Ciberseguridad · elemento 59
Gestor
Contraseñas únicas
En una frase
Un gestor de contraseñas genera y guarda una contraseña única y fuerte para cada cuenta, de manera que solo tienes que recordar una contraseña maestra y dejas de reutilizar la misma clave en todas partes.
Qué significa
Un gestor de contraseñas es una aplicación que guarda tus credenciales en una caja fuerte cifrada.
Te permite:
- Crear contraseñas largas y aleatorias.
- Guardarlas de manera cifrada.
- Rellenarlas automáticamente cuando entras en una web o app.
- Tener una contraseña distinta para cada servicio.
- Recordar solo una contraseña maestra.
- Detectar webs falsas si el gestor no reconoce el dominio.
El problema que resuelve es muy real: hoy una persona puede tener decenas o cientos de cuentas. Es imposible recordar una contraseña fuerte y distinta para cada una. Por eso mucha gente reutiliza la misma contraseña o pequeñas variaciones.
Y ahí empieza el riesgo. Si una tienda, foro, app o servicio menor sufre una filtración y tú tenías ahí la misma contraseña que en el correo, el banco o el bróker, el problema deja de ser pequeño.
Hábitos habituales y riesgo
| Hábito | Problema |
|---|---|
| Usar la misma contraseña en todas partes | Si se filtra en un sitio, puede abrir muchas otras cuentas |
| Hacer pequeñas variaciones | Si alguien detecta el patrón, puede probarlo fácilmente |
| Contraseñas cortas o previsibles | Se pueden adivinar o romper con más facilidad |
| Guardarlas en una nota del móvil | No siempre está cifrada ni bien protegida |
| Enviarlas por WhatsApp o correo | Quedan expuestas y difíciles de controlar |
| Apuntarlas en papeles desordenados | Se pierden, se ven o quedan desactualizadas |
La regla es sencilla:
Una contraseña única para cada cuenta importante.
Y eso, en la práctica, solo es sostenible con un gestor.
Por qué es importante
Importa porque muchas filtraciones de datos no dependen de ti. Quizá tú tienes cuidado, pero una empresa donde te registraste hace años puede sufrir una brecha de seguridad.
Cuando eso pasa, los atacantes no prueban esa contraseña solo en ese servicio. La prueban automáticamente en otros sitios: correo, redes sociales, compras, banca, plataformas de inversión o servicios con tarjetas guardadas. Esta técnica se llama relleno de credenciales (credential stuffing).
Un gestor de contraseñas rompe esa cadena: si se filtra la contraseña de un servicio menor, solo afecta a ese servicio.
También ayuda contra el phishing. Si entras en una web falsa que imita a tu banco, el gestor puede no rellenar la contraseña porque el dominio no coincide. Eso es un aviso útil: quizá no estás donde crees que estás.
Qué debe tener un buen sistema
No hace falta buscar la perfección. Hay que tener un sistema robusto y sostenible.
| Pieza | Recomendación |
|---|---|
| Gestor de contraseñas | Reputado, actualizado y con buen historial de seguridad |
| Contraseña maestra | Larga, única y memorable |
| 2FA en el gestor | Imprescindible |
| Códigos de recuperación | Guardados en un sitio seguro |
| Contraseñas de las cuentas | Únicas y generadas por el gestor |
| Revisión periódica | Comprobar cuentas críticas y contraseñas expuestas |
| Passkeys | Activarlas cuando el servicio lo permita |
La contraseña maestra es la llave del cofre. Tiene que ser larga y única. Puede ser una frase que recuerdes bien, no necesariamente una combinación imposible de símbolos.
Ejemplo de lógica:
CuatroPalabrasLargasQueRecuerdo!
No reutilices esa contraseña en ningún otro sitio.
Opciones de gestor
Hay varios tipos de gestores. No hace falta que todo el mundo elija el mismo.
| Tipo | Ventaja | Inconveniente |
|---|---|---|
| Gestor en la nube | Cómodo, sincroniza dispositivos | Dependes del proveedor |
| Gestor local | Más control y privacidad | Requiere más conocimiento y copias |
| Gestor del navegador o sistema operativo | Muy fácil de usar | Ligado a un ecosistema |
| Gestor familiar | Permite compartir accesos de manera segura | Hay que configurar bien los permisos |
| Passkeys | Muy cómodas y seguras | Todavía no disponibles en todas partes |
Ejemplos conocidos de gestores son Bitwarden, 1Password, Proton Pass, KeePassXC o los gestores integrados de Apple, Google o Microsoft. Lo importante es que el sistema sea seguro, esté actualizado y que realmente lo uses, más que la marca concreta.
Cómo aplicarlo hoy
Empieza por el correo electrónico principal: es la puerta de recuperación de muchas otras cuentas. Después continúa por orden de riesgo:
- Gestor de contraseñas.
- Correo principal.
- Banca online.
- Bróker o roboadvisor.
- Cuenta del móvil y nube.
- Compras con tarjetas guardadas.
- Redes sociales.
- Resto de servicios.
No hace falta migrar todas las contraseñas en un día: puedes hacerlo progresivamente. Cada vez que entres en un servicio importante, cambia la contraseña por una nueva generada por el gestor.
Activa también el doble factor de autenticación en el gestor. Si el gestor guarda las llaves de casa, el propio gestor tiene que estar muy bien protegido.
Guarda los códigos de recuperación en un sitio seguro: impresos, en una caja, en un documento cifrado o en un espacio separado del dispositivo principal.
Errores comunes
- Reutilizar la misma contraseña en servicios financieros y no financieros.
- Usar una contraseña maestra corta o fácil de adivinar.
- No activar 2FA en el gestor de contraseñas.
- Guardar los códigos de recuperación dentro del mismo sitio que depende de esos códigos.
- Compartir contraseñas por WhatsApp, correo o notas sin cifrar.
- Cambiar contraseñas solo cuando hay un problema.
- No revisar alertas de contraseñas filtradas.
- Pensar que tener un gestor elimina todo riesgo. El gestor reduce mucho el riesgo, pero sigue siendo necesario vigilar phishing, dispositivos infectados y 2FA.
Vinculado con
Recursos
📚 OSI — Contraseñas seguras y gestores. Guía oficial (INCIBE): recomienda contraseñas fuertes y únicas, y explica que los gestores permiten generar claves aleatorias sin tener que recordarlas ni reutilizarlas.
📚 INCIBE — Línea de ayuda 017. Teléfono gratuito y confidencial para dudas e incidentes de ciberseguridad.
📚 NIST — Digital Identity Guidelines (SP 800-63B). Refuerza que la contraseña maestra debe ser sobre todo larga, más que llena de reglas artificiales de símbolos y mayúsculas.
📚 Banco de España — Consejos de seguridad. Buenas prácticas para proteger el acceso a la banca digital.
Una contraseña única por cuenta rompe el efecto cadena cuando una contraseña se filtra.
← Volver a la tabla