2LRN4 security awareness platform
← Volver a la base de conocimientos

Mejores prácticas de gestión de contraseñas

Explicación práctica sobre mejores prácticas gestión de contraseñas para organizaciones que quieren mejorar de forma estructural el comportamiento seguro.

Actualizado recientemente

De la información a la acción

Descubra cómo convertir este tema en un programa de concienciación práctico con formación, simulaciones de phishing e informes claros para dirección.

Reservar demo Ver la página de solución principal
Alain Rees
Fundador y especialista en concienciación sobre seguridad · 2LRN4

Una buena política de contraseñas en 2026 tiene otro aspecto que hace diez años. La longitud importa más que la complejidad, un gestor de contraseñas ya no es un lujo sino una necesidad, y la MFA es una capa importante pero ya no un escudo completo. El futuro es sin contraseña con passkeys y llaves de hardware. ¿Qué deben hacer realmente los empleados y cómo se monta esto sin paralizar la organización con reglas que nadie entiende?

Por qué las contraseñas siguen importando y dónde se tuerce

Las contraseñas son desde hace años el eslabón más débil en la mayoría de incidentes de seguridad. Las credenciales robadas o adivinadas siguen siendo el punto de entrada más usado en las fugas de datos: un atacante compra una lista de credenciales de una fuga anterior, las prueba en cientos de servicios y entra en segundos en empleados que reutilizan la misma contraseña.

En la práctica, el abuso entra por tres vías. Reutilización entre servicios (la contraseña profesional es la misma que la privada), contraseñas débiles o predecibles (Bienvenido2026!, nombre de empresa + año) y empujón a compartir vía phishing o una falsa llamada del "helpdesk".

Ninguno de esos tres se resuelve imponiendo reglas más complejas. Al contrario: una política demasiado estricta (cuatro mayúsculas, dos cifras, tres símbolos, cambio cada 30 días) lleva demostradamente a un comportamiento más débil. La gente pega la contraseña bajo el teclado, sustituye P@ssword1! por P@ssword2! y sigue reutilizando. Una buena política dirige el comportamiento que se quiere ver, no la sensación de control.

Qué es realmente una contraseña fuerte: longitud por encima de complejidad

NIST y el NCSC neerlandés llevan años diciendo lo mismo: la longitud importa más que la complejidad. Una contraseña de cuatro o cinco palabras aleatorias ("sal-piano-brillante-río-92") es más fácil de recordar para una persona y mucho más difícil de romper para un atacante que una cadena corta con mayúsculas y símbolos.

Regla práctica: mínimo de doce caracteres, sin mezcla forzada de caracteres especiales, sin cambio obligatorio en intervalo fijo. Sí compruebe las contraseñas contra fugas conocidas (mediante Have I Been Pwned o una función integrada de su plataforma de identidad) y, ante coincidencia, fuerce el cambio inmediato.

Deje también de obligar a cambios periódicos. La investigación lleva años demostrando que la rotación obligatoria debilita las contraseñas porque la gente recurre a patrones. Cambie solo cuando haya motivo: sospecha de compromiso, fuga notificada o salida de un compañero con acceso compartido.

Por qué un gestor de contraseñas no es un lujo

Un empleado medio tiene en 2026 con facilidad más de cien cuentas. La idea de que alguien recuerde una contraseña larga única para cada cuenta está obsoleta. Un gestor hace exactamente eso: genera por servicio una contraseña larga y única, la almacena cifrada y la rellena automáticamente en el sitio correcto.

Para la organización aporta tres beneficios que de otro modo son inalcanzables: los empleados dejan de reutilizar (porque ya no recuerdan nada), el phishing se hace visible (el gestor no autocompleta en un dominio desconocido) y el paso a passkeys es más fluido porque el gestor soporta ambos.

Ofrezca un gestor como organización. No tiene que ser una solución cara; las buenas opciones empresariales arrancan en unos euros por empleado al mes. Hágalo opcional para uso privado (a menudo incluido en la misma licencia), para que los empleados también trabajen más seguros en casa.

MFA: necesaria pero no suficiente, y el paso a passkeys

La autenticación multifactor sigue siendo una capa importante, pero cada vez se evade más. Tres técnicas son rutinarias en 2026: MFA fatigue (el atacante bombardea con notificaciones push hasta que alguien aprueba), adversary-in-the-middle (el atacante se interpone y roba la cookie de sesión) y SIM swap (el atacante hace transferir su número y recibe sus códigos SMS).

Por orden de seguridad de la MFA: una llave de hardware (FIDO2) es la más fuerte, seguida de una aplicación authenticator en un dispositivo en el que inicia sesión, después las notificaciones push, y por último el SMS. El SMS para la MFA es en 2026 un último recurso, no una opción preferida.

La solución real es sin contraseña. Las passkeys son llaves criptográficas que permanecen en su dispositivo y no pueden robarse mediante una página de phishing. Los grandes servicios (Microsoft, Google, Apple, bancos, administración) las soportan ya. Para su programa de concienciación, el mensaje es simple: explique que las passkeys no son un paso extra, sino un sustituto fuerte de contraseña más MFA, y ayude en la primera activación.

Qué hacer si su contraseña aparece en una fuga

Las fugas de datos son una realidad cotidiana en 2026. Tarde o temprano la contraseña de un empleado aparece en una lista conocida, no siempre por su propia organización, sino por un servicio privado con la misma contraseña. ¿Y entonces?

  • Cambie la contraseña de inmediato en el servicio afectado. Y en cada otro servicio donde la usase, que era precisamente lo que se quería evitar.
  • Active la MFA si aún no estaba activa. Disponible en prácticamente todos los servicios modernos.
  • Revise el historial de inicio de sesión del servicio afectado. Cierre sesión en sesiones desconocidas y avise al servicio.
  • Notifíquelo al equipo de seguridad si es un servicio profesional. Un compromiso puede ser trampolín para un acceso más amplio.
  • Considere pasar a un passkey donde el servicio lo permita. Sustituir una vez la contraseña por una passkey elimina ese riesgo estructuralmente para ese servicio.

Cómo anclar esto en un programa de concienciación

La gestión de contraseñas no debe abordarse una sola vez al año en una formación de una hora. Funciona mejor como tema corto y recurrente conectado con lo que los empleados ya viven.

Comience con un módulo de seis a ocho minutos que muestre qué es una contraseña fuerte (tres a cinco palabras aleatorias), por qué la reutilización es peligrosa y cómo funciona el gestor de la organización. Combínelo con una campaña interna: vídeo breve de instrucciones, ventanilla de helpdesk y, opcionalmente, ventanilla para uso privado.

Dele continuidad en meses posteriores con recordatorios más cortos: campaña de carteles sobre passkeys, noticia tras una fuga pública importante con instrucciones ("compruebe si su contraseña estaba"), nota en el análisis de riesgos anual sobre qué departamentos siguen apoyándose en contraseñas clásicas. Haga el tema personal: muestre cómo los empleados también aseguran su vida privada.

Por último, alinee la política con la realidad. Una política que aún impone rotación cada 30 días no solo está obsoleta sino que demostradamente es contraproducente. Dirija según principios modernos (longitud, unicidad, MFA, passkey cuando sea posible) y explique en la comunicación por qué se suprimen las reglas obsoletas.

De la explicación a la acción

Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.

Ver la página de formación

Artículos relacionados

Fuentes

FAQ

¿Cuánto debe medir una contraseña?

Mínimo doce caracteres. La longitud importa más que la complejidad. Tres a cinco palabras aleatorias son más fáciles de recordar y mucho más difíciles de romper que una combinación corta con mayúsculas y símbolos.

¿Deben los empleados cambiar las contraseñas con regularidad?

No, no automáticamente. La rotación obligatoria debilita demostradamente las contraseñas porque la gente recurre a patrones. Cambie solo cuando haya motivo: sospecha de compromiso, fuga notificada o salida de un compañero con acceso compartido.

¿Es seguro un gestor de contraseñas?

Sí. Un buen gestor cifra las contraseñas localmente con una contraseña maestra que no se almacena en ningún sitio. El riesgo de una contraseña maestra es insignificante frente al riesgo de reutilizar contraseñas entre decenas de servicios.

¿Qué son las passkeys?

Las passkeys son llaves criptográficas que permanecen en su dispositivo y no pueden robarse vía una página falsa. Sustituyen contraseña más MFA en un solo paso, son más rápidas y resistentes al phishing y al adversary-in-the-middle.

¿Qué hacer si mi contraseña aparece en una fuga?

Cambiarla de inmediato en el servicio afectado y en cualquier otro donde se usara la misma. Activar la MFA y revisar el historial de inicio de sesión. En un servicio profesional, informar siempre al equipo de seguridad.

¿Qué método de MFA es el más seguro?

Una llave de hardware (FIDO2) es la más fuerte, seguida de una aplicación authenticator, después una notificación push. El SMS para MFA es un último recurso: vulnerable al SIM swap, la opción más débil entre las habituales.

¿Deben las organizaciones imponer complejidad de contraseña?

Preferiblemente no al estilo antiguo (mezcla de símbolos, mayúsculas, dígitos). Sí exigir un mínimo de doce caracteres y una comprobación contra fugas conocidas. Las reglas estrictas de complejidad llevan demostradamente a comportamientos más débiles.

Fuente externa: NCSC - Awareness resources

Lectura relacionada
Por qué los empleados son más competentes digitalmente de lo que se cree → Los errores de seguridad más comunes que cometen los empleados →
Siguiente paso

Use este artículo como base y luego vea cómo 2LRN4 traduce el tema en segmentación de audiencias, formación e informes.

Reservar demo Descargar la guía Más artículos