa, no personal
- Activa MFA en la cuenta del administrador del gestor (esto es crítico)
- Lee la guía de inicio rápido del proveedor
Paso 2: Define la estructura de vaults o colecciones (semana 1)
Organiza las contraseñas en grupos lógicos según cómo trabaja tu empresa. Ejemplo:
📁 Administración
└── Banco Estado Empresas
└── SII
└── Previred
└── NIC.cl
📁 Marketing
└── Meta Business Suite
└── Google Ads
└── Mailchimp
└── Sitio web / cPanel
📁 Operaciones
└── Sistema ERP
└── Facturación electrónica
└── Proveedores logística
📁 TI / Infraestructura
└── Servidor / hosting
└── Cloudflare
└── AWS / Google Cloud
📁 Compartidas - Todo el equipo
└── Wi-Fi oficina
└── Software generalPaso 3: Migración de las contraseñas existentes (semana 2-3)
Esta es la fase más importante y la que más tiempo toma. El proceso:
-
Inventario de cuentas: antes de migrar, lista todos los servicios y sistemas que usa la empresa. Divide por departamento.
-
Migración por prioridad: empieza por las cuentas más críticas (banca, SII, correo corporativo, ERP).
-
Cambio de contraseña al migrar: no migres las contraseñas débiles actuales tal como están. Cuando agregas una cuenta al gestor, genera una contraseña nueva, fuerte y única con el generador del gestor.
-
Elimina las contraseñas del Excel y WhatsApp: una vez que una cuenta está en el gestor, elimina ese registro del Excel o del chat. De lo contrario, tienes dos fuentes de verdad y el problema no se resuelve.
Paso 4: Onboarding del equipo (semana 3-4)
- Invita a los usuarios por correo corporativo
- Haz una sesión grupal de 30 minutos de capacitación
- Muestra cómo instalar la extensión de navegador (automatiza el llenado de contraseñas)
- Explica qué vaults pueden ver y cuáles no
Paso 5: Establece las reglas del juego (semana 4)
Documenta y comunica la política:
- Toda contraseña corporativa debe estar en el gestor
- Las contraseñas las genera el gestor (no se crean manualmente)
- Nadie comparte contraseñas por chat, correo o papel
- Si alguien necesita acceso a algo, lo solicita al administrador del gestor
Cómo manejar casos de uso críticos
Cuando un proveedor externo necesita acceso
En lugar de compartir la contraseña directamente:
- Crea una cuenta de usuario en el servicio específico para ese proveedor (si el servicio lo permite)
- Si no es posible, comparte la contraseña desde el gestor (función de compartir con expiración disponible en 1Password y Keeper)
- Documenta en el gestor qué proveedores tienen acceso y desde cuándo
- Cuando termina el contrato, revocar eso primero
Cuando un empleado renuncia
Con un gestor de contraseñas, el proceso es claro:
- El administrador revoca el acceso del usuario al gestor inmediatamente
- El usuario pierde acceso a todas las contraseñas que el gestor controlaba
- Cambia las contraseñas de los servicios que ese empleado administraba o donde tenía acceso privilegiado
- Revisa el historial de accesos del gestor para confirmar qué contraseñas vio recientemente
Sin gestor de contraseñas, este proceso es un caos incontrolable.
Cuando el dueño o administrador no puede acceder
Esta situación requiere planificación previa. Opciones:
- Cuenta de administrador de respaldo: designa una segunda persona como administrador del gestor
- Kit de emergencia de 1Password: documento físico sellado con las instrucciones de recuperación, guardado en caja fuerte física
- Contraseña maestra en sobre sellado: en un lugar seguro, con instrucciones claras sobre cuándo usarlo
SSO (Single Sign-On): el siguiente nivel
Cuando la empresa tiene más de 25-30 personas y múltiples sistemas, el siguiente paso natural es el SSO (inicio de sesión único). En lugar de tener contraseña separada en cada sistema, todos acceden con sus credenciales del directorio corporativo (Microsoft Azure AD o Google Workspace).
Cómo funciona: configuras cada aplicación (Slack, Salesforce, HubSpot, etc.) para que la autenticación pase por tu directorio corporativo. Cuando un empleado entra a Slack, en lugar de poner su contraseña de Slack, hace clic en “Iniciar sesión con Google” o “Iniciar sesión con Microsoft”. El sistema verifica su identidad con el directorio corporativo.
La ventaja clave del SSO: cuando un empleado sale de la empresa y deshabilitas su cuenta en Azure AD o Google Workspace, automáticamente pierde acceso a todos los sistemas configurados con SSO. Es revocación masiva de accesos con un solo clic.
Cuándo implementarlo: cuando tienes más de 15-20 aplicaciones corporativas y el proceso de onboarding/offboarding de empleados se está volviendo complejo. El costo varía, pero Microsoft 365 Business Premium y Google Workspace Business Plus incluyen capacidades básicas de SSO.
Resumen: el camino desde el caos hasta el orden
| Estado actual | Estado objetivo | Tiempo estimado |
|---|---|---|
| Contraseñas en Excel/WhatsApp | Todo en gestor de contraseñas | 3-4 semanas |
| Contraseñas reutilizadas | Contraseñas únicas por servicio | 3-4 semanas |
| Sin saber quién tiene acceso a qué | Inventario de accesos en el gestor | 1-2 semanas |
| Sin MFA en cuentas críticas | MFA activado para todos | 2-3 semanas |
| Sin proceso de offboarding | Checklist de salida con revocación de accesos | 1 semana |
Implementar un gestor de contraseñas corporativo es una de las inversiones de seguridad con mejor relación costo-beneficio disponible. El costo para 10 personas es entre $40 y $80 USD mensuales: menos de lo que cuesta un desayuno de equipo. El costo de no tenerlo puede ser la empresa entera.