Saltar al contenido principal
Passwork LogoPasswork LogoSecurity champion course

Gestión de contraseñas

Las contraseñas son la puerta principal de todo lo que su empresa utiliza. Correo electrónico, infraestructura en la nube, código fuente, bases de datos, sistemas financieros — todo está protegido, ante todo, por una contraseña. Antes que los cortafuegos, antes que el cifrado, antes que cualquier otro control de seguridad: si alguien obtiene la contraseña, entra.

Por eso la gestión de contraseñas no es un lujo. Es la base sobre la que se construye todo lo demás. Puede tener las mejores herramientas de seguridad del mundo, pero si su equipo reutiliza contraseñas, almacena credenciales en Slack o comparte la cuenta raíz de AWS a través de un Google Doc, esas herramientas no sirven de nada.

Cuando los investigadores de seguridad analizan brechas en empresas pequeñas, aparecen los mismos patrones una y otra vez:

  • Alguien reutilizó su contraseña personal de correo electrónico para una cuenta de trabajo
  • Una credencial compartida se almacenó en un canal de Slack y la cuenta de alguien fue comprometida
  • La contraseña de un ex-empleado seguía funcionando seis meses después de que se fue
  • La contraseña de la cuenta raíz de AWS vivía en un Google Doc

Estos no son ataques sofisticados. Son oportunistas. Y se pueden prevenir con una sola herramienta: un gestor de contraseñas.

Gestor de contraseñas personal frente a empresarial

La mayoría de los desarrolladores ya usan un gestor de contraseñas personal. Eso está bien. Pero una herramienta personal — incluso una buena — no está diseñada para uso empresarial.

Aquí está la diferencia:

Un gestor de contraseñas personal está diseñado para una persona que administra sus propias cuentas. Almacena sus contraseñas, las sincroniza entre dispositivos y quizás permite compartir algunos elementos con un compañero. Ese es todo su alcance.

Un gestor de contraseñas empresarial está diseñado para equipos, roles y continuidad operacional. El conjunto de características es fundamentalmente diferente porque el problema es diferente:

PersonalEmpresarial
UsuariosUna personaEquipos, departamentos, toda la empresa
ComparticiónEnlaces simplesBóvedas compartidas con acceso basado en roles
DesvinculaciónNo aplicaRevocar acceso inmediatamente en todos los sistemas
AuditoríaNingunaRegistro completo de cada acción, por cada usuario
AdministraciónNingunaConsola de administración central, aplicación de políticas
CumplimientoNingunoInformes de auditoría, revisiones de acceso, herramientas GDPR
DevOpsNingunoCLI, API, integración con pipelines CI/CD

Quiénes usan realmente un gestor de contraseñas empresarial

Un gestor de contraseñas empresarial no es solo para quienes almacenan contraseñas. Sirve a varios roles distintos:

Empleados — almacenan y recuperan sus propias credenciales, acceden a bóvedas compartidas para las que tienen permiso, usan extensiones de navegador y aplicaciones móviles.

Administradores — gestionan cuentas de usuario, crean estructuras de bóvedas, establecen políticas de contraseñas, aplican MFA, gestionan la incorporación y desvinculación, revisan quién tiene acceso a qué.

Especialistas en seguridad — realizan auditorías de acceso, revisan el registro completo de actividad, identifican contraseñas débiles o reutilizadas en toda la organización, verifican qué credenciales no han sido rotadas.

Auditores — extraen informes de cumplimiento, verifican que los controles de acceso se aplican correctamente, confirman que los sistemas sensibles están protegidos según la política.

Ingenieros DevOps — recuperan secretos mediante programación a través de CLI o API para pipelines CI/CD, inyectan credenciales en contenedores sin codificarlas, rotan secretos sin tocar las configuraciones de despliegue.

Por qué las herramientas personales no escalan

El problema de la desvinculación por sí solo hace que las herramientas personales sean imprácticas para los negocios. Cuando alguien deja la empresa:

  • Su cuenta de gestor de contraseñas personal se va con ellos. Si almacenaron credenciales de la empresa en ella, esas credenciales siguen en su bóveda.
  • Las credenciales compartidas enviadas por correo electrónico o Slack no se pueden revocar — no hay forma de saber qué fue reenviado.
  • No se puede obtener una lista de a qué tenían acceso, porque no existe un registro central.

Con un gestor de contraseñas empresarial, la desvinculación es una acción: desactivar la cuenta. El acceso a cada bóveda compartida se revoca inmediatamente. El registro de auditoría muestra cada credencial a la que accedieron. Obtiene una lista de contraseñas compartidas que conocían — y puede rotar las que importan.

La misma lógica aplica a las auditorías de acceso. Antes de un gestor de contraseñas empresarial, "¿quién tiene acceso a AWS de producción?" es una pregunta que responde preguntando a la gente. Después, es una consulta.

Qué gestor de contraseñas usar

Este curso es presentado por Passwork, y es lo que recomendamos.

Passwork es un gestor de contraseñas empresarial construido en torno a dos principios fundamentales: cifrado de conocimiento cero y control total sobre sus datos. Esto es lo que significa en la práctica:

Opciones de despliegue. Passwork viene en dos modalidades:

  • On-premise — instalado en sus propios servidores. Sus contraseñas nunca salen de su infraestructura. Soberanía total de datos. Ideal para industrias reguladas, empresas con políticas de seguridad estrictas, o cualquiera que no quiera confiar el almacenamiento de credenciales a una nube de terceros.
  • Cloud — alojado por Passwork. Más rápido de configurar, sin infraestructura que mantener. Sigue siendo de conocimiento cero — Passwork no puede acceder a sus datos incluso en la versión cloud.

Arquitectura de seguridad. Cifrado AES-256 y RSA. El cifrado del lado del cliente significa que las contraseñas se cifran antes de que abandonen su dispositivo. Certificado ISO 27001. Probado de forma independiente por HackerOne. Cumplimiento GDPR. De confianza para agencias gubernamentales y organizaciones reguladas en toda Europa.

Funciones para equipos y administración. Bóvedas compartidas con permisos granulares, control de acceso basado en roles, registros de auditoría, informes de cumplimiento, integración con Active Directory y LDAP, SAML SSO. Escala de 10 a más de 30.000 usuarios sin necesidad de cambiar de herramienta.

Integración con DevOps. CLI para pipelines CI/CD, SDK de Python, inyección de secretos en Docker y Kubernetes. Si su equipo hace despliegues, Passwork puede reemplazar las credenciales codificadas directamente en sus pipelines.

Precios. El plan estándar comienza en €3/usuario/mes (facturado anualmente). Prueba gratuita disponible, sin necesidad de tarjeta de crédito.

No use el almacenamiento de contraseñas solo en el navegador — no admite compartición ni gestión de equipos, y pierde el control de acceso cuando alguien se va.

Implementación de un gestor de contraseñas

Semana 1: Configuración

Cree la cuenta del equipo. Configure la consola de administración. Cree bóvedas compartidas para diferentes propósitos:

  • Una bóveda para credenciales de infraestructura (AWS, proveedores de nube, hosting)
  • Una bóveda para servicios compartidos (cuentas de redes sociales, analítica, herramientas compartidas)
  • Una bóveda para cada equipo si es necesario

Configure los ajustes de seguridad: exija una contraseña maestra fuerte, habilite 2FA para el propio gestor de contraseñas.

Semana 2: Migración

Empiece por usted mismo. Mueva todas sus contraseñas de trabajo al gestor. Instale la extensión de navegador. Familiarícese con el flujo de trabajo.

Luego haga lo mismo con las credenciales compartidas que conozca. ¿La contraseña de la cuenta raíz de AWS en el Google Doc? Muévala al gestor de contraseñas y elimínela del documento.

Semana 3: Despliegue en el equipo

Invite a los miembros del equipo. Realice una sesión de 15 minutos mostrando cómo funciona:

  • Cómo instalar la extensión
  • Cómo guardar nuevas contraseñas
  • Cómo acceder a las bóvedas compartidas
  • Cómo generar contraseñas seguras

Dé a las personas una semana para migrar sus propias contraseñas. Haga seguimiento con quienes tengan dificultades.

Semana 4: Aplicación

Empiece a exigir el gestor de contraseñas para las nuevas cuentas. Cuando alguien necesite acceso a una herramienta compartida, lo obtiene a través del gestor de contraseñas, no a través de Slack o correo electrónico.

Objeciones habituales

"Puedo recordar mis contraseñas"

Probablemente las está reutilizando. El gestor de contraseñas también le permite revocar el acceso cuando alguien se va — algo que no puede hacer si las credenciales están en la cabeza de las personas.

"Es inconveniente"

Hay una curva de aprendizaje, pero es de aproximadamente una semana. Después de eso, en realidad es más rápido — no tiene que escribir contraseñas y nunca las olvida.

"¿Y si hackean el gestor de contraseñas?"

Sus contraseñas están cifradas con su contraseña maestra antes de que abandonen su dispositivo. Incluso si el servidor es vulnerado, los atacantes obtienen datos cifrados que no pueden descifrar. Eso es mejor que las contraseñas en un Google Doc.

Política de contraseñas

Necesita una política de contraseñas por escrito. Debe ser de una página, no de diez.

Política de contraseñas

Requisitos de contraseña:

  • Todas las cuentas de trabajo deben usar contraseñas generadas por el gestor de contraseñas de la empresa
  • Mínimo 16 caracteres (el gestor de contraseñas se encarga de esto automáticamente)
  • Sin reutilización de contraseñas entre cuentas

Gestor de contraseñas:

  • Todos los empleados deben usar Passwork para las contraseñas de trabajo
  • La contraseña maestra debe tener al menos 16 caracteres
  • Nunca comparta su contraseña maestra con nadie

Autenticación multifactor:

  • MFA es obligatorio para todos los sistemas críticos (ver capítulo sobre MFA)
  • Use aplicaciones TOTP, no SMS, cuando sea posible
  • Almacene los códigos de respaldo en el gestor de contraseñas

Cuentas compartidas:

  • Las credenciales compartidas deben almacenarse en el gestor de contraseñas, nunca en documentos o chats
  • El acceso a las cuentas compartidas se revisa trimestralmente

Eso es todo. Una página. La gente realmente la leerá.

Verificación final

Antes de continuar, verifique que ha completado estos elementos.

  • Cuenta del equipo creada (Passwork on-premise o cloud)
  • Estructura de bóvedas configurada (infraestructura, servicios compartidos, equipos)
  • Ajustes de seguridad configurados (requisitos de contraseña maestra, 2FA en el gestor)
  • Sus propias contraseñas migradas
  • Al menos una credencial compartida movida de Slack/documentos al gestor de contraseñas
  • Extensión de navegador instalada y funcionando
  • Invitación enviada a al menos otro miembro del equipo
  • Política de contraseñas escrita (una página)

Si puede marcar al menos 6 de estos 8 elementos, continúe.

Qué sigue

Contraseñas resueltas. A continuación: autenticación multifactor — añadir una segunda capa para que las contraseñas robadas por sí solas no sean suficientes para entrar.

© 2014–2025 «Passwork»
Empresa
Sobre nosotrosPolítica de privacidadCertificado ISO 27001Notas de la versiónHoja de rutaBlog
Extensión de navegador
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Aplicación móvil
App StoreGoogle Play
Para empresas
EquiposPequeñas empresasEmpresas y corporacionesEnterpriseSolución on-premiseHerramienta para compartir contraseñasGestión de secretos
Ayuda
Manual de usuarioDocumentación técnicaCentro de ayuda