← Blog Ciberseguridad

Cómo crear una contraseña segura: guía práctica para empresas

Como crear una contrasena segura para tu empresa

Una contrasena segura tiene minimo 14 caracteres, combina mayusculas, minusculas, numeros y simbolos, no contiene datos personales y es unica para cada servicio. La mejor practica actual es usar un gestor de contrasenas corporativo como Bitwarden o KeePass y activar la autenticacion en dos factores (2FA) en todas las cuentas criticas. Estas dos medidas juntas eliminan la gran mayoria de los riesgos asociados a credenciales debiles.

Las contrasenas debiles siguen siendo el eslabon mas fragil de la cadena de seguridad en las empresas. Segun el informe Verizon DBIR 2024, las credenciales comprometidas son responsables del 81 % de las brechas de seguridad en organizaciones de todos los tamanos (Verizon, Data Breach Investigations Report 2024). Lo alarmante es que muchas de estas brechas se producen por contrasenas que un atacante puede adivinar en segundos: “123456”, “empresa2024”, o el nombre del empleado seguido de su ano de nacimiento.

El coste de una brecha de datos originada por credenciales robadas alcanza una media de 4,45 millones de dolares a nivel global segun IBM (IBM, Cost of a Data Breach Report 2024). Para una PYME espanola, el impacto puede superar los 35.000 EUR entre perdida de datos, interrupcion de la actividad, sanciones RGPD y dano reputacional.

La buena noticia es que crear contrasenas seguras y gestionar credenciales de forma profesional no requiere grandes inversiones. Con las herramientas y politicas adecuadas, cualquier empresa puede reducir drasticamente este riesgo.

Por que las contrasenas debiles son tan peligrosas

Los atacantes no adivinan contrasenas una por una. Utilizan herramientas automatizadas que prueban millones de combinaciones por segundo mediante ataques de fuerza bruta, diccionarios de contrasenas filtradas y tecnicas de credential stuffing. Segun Have I Been Pwned, mas de 12.000 millones de credenciales filtradas estan disponibles publicamente en internet (Have I Been Pwned, Database Statistics 2024).

Esto significa que si un empleado reutiliza la contrasena de su correo personal en el sistema corporativo, y esa contrasena aparece en una filtracion, el atacante puede acceder a la infraestructura de la empresa sin necesidad de ningun ataque sofisticado.

Tipos de ataques a contrasenas

  • Fuerza bruta: prueba todas las combinaciones posibles. Una contrasena de 8 caracteres solo con minusculas se descifra en segundos; una de 14 caracteres mixtos tardaria siglos.
  • Diccionario: prueba palabras comunes, nombres, fechas y patrones habituales. “Verano2024!” es vulnerable a este tipo de ataque.
  • Credential stuffing: usa credenciales filtradas de otros servicios para probarlas en tu empresa. Funciona porque el 65 % de las personas reutilizan contrasenas.
  • Phishing: engana al usuario para que introduzca sus credenciales en una pagina falsa. La autenticacion 2FA es la unica defensa efectiva contra este vector.

Caracteristicas de una contrasena realmente segura

  • Longitud minima de 14 caracteres: cada caracter adicional multiplica exponencialmente la dificultad para descifrarla. La longitud es mas importante que la complejidad.
  • Combina mayusculas, minusculas, numeros y simbolos: cuanta mas variedad, mayor es el espacio de busqueda para un ataque de fuerza bruta.
  • Evita datos personales: nombres, fechas de nacimiento, nombres de mascotas o equipos de futbol son las primeras opciones que prueban los atacantes.
  • No reutilices contrasenas entre servicios: si una cuenta se compromete, el dano queda limitado a esa cuenta.
  • Evita patrones predecibles: “Empresa2024!”, “Admin123!” o “Contrasena!” cumplen tecnicamente los requisitos de complejidad pero son extremadamente vulnerables a ataques de diccionario.

Metodo practico para crear contrasenas seguras

Metodo de la frase memorable

  1. Piensa en una frase que te resulte facil de recordar: “Mi perro Max come 3 galletas cada manana en la cocina”.
  2. Extrae las iniciales de cada palabra: MpMc3gcmelc.
  3. Anade simbolos para reforzar: MpMc3g$cmelc!
  4. Anade un identificador del servicio al inicio o final para que cada cuenta tenga una contrasena unica.

Este metodo genera contrasenas fuertes y memorables, pero tiene un limite practico: es inviable gestionar docenas de contrasenas asi. Por eso el siguiente paso es imprescindible.

Usa un gestor de contrasenas

Un gestor de contrasenas genera, almacena y rellena automaticamente contrasenas unicas y complejas para cada servicio. Solo necesitas recordar una contrasena maestra.

  • Bitwarden: open source, con plan gratuito para uso personal y planes empresariales asequibles. Permite bovedas compartidas por equipos.
  • KeePass: totalmente offline, sin coste y muy seguro. Ideal para entornos donde la politica de seguridad prohibe almacenar contrasenas en la nube.
  • 1Password: excelente experiencia de usuario y funcionalidades empresariales avanzadas como integracion con SCIM y SSO.

Activa la autenticacion en dos factores (2FA)

El 2FA anade una segunda capa de verificacion que hace inutiles las contrasenas robadas. Aunque un atacante obtenga la contrasena, no podra acceder sin el segundo factor.

  • Aplicaciones autenticadoras: Microsoft Authenticator o Google Authenticator generan codigos temporales de 6 digitos que cambian cada 30 segundos.
  • Llaves de seguridad fisicas: dispositivos USB como YubiKey que requieren presencia fisica para autenticar. Son la opcion mas segura.
  • SMS como segundo factor: mejor que nada, pero vulnerable a ataques de SIM swapping. Usa aplicaciones autenticadoras siempre que sea posible.

Politica de contrasenas para empresas

Una politica de contrasenas corporativa debe ser clara, aplicable y enfocada en la seguridad real, no en requisitos arbitrarios que frustren a los empleados.

Requisitos recomendados

  • Longitud minima de 14 caracteres para todas las cuentas corporativas.
  • Prohibicion de reutilizar las 10 ultimas contrasenas.
  • Obligatoriedad de 2FA para cuentas con acceso a datos sensibles, administracion de sistemas y correo corporativo.
  • Provision de un gestor de contrasenas corporativo a todos los empleados.
  • Bloqueo automatico de cuentas tras 5 intentos fallidos de inicio de sesion.
  • Revision semestral de la politica y formacion al equipo sobre buenas practicas.

Que no hacer

  • No obligar a cambiar contrasenas cada 30 dias sin motivo. El NIST recomienda cambios solo cuando hay evidencia de compromiso (NIST, SP 800-63B Digital Identity Guidelines).
  • No prohibir el uso de gestores de contrasenas. Son la herramienta mas efectiva contra la reutilizacion.
  • No imponer requisitos de complejidad absurdos que lleven a los empleados a apuntar contrasenas en post-its.

Implementacion en Active Directory y Microsoft 365

Si tu empresa usa Active Directory, puedes aplicar la politica de contrasenas mediante GPO (Directivas de Grupo) que fuercen los requisitos de longitud, complejidad e historial. En Microsoft 365, activa los Security Defaults o configura politicas de acceso condicional que exijan MFA para todos los usuarios.

Azure AD (ahora Entra ID) ofrece ademas proteccion contra contrasenas filtradas: compara automaticamente las contrasenas de tus usuarios con bases de datos de credenciales comprometidas y bloquea las que aparezcan.

Problemas frecuentes y solucion

  • “No consigo recordar tantas contrasenas”: este es exactamente el problema que resuelven los gestores de contrasenas. Solo necesitas recordar una contrasena maestra fuerte.
  • “Los empleados apuntan contrasenas en post-its”: implementa un gestor corporativo, forma al equipo en su uso y demuestra que es mas comodo que los metodos manuales.
  • “Necesitamos compartir accesos entre departamentos”: los gestores como Bitwarden permiten bovedas compartidas con permisos granulares. Nunca compartas contrasenas por email o chat.
  • “Un exempleado tiene acceso a cuentas corporativas”: incluye el cambio de contrasenas compartidas y la revocacion de accesos en el proceso de baja. Revisa los accesos trimestralmente.
  • “Hemos detectado que una contrasena ha sido filtrada”: cambiala inmediatamente en todos los servicios donde se usaba, activa 2FA si no estaba habilitado y revisa la actividad reciente de las cuentas afectadas.

Preguntas frecuentes

Cada cuanto debo cambiar mis contrasenas? El NIST actualmente recomienda no forzar cambios periodicos si se usan contrasenas fuertes y 2FA. Cambia la contrasena solo cuando haya evidencia de compromiso o cuando un empleado deje la empresa.

Son seguros los gestores de contrasenas? Si. Los gestores reputados usan cifrado AES-256, arquitectura de conocimiento cero y auditorias de seguridad regulares. Son significativamente mas seguros que cualquier metodo manual.

Que hago si creo que mi contrasena ha sido comprometida? Cambiala inmediatamente en todos los servicios donde la usabas, activa 2FA, revisa la actividad reciente de tus cuentas y notifica al departamento de IT para que investigue un posible acceso no autorizado.

Es mejor una contrasena larga y simple o corta y compleja? Siempre larga. Una contrasena de 20 caracteres con solo letras minusculas es mas segura que una de 8 caracteres con mayusculas, numeros y simbolos. La longitud es el factor mas determinante.

En IBERSYA implementamos politicas de contrasenas corporativas completas para PYMEs, incluyendo despliegue de gestores de contrasenas como Bitwarden, configuracion de 2FA obligatorio en Microsoft 365 y Active Directory con Entra ID, y formaciones bonificadas por FUNDAE para que todo el equipo adopte habitos seguros. Ademas, configuramos alertas automaticas con Zabbix para detectar intentos de acceso sospechosos y monitorizamos la seguridad de los endpoints con Bitdefender GravityZone. Contacta con nosotros para proteger los accesos de tu empresa.

Ver servicio relacionado →

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.

Al enviar aceptas nuestra política de privacidad.