Tu organización ya no puede permitirse dejar la seguridad de las contraseñas en manos de cada miembro del equipo. A pesar de sus buenas intenciones, los seres humanos recurren por defecto a hábitos cómodos pero arriesgados, como guardar las credenciales en navegadores, hojas de cálculo o notas adhesivas.
Una política de contraseñas sólida establece un estándar claro y exigible sobre cómo se crean, almacenan, comparten, revisan y protegen las contraseñas en toda tu organización. Una política moderna reduce el riesgo basado en credenciales, da soporte al cumplimiento y aporta coherencia a la seguridad del Acceso en todos los sistemas, equipos y flujos de trabajo.
Esto no es algo que las empresas puedan permitirse ignorar. El Informe de Investigaciones de Vulneraciones de Datos 2025 de Verizon reveló que el abuso de credenciales representó el 22 % de los principales vectores de ataque iniciales en vulneraciones confirmadas. El coste de una seguridad de credenciales deficiente también se manifiesta en interrupciones operativas, exposición regulatoria, daños a la reputación y el tiempo de inactividad prolongado que sigue cuando los equipos se apresuran para recuperar un Acceder perdido o comprometido.
Además de crear una política de contraseñas, tu organización necesita sistemas y herramientas que faciliten la adopción de hábitos seguros. Las reglas no bastan para garantizar la seguridad operativa porque, donde hay fricción, incluso los profesionales con mejores intenciones tomarán atajos. El objetivo es que la higiene de las contraseñas sea la ruta de menor resistencia.
La siguiente plantilla de política de contraseñas puede ayudar a que tu empresa se mantenga al día con las mejores prácticas actuales y las directrices alineadas con el NIST. Puedes adaptarla como una política interna, un manual de seguridad o un control de gobernanza para organizaciones que necesiten algo más práctico que un consejo general.
Plantilla de política de contraseñas (ejemplo)
| Sección | Requisito de la política (lenguaje de ejemplo) | Notas de implementación |
| Alcance | Esta política se aplica a todos los empleados, contratistas, proveedores y terceros que accedan a los sistemas o datos de la empresa mediante autenticación basada en contraseña. Cubre todos los sistemas, incluidas las plataformas SaaS, los servicios en la nube, las herramientas internas, los Puntos de conexión y los entornos administrativos. | Asegúrate de que ningún sistema o grupo de usuarios quede fuera del alcance. Incluye a los proveedores y los entornos compartidos. |
| Responsabilidades del usuario | Todos los usuarios deben crear, almacenar y administrar las contraseñas de acuerdo con esta política. Los usuarios no deben compartir credenciales, reutilizar contraseñas ni almacenarlas en ubicaciones no aprobadas. Cualquier sospecha de que se ha comprometido una credencial debe notificarse de inmediato. | Inclúyelo en la incorporación y en la formación sobre seguridad. |
| Responsabilidades de la dirección | Los responsables deben garantizar la comunicación oportuna de las incorporaciones, los cambios de rol y las bajas para permitir un control de Acceder adecuado y la actualización de las credenciales. | Vincúlalo a los flujos de trabajo de RR. HH. |
| Responsabilidades de TI y seguridad | Los equipos de TI y seguridad son responsables de hacer cumplir esta política, aprobar las herramientas de administración de contraseñas, realizar una monitorización del cumplimiento y responder a los incidentes relacionados con las credenciales. | Asigna una propiedad clara a nivel interno. |
| Longitud de la contraseña | Las contraseñas deben cumplir con las siguientes longitudes mínimas: 15 caracteres (cuentas estándar), 16 caracteres (cuentas con privilegios) y 20 caracteres (cuentas compartidas o de servicio siempre que sea viable). | Los sistemas deben dar soporte a contraseñas largas (idealmente de hasta 64 caracteres). |
| Creación de contraseñas | Las contraseñas deben generarse aleatoriamente utilizando el gestor de contraseñas para empresas aprobado por la organización. No se permiten contraseñas creadas por el usuario basadas en patrones, datos personales o estructuras predecibles. | Proton Pass for Business puede automatizar la creación de contraseñas aleatorias y seguras. |
| Unicidad de las contraseñas | Las contraseñas deben ser únicas para cada cuenta, sistema y servicio. Se prohíbe estrictamente la reutilización en sistemas de trabajo, cuentas personales o entornos de clientes. | Hazlo cumplir mediante herramientas y formación, no solo confiando en la memoria. |
| Prueba de robustez de contraseñas | Las contraseñas no deben ser débiles, ni estar reutilizadas, ni haber sido expuestas previamente en vulneraciones de datos conocidas. | Utiliza sistemas que den soporte a la detección de contraseñas expuestas en vulneraciones siempre que sea posible. |
| Prácticas prohibidas | Se prohíbe lo siguiente: reutilización de contraseñas; uso de términos relacionados con la persona o la empresa; patrones predecibles; almacenamiento de contraseñas en texto plano; compartir credenciales a través de correo electrónico, chat o notas. | Mantén esta sección explícita para eliminar ambigüedades. |
| Autenticación de múltiples factores (MFA) | El MFA debe estar activado en todos los sistemas que den soporte al mismo, especialmente para el correo electrónico, los proveedores de identidad, el acceso remoto, los sistemas financieros, las plataformas de RR. HH. y las cuentas administrativas. | Prioriza primero los sistemas de alto riesgo. |
| Almacenamiento de contraseñas | Todas las credenciales deben estar almacenadas únicamente en el gestor de contraseñas aprobado por la organización. No se permite el almacenamiento en navegadores o herramientas locales a menos que se administren centralmente y estén aprobados. | Proton Pass for Business proporciona cajas fuertes cifradas con Acceder controlado. |
| Métodos de almacenamiento prohibidos | Las contraseñas no deben estar almacenadas en hojas de cálculo, documentos, borradores de correo electrónico, sistemas de tickets, unidades de Drive compartidas ni notas personales. | Realiza auditorías periódicas para detectarlos, ya que son muy comunes. |
| Compartir contraseñas | Las contraseñas no deben compartirse a través de canales informales. En caso de que sea necesario compartirlas, debe hacerse mediante sistemas seguros aprobados que den soporte al control de Acceder, la auditoría y la revocación. | Proton Pass for Business permite compartir credenciales de forma segura sin exponer la propia contraseña. |
| Cuentas compartidas | Las credenciales de las cuentas de servicio o compartidas deben tener un propietario designado, acceso limitado, almacenamiento seguro y una revisión periódica. Las credenciales deben rotarse cuando se produzcan cambios de personal o se sospeche que se han podido comprometer. | Prioriza las cuentas individuales siempre que sea posible. |
| Formación y concienciación | Todos los usuarios deben completar una formación sobre seguridad de contraseñas y credenciales al incorporarse y de forma periódica a partir de entonces. La formación debe incluir la administración de contraseñas, el uso de MFA, la concienciación sobre la suplantación y la notificación de incidentes. | Mantén la formación práctica y actualizada. |
| Respuesta ante incidentes | Cualquier sospecha o confirmación de que las credenciales se han podido comprometer debe notificarse de inmediato. Las credenciales afectadas deben restablecerse, las sesiones deben ser revocadas y el acceso revisado. Los incidentes deben documentarse. | La velocidad de respuesta importa más que la perfección. |
| Requisitos de notificación | Los usuarios deben informar de cualquier sospecha de exposición de credenciales a través del canal de notificación designado. No se derivará ninguna acción disciplinaria de las notificaciones realizadas de buena fe. | Fomenta la notificación temprana. |
| Monitorización y registro | La actividad de autenticación debe quedar en un registro siempre que sea factible, incluidos los intentos de inicio de sesión, los cambios de credenciales y el acceso privilegiado. Los registros deben revisarse periódicamente en busca de anomalías. | Céntrate primero en los sistemas de alto riesgo. |
| Bajas y revocación de acceso | Al cambiar de rol o al finalizar el contrato, el acceso debe eliminarse de inmediato. Las credenciales compartidas deben revisarse y rotarse cuando sea necesario. | Esencial, ya que este es uno de los puntos de fallo más comunes para las organizaciones. |
| Alineación con el cumplimiento | Esta política respalda el cumplimiento de la organización con marcos reconocidos como los requisitos de control de acceso de NIST e ISO 27001. | Útil para auditorías y gobernanza. |
| Cumplimiento | El incumplimiento de esta política puede dar lugar a una nueva formación, restricciones de acceso o medidas disciplinarias en función de la gravedad. | Aplícala de forma coherente. |
| Ciclo de revisión | Esta política debe revisarse al menos una vez al año o tras cambios significativos en los sistemas, los riesgos o los requisitos normativos. | Asigna un responsable para las actualizaciones. |
¿Qué es una política de contraseñas? Definición, propósito y objetivos
Una política de contraseñas es un conjunto formal de reglas que define cómo se crean, administran, almacenan y protegen las credenciales en los sistemas de una organización.
El concepto de política de contraseñas parece sencillo, pero su impacto es amplio. Es mucho más que obligar a usar un gestor de contraseñas empresarial para las credenciales de trabajo. En las organizaciones modernas, las políticas de contraseñas sirven como base de la seguridad de la identidad.
Sin una política coherente que regule cómo se manejan las credenciales en los sistemas, las prácticas de contraseñas tienden a fragmentarse y las organizaciones pierden gradualmente visibilidad sobre cómo se está gestionando realmente el acceso.
El propósito de una política de contraseñas sólida
Una política de contraseñas bien definida aborda las brechas de seguridad estableciendo expectativas claras sobre cómo deben manejarse las credenciales en tu organización. Establece estándares coherentes para la creación, el almacenamiento, el intercambio y la gestión del ciclo de vida de las contraseñas.
Las políticas de contraseñas también desempeñan un papel importante en la gobernanza y el cumplimiento. Los marcos de seguridad, como las Directrices de Identidad Digital del NIST(ventana nueva) y estándares como ISO 27001(ventana nueva), subrayan la importancia de unas prácticas de autenticación sólidas como parte del control de acceso moderno.
A las organizaciones que manejan datos sensibles, en particular información personal, registros financieros o información comercial propia, se les exige cada vez más que demuestren que el acceso a esos sistemas se rige por controles de seguridad documentados.
Con una política de contraseñas, tu organización define los requisitos mínimos para crear, almacenar, compartir y administrar las contraseñas utilizadas para acceder a los sistemas, servicios, dispositivos, aplicaciones y datos de la empresa.
¿Qué debe hacer una política de contraseñas?
Un documento de política de contraseñas tiene como objetivo:
- Reducir los incidentes de seguridad relacionados con las contraseñas
- Evitar la reutilización de contraseñas y las prácticas de almacenamiento inseguras
- Exigir prácticas seguras de creación y administración de contraseñas
- Dar soporte al acceso seguro de empleados, proveedores y sistemas
- Reforzar la preparación para auditorías y la gobernanza del acceso
- Definir procedimientos de respuesta para credenciales comprometidas
Juntos, estos objetivos ayudan a garantizar que la seguridad de las contraseñas se trate como un estándar operativo en lugar de una expectativa informal.
Política de contraseñas: alcance, roles y responsabilidades
Una política de contraseñas sólida debe dejar claras dos cosas. En primer lugar, debe definir de forma nítida qué usuarios, sistemas y datos deben adherirse a la política.
En segundo lugar, debe aclarar quién es responsable de seguir, implementar y mantener esos estándares en toda tu organización.
Define el alcance de tu política de contraseñas
En las organizaciones modernas, el acceso rara vez se limita a los empleados a tiempo completo en las redes internas. Es posible que contratistas, vendedores y proveedores de servicios necesiten acceder a los sistemas corporativos, por lo que la política debe extenderse a todas las personas que interactúen con los sistemas o datos de la empresa mediante una autenticación basada en contraseña.
También debe aplicarse a todo el entorno tecnológico, incluyendo:
- Plataformas en la nube
- Herramientas SaaS
- Sistemas internos
- Entornos de desarrollo
- Consolas de administración
- Cuentas operativas compartidas
Esto es importante porque los atacantes rara vez distinguen entre sistemas principales y secundarios al buscar puntos de entrada.
Define roles y responsabilidades dentro de tu política de contraseñas
Sin una propiedad clara, la administración de contraseñas se fragmenta. Los empleados asumen que el departamento de TI se encarga de la seguridad automáticamente, mientras que TI asume que los usuarios siguen las mejores prácticas de forma independiente. La seguridad eficaz de las credenciales requiere coordinación en toda tu organización.
Mientras que los empleados y contratistas mantienen la seguridad de las contraseñas en sus interacciones diarias con los sistemas, los gerentes supervisan la gobernanza del acceso durante la incorporación, los cambios de rol y la desvinculación. Los equipos de TI y seguridad serán responsables de implementar los controles técnicos y de la monitorización del cumplimiento. Los propietarios de los sistemas también garantizarán que se apliquen los estándares dentro de las aplicaciones y entornos que administran.
Directrices de la política de contraseñas sobre la longitud mínima de la contraseña y los requisitos de entropía
La longitud de la contraseña es uno de los factores más importantes para determinar la solidez de una credencial. Las contraseñas más largas aumentan drásticamente el número de combinaciones posibles que un atacante tendría que probar durante un ataque de fuerza bruta.
De hecho, el NIST recomienda(ventana nueva) priorizar la longitud de la contraseña sobre las reglas estrictas de composición. En lugar de obligar a los usuarios a incluir combinaciones específicas de símbolos, números y letras mayúsculas, las políticas modernas se centran en garantizar que las contraseñas sean lo suficientemente largas y se contrasten con credenciales comprometidas conocidas.
En consecuencia, las organizaciones también deben asegurarse de que sus sistemas admitan contraseñas más largas y complejas siempre que sea técnicamente factible. Al hacerlo, los equipos de seguridad pueden adoptar estándares de credenciales más sólidos con el tiempo y garantizar que tu organización esté preparada para cumplir con los requisitos de seguridad en constante evolución.
Una contraseña robusta debe cumplir o superar estos requisitos clave:
- Longitud suficiente para resistir intentos de descifrado automatizados y de fuerza bruta
- Única para cada cuenta o servicio, lo que evita la reutilización de credenciales en varios sistemas
- Difícil de adivinar, evitando información personal, referencias de la empresa o patrones predecibles
- Aleatoria o altamente impredecible, idealmente generada por un gestor de contraseñas aprobado
- Que no haya sido expuesta previamente en filtraciones de datos conocidas ni esté presente en listas de contraseñas comunes
Ten en cuenta que las contraseñas basadas en nombres, cumpleaños, términos de la empresa o patrones de teclado sencillos a menudo pueden descifrarse rápidamente mediante herramientas automatizadas, independientemente de su longitud. Consulta nuestra guía detallada sobre los requisitos de contraseñas robustas tanto para particulares como para empresas.
Aleatoriedad y complejidad de las contraseñas
Los marcos de seguridad modernos recomiendan generar contraseñas de forma aleatoria en lugar de pedir a los usuarios que las inventen manualmente. Las contraseñas aleatorias generadas por herramientas de administración de contraseñas aprobadas proporcionan una protección significativamente mayor porque evitan patrones predecibles y pueden crearse con longitudes que resultan imposibles de recordar.
Por ejemplo, puedes utilizar el generador de contraseñas seguras y las prácticas de administración de credenciales seguras integradas en Proton Pass. Juntas, estas herramientas ayudan a generar contraseñas sólidas e impredecibles al tiempo que abordan desafíos comunes relacionados con el almacenamiento, el intercambio y la gestión del ciclo de vida de las contraseñas.
Se pueden incluir los siguientes requisitos mínimos en una política de contraseñas para desincentivar el uso de contraseñas débiles o reutilizadas:
- Las contraseñas de las cuentas de usuario estándar deben tener al menos 15 caracteres.
- Las contraseñas de las cuentas de administrador o privilegiadas deben tener al menos 16 caracteres.
- Las credenciales de las cuentas compartidas o de servicio deben tener al menos 20 caracteres cuando sea técnicamente factible.
- Los sistemas deben admitir contraseñas de al menos 64 caracteres siempre que sea posible.
- Se pueden utilizar frases de contraseña largas donde sea posible y apropiado.
- Las contraseñas deben cumplir con los requisitos de solidez y detección aprobados por la organización antes de su uso.
Uso de contraseñas únicas por sistema o servicio
La reutilización de contraseñas es una de las causas más comunes de incidentes de seguridad basados en credenciales. Cuando se utiliza la misma contraseña en varios servicios, una sola vulneración puede exponer el acceso a varios sistemas a la vez.
Los atacantes explotan habitualmente este comportamiento utilizando una técnica conocida como relleno de credenciales (credential stuffing), en la que los nombres de usuario y las contraseñas robados de un servicio se prueban automáticamente en otras plataformas.
Por esta razón, la exclusividad es un requisito no negociable. Cada cuenta, servicio y sistema debe tener su propia contraseña que nunca se reutilice en otro lugar.
Gestionar decenas o cientos de contraseñas únicas sería poco realista sin el soporte de herramientas de gestión de contraseñas seguras. Las herramientas de gestión de contraseñas para empresas hacen que este requisito sea práctico al generar contraseñas seguras automáticamente y almacenarlas de forma segura, lo que permite a los empleados mantener credenciales únicas sin depender de la memoria.
Requisitos de autenticación de múltiples factores (MFA)
La autenticación de múltiples factores (MFA) es una de las formas más efectivas de reducir el riesgo de acceso no autorizado, particularmente en entornos donde las credenciales pueden estar expuestas a través de la suplantación de identidad, el malware(ventana nueva) o vulneraciones de datos externas.
La MFA funciona requiriendo que los usuarios verifiquen su identidad a través de al menos dos factores independientes antes de obtener acceso a una cuenta. Estos incluyen:
- Algo que el usuario sabe (una contraseña)
- Algo que tiene (como una llave de seguridad, una aplicación de autenticación o un dispositivo móvil)
- Algo que es (autenticación biométrica como la huella digital o el reconocimiento facial)
Debido a que los atacantes rara vez tienen acceso a todos estos factores simultáneamente, la MFA reduce significativamente la probabilidad de que las credenciales robadas por sí solas puedan usarse para comprometer una cuenta.
Las directrices de organizaciones como el NIST y la CISA fomentan encarecidamente(ventana nueva) el uso de la autenticación de múltiples factores siempre que se utilice el acceso basado en contraseñas, especialmente para sistemas que contienen datos confidenciales o proporcionan privilegios administrativos.
Integrar la MFA en tu política de contraseñas
Tu organización puede reforzar aún más la adopción de la MFA utilizando herramientas que faciliten el despliegue y la administración de la autenticación de dos factores en todas las cuentas. Por ejemplo, Proton Pass puede almacenar y rellenar automáticamente contraseñas de un solo uso (TOTP) junto con las credenciales guardadas, lo que simplifica los flujos de inicio de sesión mientras mantienes los datos de autenticación cifrados.
Para las organizaciones que prefieren separar los factores de autenticación, Proton también ofrece una aplicación Proton Authenticator dedicada, que genera códigos de verificación seguros de seis dígitos y puede sincronizarlos entre dispositivos mediante cifrado de extremo a extremo. El autenticador funciona sin conexión y es de código abierto, lo que permite a las organizaciones implementar la MFA en sus cuentas comerciales manteniendo la transparencia y sólidas protecciones de privacidad.
Prácticas seguras para compartir contraseñas
Aunque muchas directrices de seguridad desaconsejan compartir contraseñas por completo, los entornos empresariales del mundo real aún lo requieren. Las cuentas de servicio, el acceso de proveedores y los procedimientos de emergencia pueden requerir ocasionalmente que varios usuarios autorizados accedan a las mismas credenciales.
Cuando el intercambio se produce de forma informal, como a través de correo electrónico, chat o comunicación verbal, las credenciales quedan expuestas y son difíciles de controlar. Una vez compartidas a través de estos canales, normalmente no hay una forma fiable de rastrear quién tiene acceso o revocarlo más adelante.
Por lo tanto, las políticas de contraseñas deben definir cómo y cuándo se permite compartir. En la mayoría de las organizaciones, esto solo debería ocurrir a través de herramientas de administración de credenciales aprobadas que proporcionen controles de acceso, auditoría y la capacidad de revocar el acceso cuando sea necesario.
Procedimientos de baja y de revocación de acceso
Cuando los empleados cambian de rol, abandonan la organización o terminan las relaciones con proveedores, el acceso se debe revisar y ajustar de inmediato. No revocar las credenciales a tiempo es una de las fuentes más comunes de acceso no autorizado.
Una política de contraseñas sólida debe integrarse con los procesos de alta y baja, garantizando que los privilegios de acceso se actualicen de inmediato para reflejar los cambios de rol o las salidas, lo que incluye desactivar cuentas, rotar las credenciales compartidas y revocar el acceso innecesario al sistema.
Si varias personas tenían acceso a una cuenta de servicio compartida, la contraseña se debe rotar tan pronto como se produzcan cambios de personal para evitar que antiguos empleados o contratistas mantengan el acceso después de que se hayan desactivado sus cuentas.
Cierra la brecha entre la política de contraseñas y los hábitos humanos
Las políticas de contraseñas solo son efectivas si la gente las cumple.
En la mayoría de las organizaciones, los fallos no ocurren porque falten políticas; ocurren porque las políticas no están integradas en los flujos de trabajo diarios. Los empleados buscan atajos cuando los procesos no están claros, las herramientas son inadecuadas o las expectativas no se refuerzan. Cuando se implementa correctamente (y en combinación con un gestor de contraseñas para empresas), una política de contraseñas sólida sustituye los hábitos informales por controles consistentes, reduce el riesgo relacionado con las credenciales y hace que la administración segura del acceso forme parte de las operaciones diarias, y no sea solo algo secundario.
