La forma en que trabajan las pequeñas y medianas empresas ha cambiado para siempre, pero también la forma en que son atacadas. Los equipos están distribuidos, las herramientas SaaS manejan todo, desde la nómina hasta la gestión de proyectos, y los contratistas y proveedores entran y salen de los sistemas de forma regular. Con cada nueva herramienta o empleado que puede acceder, aumenta la cantidad de posibles puntos de entrada.
Esa superficie de ataque en expansión es importante porque los ataques basados en credenciales, incluida la suplantación de identidad, la toma de control de la cuenta y el robo de contraseñas, se han convertido en una de las formas más comunes en que las empresas sufren vulneraciones. Funcionan precisamente porque el poder acceder se ha extendido, lo que hace que sea difícil de rastrear. Todo lo que un atacante tiene que hacer ahora es encontrar un conjunto válido de credenciales para eludir las defensas de su empresa.
En este contexto, debería ser alentador que más de la mitad de las pequeñas empresas ahora utilicen un gestor de contraseñas empresarial. Pero el SMB Cybersecurity Report 2026 de Proton, un estudio global de 3000 responsables de la toma de decisiones en pymes, descubrió que uno de cada cuatro aún experimentó una vulneración el año pasado.
Todo esto señala una brecha entre cómo se adoptan las herramientas y cómo se utilizan realmente.
Cómo las pymes utilizan los gestores de contraseñas en la actualidad
La mayoría de los gestores de contraseñas están diseñados para hacer bien una cosa: ayudarle a recordar su contraseña. En la práctica, eso significa crear contraseñas complejas y únicas y gestionarlas en una bóveda cifrada. Eso es significativamente mejor que la norma de reutilizar las mismas credenciales en cuentas y plataformas.
Pero dado que las contraseñas son el punto de entrada más fácil para un atacante, las pymes necesitan que los gestores de contraseñas hagan mucho más que simplemente resolver problemas de memoria y conveniencia. Lo necesitan para asegurar el poder acceder.
El poder acceder es una cuestión mucho más amplia. ¿Tienen las personas correctas las credenciales correctas? ¿Sabría qué desbloquean o si cayeron en las manos equivocadas? Y a medida que los equipos crecen, las suscripciones se acumulan y los contratistas entran y salen, las consideraciones de su organización deben pasar de simplemente fortalecer las contraseñas a tener en cuenta las amenazas de seguridad del mundo real.
Ese es el cambio que la mayoría de las empresas no hacen hasta que algo sale mal.
Dónde salen mal las implementaciones de los gestores de contraseñas
La idea clave de nuestro informe fue que las empresas que adoptan gestores de contraseñas no los utilizan de manera consistente.
Compartir credenciales de manera insegura aún persiste en tasas sorprendentemente altas:
- El 33 % las comparte en documentos compartidos u hojas de cálculo
- El 30 % comparte credenciales a través de correo electrónico
- El 27 % las comparte a través de aplicaciones de mensajería
- El 25 % las anota
- El 24 % las comparte verbalmente
Esa es una imagen de personas ocupadas que toman la ruta más rápida disponible en ese momento. En lugar de cambiar a la aplicación del gestor de contraseñas y compartir una nueva credencial en su bóveda adecuada, podrían pegarla en Slack o en un correo electrónico.
Las soluciones provisionales parecen inofensivas de forma aislada. Pero con el tiempo, las credenciales terminan dispersas en bandejas de entrada, historiales de chat y documentos compartidos de maneras que son difíciles de desenredar. Cuando un empleado se va, más tarde no puede revocar el poder acceder. Y actualizar contraseñas en cualquier momento después de una vulneración de datos se vuelve imposible a menos que esté almacenado en una ubicación segura y centralizada.
La capacitación para hacer cumplir las políticas de seguridad puede ayudar, pero nuestra investigación reveló que incluso eso no es suficiente…
Por qué la capacitación sobre concienciación de seguridad no es suficiente
Nuestro informe descubrió que el 39 % de las pymes ha experimentado un incidente de seguridad causado por error humano. Esa estadística es fácil de ser mal leída; la respuesta natural es asumir que empleados más cuidadosos significan menos incidentes.
Pero este planteamiento pasa por alto algo importante: Los sistemas de seguridad que dependen del comportamiento perfecto bajo la presión diaria siempre serán defraudados por la realidad. Los errores ocurren no porque a las personas no les importe; ocurren porque la opción segura a menudo exige más esfuerzo y tiempo del que la pyme típica puede permitirse. Incluso los equipos bien intencionados encontrarán soluciones provisionales cuando tienen recursos limitados.
La solución duradera no es más capacitación. Es diseñar sistemas donde la opción segura también sea la fácil.
Cuando compartir el poder acceder de manera segura no requiere más esfuerzo que dejar caer una contraseña en un mensaje de chat, las personas lo usarán.
Cuando el problema de acceder se sale de control
El problema de las credenciales se agrava a medida que crecen los equipos.
El ochenta y seis por ciento de las pymes ahora dependen de servicios en la nube para las operaciones diarias. Por lo general, eso significa que las credenciales se extienden a través de herramientas de gestión de proyectos, plataformas de finanzas, software de marketing, almacenamiento de archivos y sistemas de clientes, cada uno con sus propios permisos e historial de poder acceder.
El poder acceder no solo se dispersa por los sistemas; se extiende a través de la organización, fluyendo entre equipos, socios externos, contratistas y ex empleados que aún pueden conservar una forma de entrar.
Esto significa que en realidad, las credenciales se acumulan, el poder acceder antiguo sigue persistiendo y la cantidad de personas que tienen, o han tenido, las llaves de sus sistemas más confidenciales se escala más allá del seguimiento fácil.
Tener herramientas no es lo mismo que estar protegido
Las pymes que experimentaron vulneraciones el año pasado no estaban escatimando gastos: el 92 % invertía activamente en herramientas de seguridad. Tenían gestores de contraseñas, correo electrónico cifrado, programas de capacitación y políticas escritas en vigor. En otras palabras, sus configuraciones parecían sólidas en el papel.
Lo que a muchas les faltaba era una aplicación constante. La autenticación multifactor (MFA) estaba activada pero no era obligatoria, los gestores de contraseñas estaban desplegados pero no incrustados en los hábitos diarios, y los procesos de incorporación y desvinculación se manejaban de manera informal en lugar de sistemática. Sospechamos, dada la popularidad de los gestores de contraseñas de los navegadores, que muchos ni siquiera usaban una plataforma de equipo centralizada en absoluto, sino que dependían de un mosaico de opciones menos seguras de forma individual.
Cada una de estas es una pequeña brecha que permanece invisible hasta que deja de serlo.
La verdadera medida de una configuración de seguridad no es qué herramientas están en la lista, sino si esas herramientas se mantienen bajo la presión diaria de cómo trabaja realmente la gente.
A continuación le presentamos algunas prácticas que ayudarán a acercar esta realidad a su empresa:
- Use un gestor de contraseñas diseñado para equipos. Los gestores de contraseñas de navegador no solo son menos seguros, sino que no cuentan con las herramientas de administrador que los gerentes necesitan para mantener un control total de sus cuentas. A menos que tenga un gestor de contraseñas empresarial que sea fácil de usar, no será suficiente.
- Audite quién tiene acceso a qué actualmente. Revise las listas de usuarios en sus herramientas más confidenciales y si hay algún nombre que le sorprenda.
- Reemplace los inicios de sesión compartidos por cuentas individuales. Aunque es fácil compartir los inicios de sesión en un gestor de contraseñas, no es una buena práctica: los inicios de sesión compartidos reducen la visibilidad a nivel de cuenta, lo que hace más difícil identificar y reaccionar ante una vulneración.
- Haga de la autenticación multifactor un requisito. La MFA es una de las protecciones más efectivas disponibles, pero solo cuando se aplica por defecto, no cuando se deja como un ajuste opcional.
- Haga que las desvinculaciones sean sistemáticas. Toda salida, ya sea de un empleado, contratista o proveedor, debería desencadenar una revisión de acceso de inmediato en lugar de hacerlo a posteriori.
¿Desea saber qué más podría aprender de nuestra encuesta a 3000 líderes empresariales en seis mercados clave? Lea más en nuestro Informe de ciberseguridad para pymes de 2026. Aprenderá qué causa las vulneraciones y cuánto cuestan realmente, dónde se muestran con más frecuencia los errores humanos, y cómo la adopción de la nube y la IA están creando nuevos puntos ciegos. También incluye pasos prácticos para reforzar la protección de manera eficaz en condiciones del mundo real.
