La forma en que trabajan las pequeñas y medianas empresas ha cambiado para siempre, pero también lo ha hecho la forma en que son atacadas. Los equipos están distribuidos, las herramientas SaaS gestionan todo, desde las nóminas hasta la gestión de proyectos, y los contratistas y proveedores entran y salen de los sistemas con regularidad. Con cada nueva herramienta o empleado que pueda acceder, aumenta el número de posibles puntos de entrada.
Esa superficie de ataque en expansión es importante porque los ataques basados en credenciales, incluida la suplantación de identidad, la apropiación de cuentas y el robo de contraseñas, se han convertido en una de las formas más comunes en que las empresas sufren vulneraciones. Funcionan precisamente porque el hecho de acceder se ha extendido, lo que hace que sea difícil de rastrear. Todo lo que un atacante tiene que hacer ahora es encontrar un conjunto válido de credenciales para eludir las defensas de tu empresa.
En este contexto, debería ser alentador que más de la mitad de las pequeñas empresas usen ahora un gestor de contraseñas empresarial. Pero el Informe de ciberseguridad para pymes 2026 de Proton —un estudio global de 3.000 responsables de la toma de decisiones en pymes— descubrió que una de cada cuatro todavía sufrió una vulneración el año pasado.
Todo esto apunta a una brecha entre cómo se adoptan las herramientas y cómo se utilizan realmente.
Cómo usan hoy en día las pymes los gestores de contraseñas
La mayoría de los gestores de contraseñas están diseñados para hacer una cosa bien: ayudarte a recordar tu contraseña. En la práctica, eso significa crear contraseñas complejas y únicas y administrarlas en una caja fuerte cifrada. Eso es significativamente mejor que la norma de reutilizar las mismas credenciales en varias cuentas y plataformas.
Pero siendo las contraseñas el punto de entrada más fácil para un atacante, las pymes necesitan que los gestores de contraseñas hagan mucho más que solo resolver problemas de memoria y conveniencia. Necesitan que aseguren la capacidad de acceder.
Acceder es una cuestión mucho más amplia. ¿Tienen las personas adecuadas las credenciales adecuadas, y sabrías lo que desbloquean o si cayeron en las manos equivocadas? Y a medida que los equipos crecen, las suscripciones se acumulan y los contratistas entran y salen, las consideraciones de tu organización deben pasar de simplemente fortalecer las contraseñas a tener en cuenta las amenazas de seguridad del mundo real.
Ese es el cambio que la mayoría de las empresas no hacen hasta que algo sale mal.
Dónde fallan las implementaciones de los gestores de contraseñas
La idea clave de nuestro informe fue que las empresas que adoptan gestores de contraseñas no los usan de manera consistente.
El hecho de compartir credenciales de forma insegura aún persiste a tasas sorprendentemente altas:
- El 33 % las comparte en documentos compartidos u hojas de cálculo
- El 30 % comparte las credenciales por correo electrónico
- El 27 % las comparte a través de aplicaciones de mensajería
- El 25 % las anota
- El 24 % las comparte verbalmente
Esa es la imagen de personas ocupadas tomando la ruta más rápida disponible en ese momento. En lugar de cambiar a la aplicación del gestor de contraseñas y compartir una nueva credencial en su caja fuerte adecuada, podrían pegarla en Slack o en un correo electrónico.
Las soluciones temporales parecen inofensivas de forma aislada. Pero con el tiempo, las credenciales terminan dispersas en bandejas de entrada, historiales de chat y documentos compartidos de maneras que son difíciles de desenredar. Cuando un empleado se va, luego no puedes revocar el hecho de acceder. Y actualizar las contraseñas en cualquier momento después de una vulneración de datos se vuelve imposible a menos que esté almacenado en una ubicación segura centralizada.
La formación para hacer cumplir las políticas de seguridad puede ayudar, pero nuestra investigación reveló que ni siquiera eso es suficiente…
Por qué la formación en concienciación sobre seguridad no es suficiente
Nuestro informe descubrió que el 39 % de las pymes han experimentado un incidente de seguridad causado por un error humano. Esa estadística es fácil de malinterpretar; la respuesta natural es asumir que tener empleados más cuidadosos significa menos incidentes.
Pero este enfoque pasa por alto algo importante: Los sistemas de seguridad que dependen de un comportamiento perfecto bajo la presión diaria siempre se verán decepcionados por la realidad. Los errores no ocurren porque a la gente no le importe, ocurren porque la opción segura a menudo exige más esfuerzo y tiempo del que la pyme típica puede permitirse. Incluso los equipos con buenas intenciones encontrarán soluciones alternativas cuando tengan pocos recursos.
La solución duradera no es más formación. Es diseñar sistemas donde la opción segura también sea la fácil.
Cuando compartir la capacidad de acceder de forma segura no requiera más esfuerzo que dejar una contraseña en un mensaje de chat, la gente lo usará.
Cuando el problema de acceder se sale de control
El problema de las credenciales se agrava a medida que crecen los equipos.
El ochenta y seis por ciento de las pymes confían ahora en los servicios basados en la nube para sus operaciones diarias. Eso normalmente significa que las credenciales se extienden a través de herramientas de gestión de proyectos, plataformas de finanzas, software de marketing, almacenamiento de archivos y sistemas de clientes, cada uno con sus propios permisos e historial para acceder.
La capacidad de acceder no solo se dispersa a través de los sistemas; se extiende a través de la organización, fluyendo entre equipos, socios externos, contratistas y antiguos empleados que aún pueden conservar una vía de entrada.
Esto significa que, en realidad, las credenciales se acumulan, el hecho de acceder antiguo sigue persistiendo y el número de personas que tienen (o han tenido) las claves de tus sistemas más confidenciales aumenta más allá del fácil seguimiento.
Tener herramientas no es lo mismo que estar protegido
Las pymes que experimentaron vulneraciones el año pasado no estaban escatimando gastos: el 92 % invertía activamente en herramientas de seguridad. Tenían gestores de contraseñas, correo electrónico cifrado, programas de formación y políticas escritas en vigor. En otras palabras, sus configuraciones parecían sólidas sobre el papel.
Lo que a muchos les faltaba era una aplicación consistente. La autenticación de múltiples factores (MFA) estaba activada pero no era obligatoria, los gestores de contraseñas estaban desplegados pero no incrustados en los hábitos diarios, y los procesos de entrada y salida se manejaban informalmente en lugar de sistemáticamente. Sospechamos, dada la popularidad de los gestores de contraseñas del navegador, que muchos ni siquiera usaban una plataforma de equipo centralizada en absoluto; en su lugar, dependían de un mosaico de opciones menos seguras de forma individual.
Cada uno de estos es una pequeña brecha que permanece invisible hasta que deja de serlo.
La verdadera medida de una configuración de seguridad no es qué herramientas están en la lista, sino si esas herramientas se mantienen bajo la presión diaria de cómo trabaja la gente en realidad.
Aquí tienes algunas prácticas para ayudar a acercar esta realidad a tu empresa:
- Utiliza un gestor de contraseñas diseñado para equipos. Los gestores de contraseñas de navegador no solo son menos seguros, sino que tampoco tienen las herramientas de administrador que los gerentes necesitan para mantener un control total de tus cuentas. A menos que tengas un gestor de contraseñas corporativo que sea fácil de usar, no será suficiente.
- Audita quién tiene acceso actualmente a qué. Comprueba las listas de usuarios en tus herramientas más sensibles y mira si algún nombre te sorprende.
- Reemplaza los inicios de sesión compartidos por cuentas individuales. Aunque es fácil compartir inicios de sesión en un gestor de contraseñas, no es una buena práctica: los inicios de sesión compartidos reducen la visibilidad a nivel de cuenta, lo que dificulta identificar y reaccionar ante una vulneración.
- Haz que la autenticación multifactor sea un requisito. El MFA es una de las protecciones más eficaces disponibles, pero solo cuando se aplica por defecto, no cuando se deja como un ajuste opcional.
- Haz que la baja de empleados sea sistemática. Cada salida, ya sea de un empleado, contratista o proveedor, debería desencadenar una revisión de acceso inmediatamente y no como una idea de último momento.
¿Quieres saber qué más puedes aprender de nuestra encuesta a 3000 líderes empresariales de seis mercados clave? Lee más en nuestro Informe de ciberseguridad para pymes de 2026. Aprenderás qué causa las vulneraciones y cuánto cuestan realmente, dónde se muestran con más frecuencia los errores humanos, y cómo la adopción de la nube y la IA están creando nuevos puntos ciegos. También incluye pasos prácticos para reforzar la protección que se mantienen en condiciones del mundo real.
