Tabla periódica financiera

Ciberseguridad · elemento 59

Gestor

Contraseñas únicas

En una frase

Un gestor de contraseñas genera y guarda una contraseña única y fuerte para cada cuenta, de manera que solo tienes que recordar una contraseña maestra y dejas de reutilizar la misma clave en todas partes.

Qué significa

Un gestor de contraseñas es una aplicación que guarda tus credenciales en una caja fuerte cifrada.

Te permite:

  • Crear contraseñas largas y aleatorias.
  • Guardarlas de manera cifrada.
  • Rellenarlas automáticamente cuando entras en una web o app.
  • Tener una contraseña distinta para cada servicio.
  • Recordar solo una contraseña maestra.
  • Detectar webs falsas si el gestor no reconoce el dominio.

El problema que resuelve es muy real: hoy una persona puede tener decenas o cientos de cuentas. Es imposible recordar una contraseña fuerte y distinta para cada una. Por eso mucha gente reutiliza la misma contraseña o pequeñas variaciones.

Y ahí empieza el riesgo. Si una tienda, foro, app o servicio menor sufre una filtración y tú tenías ahí la misma contraseña que en el correo, el banco o el bróker, el problema deja de ser pequeño.

Hábitos habituales y riesgo

HábitoProblema
Usar la misma contraseña en todas partesSi se filtra en un sitio, puede abrir muchas otras cuentas
Hacer pequeñas variacionesSi alguien detecta el patrón, puede probarlo fácilmente
Contraseñas cortas o previsiblesSe pueden adivinar o romper con más facilidad
Guardarlas en una nota del móvilNo siempre está cifrada ni bien protegida
Enviarlas por WhatsApp o correoQuedan expuestas y difíciles de controlar
Apuntarlas en papeles desordenadosSe pierden, se ven o quedan desactualizadas

La regla es sencilla:

Una contraseña única para cada cuenta importante.

Y eso, en la práctica, solo es sostenible con un gestor.

Por qué es importante

Importa porque muchas filtraciones de datos no dependen de ti. Quizá tú tienes cuidado, pero una empresa donde te registraste hace años puede sufrir una brecha de seguridad.

Cuando eso pasa, los atacantes no prueban esa contraseña solo en ese servicio. La prueban automáticamente en otros sitios: correo, redes sociales, compras, banca, plataformas de inversión o servicios con tarjetas guardadas. Esta técnica se llama relleno de credenciales (credential stuffing).

Un gestor de contraseñas rompe esa cadena: si se filtra la contraseña de un servicio menor, solo afecta a ese servicio.

También ayuda contra el phishing. Si entras en una web falsa que imita a tu banco, el gestor puede no rellenar la contraseña porque el dominio no coincide. Eso es un aviso útil: quizá no estás donde crees que estás.

Qué debe tener un buen sistema

No hace falta buscar la perfección. Hay que tener un sistema robusto y sostenible.

PiezaRecomendación
Gestor de contraseñasReputado, actualizado y con buen historial de seguridad
Contraseña maestraLarga, única y memorable
2FA en el gestorImprescindible
Códigos de recuperaciónGuardados en un sitio seguro
Contraseñas de las cuentasÚnicas y generadas por el gestor
Revisión periódicaComprobar cuentas críticas y contraseñas expuestas
PasskeysActivarlas cuando el servicio lo permita

La contraseña maestra es la llave del cofre. Tiene que ser larga y única. Puede ser una frase que recuerdes bien, no necesariamente una combinación imposible de símbolos.

Ejemplo de lógica:

CuatroPalabrasLargasQueRecuerdo!

No reutilices esa contraseña en ningún otro sitio.

Opciones de gestor

Hay varios tipos de gestores. No hace falta que todo el mundo elija el mismo.

TipoVentajaInconveniente
Gestor en la nubeCómodo, sincroniza dispositivosDependes del proveedor
Gestor localMás control y privacidadRequiere más conocimiento y copias
Gestor del navegador o sistema operativoMuy fácil de usarLigado a un ecosistema
Gestor familiarPermite compartir accesos de manera seguraHay que configurar bien los permisos
PasskeysMuy cómodas y segurasTodavía no disponibles en todas partes

Ejemplos conocidos de gestores son Bitwarden, 1Password, Proton Pass, KeePassXC o los gestores integrados de Apple, Google o Microsoft. Lo importante es que el sistema sea seguro, esté actualizado y que realmente lo uses, más que la marca concreta.

Cómo aplicarlo hoy

Empieza por el correo electrónico principal: es la puerta de recuperación de muchas otras cuentas. Después continúa por orden de riesgo:

  1. Gestor de contraseñas.
  2. Correo principal.
  3. Banca online.
  4. Bróker o roboadvisor.
  5. Cuenta del móvil y nube.
  6. Compras con tarjetas guardadas.
  7. Redes sociales.
  8. Resto de servicios.

No hace falta migrar todas las contraseñas en un día: puedes hacerlo progresivamente. Cada vez que entres en un servicio importante, cambia la contraseña por una nueva generada por el gestor.

Activa también el doble factor de autenticación en el gestor. Si el gestor guarda las llaves de casa, el propio gestor tiene que estar muy bien protegido.

Guarda los códigos de recuperación en un sitio seguro: impresos, en una caja, en un documento cifrado o en un espacio separado del dispositivo principal.

Errores comunes

  • Reutilizar la misma contraseña en servicios financieros y no financieros.
  • Usar una contraseña maestra corta o fácil de adivinar.
  • No activar 2FA en el gestor de contraseñas.
  • Guardar los códigos de recuperación dentro del mismo sitio que depende de esos códigos.
  • Compartir contraseñas por WhatsApp, correo o notas sin cifrar.
  • Cambiar contraseñas solo cuando hay un problema.
  • No revisar alertas de contraseñas filtradas.
  • Pensar que tener un gestor elimina todo riesgo. El gestor reduce mucho el riesgo, pero sigue siendo necesario vigilar phishing, dispositivos infectados y 2FA.

Vinculado con

Recursos

📚 OSI — Contraseñas seguras y gestores. Guía oficial (INCIBE): recomienda contraseñas fuertes y únicas, y explica que los gestores permiten generar claves aleatorias sin tener que recordarlas ni reutilizarlas.

📚 INCIBE — Línea de ayuda 017. Teléfono gratuito y confidencial para dudas e incidentes de ciberseguridad.

📚 NIST — Digital Identity Guidelines (SP 800-63B). Refuerza que la contraseña maestra debe ser sobre todo larga, más que llena de reglas artificiales de símbolos y mayúsculas.

📚 Banco de España — Consejos de seguridad. Buenas prácticas para proteger el acceso a la banca digital.


Una contraseña única por cuenta rompe el efecto cadena cuando una contraseña se filtra.


← Volver a la tabla