Su organización ya no puede permitirse dejar la seguridad de las contraseñas en manos de los miembros individuales del equipo. A pesar de sus mejores intenciones, los seres humanos tienden por defecto a hábitos cómodos pero arriesgados, como guardar credenciales en navegadores, hojas de cálculo o notas adhesivas.
Una política de contraseñas sólida establece un estándar claro y exigible sobre cómo se crean, almacenan, comparten, revisan y protegen las contraseñas en toda su organización. Una política moderna reduce el riesgo basado en credenciales, favorece el cumplimiento normativo y aporta coherencia a la seguridad del acceso en todos los sistemas, equipos y flujos de trabajo.
Esto no es algo que las empresas puedan permitirse ignorar. El informe de investigaciones de vulneraciones de datos de 2025 de Verizon reveló que el abuso de credenciales representó el 22 % de los principales vectores de ataque iniciales en vulneraciones confirmadas. El costo de una seguridad de credenciales deficiente también se manifiesta en interrupciones operativas, exposición regulatoria, daños a la reputación y el tiempo de inactividad prolongado que sigue cuando los equipos se apresuran a recuperar el acceso perdido o comprometido.
Además de crear una política de contraseñas, su organización necesita sistemas y herramientas que faciliten la adopción de hábitos seguros. Las reglas no son suficientes para garantizar la seguridad operativa porque, donde existe fricción, incluso los profesionales con buenas intenciones tomarán atajos. El objetivo es hacer que la higiene de las contraseñas sea la ruta de menor resistencia.
La siguiente plantilla de política de contraseñas puede ayudar a su empresa a mantenerse al día con las mejores prácticas actuales y la guía alineada con el NIST. Puede adaptarla para convertirla en una política interna, un manual de seguridad o un control de gobernanza para organizaciones que necesiten algo más práctico que un consejo general.
Plantilla de política de contraseñas (ejemplo)
| Sección | Requisito de la política (ejemplo de redacción) | Notas de implementación |
| Alcance | Esta política se aplica a todos los empleados, contratistas, proveedores y terceros que accedan a los sistemas o datos de la empresa mediante autenticación basada en contraseñas. Abarca todos los sistemas, incluidas las plataformas SaaS, los servicios en la nube, las herramientas internas, los puntos finales y los entornos administrativos. | Asegúrese de que ningún sistema o grupo de usuarios quede fuera del alcance. Incluya a proveedores y entornos compartidos. |
| Responsabilidades del usuario | Todos los usuarios deben crear, almacenar y gestionar sus contraseñas de acuerdo con esta política. Los usuarios no deben compartir credenciales, reutilizar contraseñas ni almacenarlas en ubicaciones no aprobadas. Cualquier sospecha de que las credenciales se hayan visto comprometidas debe informarse de inmediato. | Inclúyalo en el proceso de incorporación y en la capacitación de seguridad. |
| Responsabilidades de la gerencia | Los gerentes deben garantizar la comunicación oportuna de los procesos de incorporación, los cambios de rol y la desvinculación para permitir un control de acceso adecuado y la actualización de las credenciales. | Vincúlelo con los flujos de trabajo de RR. HH. |
| Responsabilidades de TI y seguridad | Los equipos de TI y seguridad son responsables de hacer cumplir esta política, aprobar las herramientas de gestión de contraseñas, monitorear el cumplimiento normativo y responder a los incidentes relacionados con las credenciales. | Asigne una propiedad clara internamente. |
| Longitud de la contraseña | Las contraseñas deben cumplir con las siguientes longitudes mínimas: 15 caracteres (cuentas estándar), 16 caracteres (cuentas con privilegios) y 20 caracteres (cuentas compartidas o de servicio, cuando sea factible). | Los sistemas deben admitir contraseñas largas (idealmente de hasta 64 caracteres). |
| Creación de contraseñas | Las contraseñas deben generarse aleatoriamente mediante el gestor de contraseñas empresarial aprobado por la organización. No se permiten contraseñas creadas por el usuario basadas en patrones, datos personales o estructuras predecibles. | Proton Pass for Business puede automatizar la creación de contraseñas sólidas y aleatorias. |
| Unicidad de las contraseñas | Las contraseñas deben ser únicas para cada cuenta, sistema y servicio. Se prohíbe estrictamente la reutilización en sistemas de trabajo, cuentas personales o entornos de clientes. | Haga cumplir esto mediante herramientas y capacitación, no solo apelando a la memoria. |
| Pruebas de seguridad de las contraseñas | Las contraseñas no deben ser débiles, reutilizadas ni haber sido expuestas previamente en vulneraciones de datos conocidas. | Utilice sistemas que admitan la detección de contraseñas vulneradas siempre que sea posible. |
| Prácticas prohibidas | Quedan prohibidas las siguientes acciones: reutilización de contraseñas; uso de términos relacionados con la persona o la empresa; patrones predecibles; almacenamiento de contraseñas en texto plano; intercambio de credenciales por correo electrónico, chat o notas. | Mantenga esta sección explícita para eliminar cualquier ambigüedad. |
| Autenticación de múltiples factores (MFA) | La MFA debe estar activada en todos los sistemas que la admitan, particularmente en el correo electrónico, proveedores de identidad, acceso remoto, sistemas financieros, plataformas de RR. HH. y cuentas administrativas. | Priorice primero los sistemas de alto riesgo. |
| Almacenamiento de contraseñas | Todas las credenciales deben almacenarse únicamente en el gestor de contraseñas aprobado por la organización. No se permite el almacenamiento en navegadores o herramientas locales a menos que se gestionen y aprueben de forma centralizada. | Proton Pass for Business ofrece bóvedas cifradas con acceso controlado. |
| Métodos de almacenamiento prohibidos | Las contraseñas no deben almacenarse en hojas de cálculo, documentos, borradores de correo electrónico, sistemas de tickets, unidades compartidas ni notas personales. | Realice auditorías periódicas al respecto, ya que son prácticas muy comunes. |
| Uso compartido de contraseñas | Las contraseñas no deben compartirse a través de canales informales. Cuando sea necesario compartir información, debe hacerse a través de sistemas seguros aprobados que admitan el control de acceso, la auditoría y la revocación. | Proton Pass for Business permite compartir credenciales de forma segura sin exponer la contraseña en sí. |
| Cuentas compartidas | Las credenciales de las cuentas de servicio o compartidas deben tener un propietario designado, acceso limitado, almacenamiento seguro y una revisión periódica. Las credenciales deben rotarse cuando se produzcan cambios de personal o se sospeche que se han podido comprometer. | Debe dar prioridad a las cuentas individuales siempre que sea posible. |
| Capacitación y concientización | Todos los usuarios deben completar una capacitación sobre seguridad de contraseñas y credenciales durante su incorporación y, posteriormente, de forma periódica. La capacitación debe incluir la gestión de contraseñas, el uso de MFA, la concientización sobre la suplantación y el reporte de incidentes. | Mantenga la capacitación de forma práctica y actualizada. |
| Respuesta ante incidentes | Cualquier sospecha o confirmación de que se han podido comprometer las credenciales debe reportarse de inmediato. Las credenciales afectadas deben restablecerse, las sesiones deben ser revocadas y el acceso debe revisarse. Los incidentes deben documentarse. | La velocidad de respuesta es más importante que la perfección. |
| Requisitos de reporte | Los usuarios deben reportar cualquier sospecha de exposición de credenciales a través del canal de reporte designado. No se derivará ninguna medida disciplinaria a raíz de un reporte de buena fe. | Fomenta el reporte temprano. |
| Monitoreo y registro | La actividad de autenticación debe registrarse siempre que sea factible, incluidos los intentos de inicio de sesión, los cambios de credenciales y el acceso privilegiado. Los registros deben revisarse periódicamente en busca de anomalías. | Céntrese primero en los sistemas de alto riesgo. |
| Desvinculación y revocación de acceso | Tras un cambio de rol o la finalización del contrato, el acceso debe eliminarse de inmediato. Las credenciales compartidas deben revisarse y rotarse cuando sea necesario. | Esencial, ya que este es uno de los puntos de falla más comunes para las organizaciones. |
| Alineación del cumplimiento | Esta política respalda el cumplimiento organizacional con marcos de trabajo reconocidos, como los requisitos de control de acceso de NIST e ISO 27001. | Útil para auditorías y gobernanza. |
| Cumplimiento | El incumplimiento de esta política puede dar lugar a una nueva capacitación, restricciones de acceso o medidas disciplinarias según la gravedad. | Aplique de manera consistente. |
| Ciclo de revisión | Esta política debe revisarse al menos una vez al año o tras cambios significativos en los sistemas, los riesgos o los requisitos reglamentarios. | Asigne un propietario para las actualizaciones. |
¿Qué es una política de contraseñas? Definición, propósito y objetivos
Una política de contraseñas es un conjunto formal de reglas que define cómo se crean, gestionan, almacenan y protegen las credenciales en todos los sistemas de una organización.
El concepto de política de contraseñas parece sencillo, pero su impacto es amplio. Es mucho más que obligar a usar un gestor de contraseñas empresarial para las credenciales del negocio. En las organizaciones modernas, las políticas de contraseñas constituyen la base de la seguridad de la identidad.
Sin una política consistente que rija el modo en que se gestionan las credenciales en todos los sistemas, las prácticas relacionadas con las contraseñas tienden a fragmentarse y las organizaciones pierden gradualmente la visibilidad sobre cómo se está gestionando realmente el acceso.
El propósito de una política de contraseñas sólida
Una política de contraseñas bien definida aborda las brechas de seguridad al establecer expectativas claras sobre cómo deben manejarse las credenciales en toda su organización. Establece estándares consistentes para la creación, el almacenamiento, el intercambio y la gestión del ciclo de vida de las contraseñas.
Las políticas de contraseñas también desempeñan un papel importante en la gobernanza y el cumplimiento. Los marcos de seguridad, como las Pautas de Identidad Digital del NIST(nueva ventana) y estándares como ISO 27001(nueva ventana), enfatizan la importancia de unas prácticas de autenticación sólidas como parte del control de acceso moderno.
Se espera cada vez más que las organizaciones que manejan datos sensibles, en particular información personal, registros financieros o información empresarial patentada, demuestren que el acceso a esos sistemas se rige por controles de seguridad documentados.
Con una política de contraseñas, su organización define los requisitos mínimos para crear, almacenar, compartir y gestionar las contraseñas utilizadas para acceder a los sistemas, servicios, dispositivos, aplicaciones y datos de la empresa.
¿Qué debe hacer una política de contraseñas?
Un documento de política de contraseñas tiene como fin:
- Reducir los incidentes de seguridad relacionados con las contraseñas
- Evitar la reutilización de contraseñas y las prácticas de almacenamiento inseguras
- Exigir prácticas seguras de creación y gestión de contraseñas
- Respaldar el acceso seguro para empleados, proveedores y sistemas
- Reforzar la preparación para auditorías y la gobernanza del acceso
- Definir los procedimientos de respuesta para credenciales comprometidas
Juntos, estos objetivos ayudan a garantizar que la seguridad de las contraseñas se trate como un estándar operativo en lugar de una expectativa informal.
Política de contraseñas: alcance, roles y responsabilidades
Una política de contraseñas sólida debe dejar explícitas dos cosas. En primer lugar, debe definir claramente qué usuarios, sistemas y datos deben cumplir con la política.
En segundo lugar, debe aclarar quién es responsable de seguir, implementar y mantener esos estándares en toda su organización.
Defina el alcance de su política de contraseñas
En las organizaciones modernas, el acceso rara vez se limita a los empleados a tiempo completo en redes internas. Los contratistas, vendedores y proveedores de servicios pueden requerir acceso a los sistemas corporativos, por lo que la política debe extenderse a todos los que interactúan con los sistemas o datos de la empresa a través de una autenticación basada en contraseñas.
También debe aplicarse a todo el entorno tecnológico, incluyendo:
- Plataformas en la nube
- Herramientas SaaS
- Sistemas internos
- Entornos de desarrollo
- Consolas de administración
- Cuentas operativas compartidas
Esto es importante porque los atacantes rara vez distinguen entre sistemas principales y secundarios al buscar puntos de entrada.
Defina roles y responsabilidades dentro de su política de contraseñas
Sin una titularidad clara, la gestión de contraseñas se fragmenta. Los empleados asumen que el departamento de TI gestiona la seguridad automáticamente, mientras que el departamento de TI asume que los usuarios siguen las mejores prácticas de forma independiente. La seguridad de las credenciales eficaz requiere coordinación en toda su organización.
Mientras que los empleados y contratistas mantienen la seguridad de las contraseñas en sus interacciones diarias con los sistemas, los gerentes supervisan el gobierno del acceso durante la incorporación, los cambios de rol y la desvinculación. Los equipos de TI y de seguridad serán responsables de implementar controles técnicos y de realizar el monitoreo del cumplimiento. Los propietarios de los sistemas también se asegurarán de que se cumplan los estándares dentro de las aplicaciones y los entornos que gestionan.
Pautas de la política de contraseñas sobre la longitud mínima de la contraseña y los requisitos de entropía
La longitud de la contraseña es uno de los factores más importantes para determinar la solidez de una credencial. Las contraseñas más largas aumentan drásticamente el número de combinaciones posibles que un atacante tendría que probar durante un ataque de fuerza bruta.
De hecho, el NIST recomienda(nueva ventana) priorizar la longitud de la contraseña sobre las reglas estrictas de composición. En lugar de obligar a los usuarios a incluir combinaciones específicas de símbolos, números y letras mayúsculas, las políticas modernas se centran en garantizar que las contraseñas sean lo suficientemente largas y se contrasten con credenciales comprometidas conocidas.
En consecuencia, las organizaciones también deben asegurarse de que sus sistemas admitan contraseñas más largas y complejas siempre que sea técnicamente factible. Hacerlo permite a los equipos de seguridad adoptar estándares de credenciales más sólidos con el tiempo y garantiza que su organización esté preparada para cumplir con los requisitos de seguridad en constante evolución en el futuro.
Una contraseña sólida debe cumplir o superar estos requisitos clave:
- Longitud suficiente para resistir ataques de fuerza bruta e intentos de descifrado automatizados
- Única para una sola cuenta o servicio, lo que evita la reutilización de credenciales entre sistemas
- Difícil de adivinar, evitando información personal, referencias de la empresa o patrones predecibles
- Aleatoria o altamente impredecible, idealmente generada por un gestor de contraseñas aprobado
- No expuesta previamente en vulneraciones de datos conocidas ni presente en listas de contraseñas comunes
Tenga en cuenta que las contraseñas basadas en nombres, cumpleaños, términos de la empresa o patrones simples de teclado a menudo se pueden descifrar rápidamente mediante herramientas automatizadas, independientemente de su longitud. Consulte nuestra guía detallada sobre los requisitos de contraseñas sólidas tanto para individuos como para empresas.
Aleatoriedad y complejidad de las contraseñas
Los marcos de seguridad modernos recomiendan generar contraseñas de forma aleatoria en lugar de pedir a los usuarios que las inventen manualmente. Las contraseñas aleatorias generadas por herramientas de gestión de contraseñas aprobadas brindan una protección significativamente más sólida porque evitan patrones predecibles y pueden crearse con longitudes que resultan imposibles de recordar.
Por ejemplo, puede utilizar el generador de contraseñas seguras y las prácticas de gestión de credenciales seguras integradas en Proton Pass. Juntas, estas herramientas ayudan a generar contraseñas sólidas e impredecibles, al tiempo que abordan los desafíos comunes en torno al almacenamiento, el intercambio y la gestión del ciclo de vida de las contraseñas.
Los siguientes requisitos mínimos se pueden incluir en una política de contraseñas para desalentar el uso de contraseñas débiles o reutilizadas:
- Las contraseñas de las cuentas de usuario estándar deben tener al menos 15 caracteres de longitud.
- Las contraseñas de las cuentas con privilegios o de administrador deben tener al menos 16 caracteres de longitud.
- Las credenciales de las cuentas compartidas o de servicio deben tener al menos 20 caracteres siempre que sea técnicamente factible.
- Los sistemas deben admitir contraseñas de al menos 64 caracteres siempre que sea posible.
- Se pueden utilizar frases de contraseña largas donde sea compatible y apropiado.
- Las contraseñas deben cumplir con los requisitos de solidez y detección aprobados por la organización antes de su uso.
Uso de contraseñas únicas por sistema o servicio
La reutilización de contraseñas es una de las causas más comunes de incidentes de seguridad basados en credenciales. Cuando se utiliza la misma contraseña en varios servicios, una sola vulneración puede exponer el acceso a varios sistemas a la vez.
Los atacantes aprovechan habitualmente este comportamiento mediante una técnica conocida como relleno de credenciales, en la que los nombres de usuario y las contraseñas robados de un servicio se prueban automáticamente en otras plataformas.
Por este motivo, la unicidad es un requisito no negociable. Cada cuenta, servicio y sistema debe tener su propia contraseña que nunca se reutilice en otro lugar.
Gestionar decenas o cientos de contraseñas únicas sería poco realista sin el soporte de herramientas de gestión de contraseñas seguras. Las herramientas de gestión de contraseñas empresariales hacen que este requisito sea práctico al generar contraseñas seguras automáticamente y almacenarlas de forma segura, lo que permite a los empleados mantener credenciales únicas sin depender de la memoria.
Requisitos de autenticación de múltiples factores (MFA)
La autenticación de múltiples factores (MFA) es una de las formas más efectivas de reducir el riesgo de acceso no autorizado, particularmente en entornos donde las credenciales pueden estar expuestas a través de la suplantación, el malware(nueva ventana) o vulneraciones de datos externas.
La MFA funciona al requerir que los usuarios verifiquen su identidad a través de al menos dos factores independientes antes de obtener acceso a una cuenta. Estos incluyen:
- Algo que el usuario conoce (una contraseña)
- Algo que el usuario tiene (como una llave de seguridad, una aplicación de autenticación o un dispositivo móvil)
- Algo que el usuario es (autenticación biométrica como la huella digital o el reconocimiento facial).
Debido a que los atacantes rara vez tienen acceso a todos estos factores simultáneamente, la MFA reduce significativamente la probabilidad de que las credenciales robadas por sí solas puedan usarse para comprometer una cuenta.
Las directrices de organizaciones como el NIST y la CISA recomiendan encarecidamente(nueva ventana) el uso de la autenticación de múltiples factores siempre que se utilice el acceso basado en contraseñas, especialmente en sistemas que contienen datos confidenciales o proporcionan privilegios administrativos.
Integrar la MFA en su política de contraseñas
Su organización puede reforzar aún más la adopción de la MFA mediante el uso de herramientas que faciliten el despliegue y la gestión de la autenticación de dos factores en todas las cuentas. Por ejemplo, Proton Pass puede almacenar y realizar el completado automático de contraseñas de un solo uso (TOTP) junto con las credenciales guardadas, lo que simplifica los flujos de trabajo de inicio de sesión mientras mantiene los datos de autenticación cifrados.
Para las organizaciones que prefieren separar los factores de autenticación, Proton también ofrece una aplicación dedicada, Proton Authenticator, que genera códigos de verificación seguros de seis dígitos y puede sincronizarlos entre dispositivos mediante el cifrado de extremo a extremo. El autenticador funciona sin conexión y es de código abierto, lo que permite a las organizaciones implementar la MFA en las cuentas comerciales mientras mantienen la transparencia y sólidas protecciones de privacidad.
Prácticas seguras para compartir contraseñas
Aunque muchas pautas de seguridad aconsejan no compartir contraseñas en absoluto, los entornos empresariales del mundo real todavía lo requieren. Las cuentas de servicio, el acceso de proveedores y los procedimientos de emergencia pueden requerir ocasionalmente que varios usuarios autorizados accedan a las mismas credenciales.
Cuando el intercambio se produce de manera informal, como a través de correo electrónico, chat o comunicación verbal, las credenciales quedan expuestas y son difíciles de controlar. Una vez compartidas a través de estos canales, normalmente no existe una forma confiable de rastrear quién tiene acceso o de revocarlo más adelante.
Por lo tanto, las políticas de contraseñas deben definir cómo y cuándo se permite compartir. En la mayoría de las organizaciones, esto solo debe ocurrir a través de herramientas de gestión de credenciales aprobadas que proporcionen controles de acceso, auditorías y la capacidad de revocar el acceso cuando sea necesario.
Procedimientos de desvinculación y revocación de acceso
Cuando los empleados cambian de rol, abandonan la organización o terminan las relaciones con proveedores, el acceso se debe revisar y ajustar de inmediato. No revocar las credenciales a tiempo es una de las fuentes más comunes de acceso no autorizado.
Una política de contraseñas sólida debe integrarse con los procesos de incorporación y desvinculación, lo que garantiza que los privilegios de acceso se actualicen de inmediato para reflejar los cambios de rol o las salidas; esto incluye desactivar cuentas, rotar credenciales compartidas y revocar el acceso innecesario al sistema.
Si varias personas tenían acceso a una cuenta de servicio compartida, la contraseña se debe rotar tan pronto como ocurran cambios de personal para evitar que antiguos empleados o contratistas mantengan el acceso después de que sus cuentas hayan sido desactivadas.
Cerrar la brecha entre la política de contraseñas y los hábitos humanos
Las políticas de contraseñas solo son efectivas si las personas las cumplen.
En la mayoría de las organizaciones, las fallas no ocurren porque falten políticas, sino porque estas no están integradas en los flujos de trabajo diarios. Los empleados toman atajos cuando los procesos no son claros, las herramientas son inadecuadas o las expectativas no se refuerzan. Cuando se implementa correctamente (y en combinación con un gestor de contraseñas empresarial), una política de contraseñas sólida sustituye los hábitos informales por controles consistentes, reduce el riesgo relacionado con las credenciales y hace que la gestión del acceso seguro forme parte de las operaciones cotidianas, no simplemente como algo secundario.
