Procedimientos 5 minutos de lectura

GESTIÓN DE CONTRASEÑAS Y AUTENTICACIÓN: LA FALSA SENSACIÓN DE SEGURIDAD

Introducción

La mayoría de brechas empiezan igual: credenciales comprometidas. Contraseñas recicladas, MFA ausente, gestores prohibidos “por seguridad”, y políticas heredadas de otra época.
Sin una gestión moderna de contraseñas y autenticación, todo lo demás es fachada.

Por qué importa

  • La identidad es el nuevo perímetro: si te suplantan, da igual tu firewall.
  • La reutilización y los password dumps hacen trivial el acceso no autorizado.
  • MFA mal implantado da sensación de control… sin control real.

Controles ISO/IEC 27002 relacionados

  • A.5.15–A.5.18: políticas de control de acceso, gestión de identidades, credenciales y revisión.
  • A.8.22: autenticación de usuarios (fortaleza y métodos).

Errores frecuentes

  • Políticas centradas en caducidades cortas en lugar de longitud + unicidad.
  • Prohibir gestores de contraseñas y fomentar notas y excels “temporales”.
  • MFA solo en VPN/administración, no en SaaS críticos.
  • Cuentas compartidas y de servicio sin control ni rotación.

Buenas prácticas esenciales

  • Contraseñas largas (mín. 12–14), únicas y generadas por gestor (no por personas).
  • MFA obligatorio en todo acceso crítico (admin, VPN, correo, SaaS clave).
  • Gestor corporativo (enterprise) con bóvedas y compartición controlada.
  • Bloqueo de fuerza bruta, detección de impossible travel y alertas de acceso.
  • Claves de API/servicio con rotación, least privilege y secrets management.

Checklist rápida

  1. ¿MFA en todos los accesos críticos?
  2. ¿Gestor corporativo implantado y usado por todos?
  3. ¿Política basada en longitud/unicidad, no en caducidad agresiva?
  4. ¿Cuentas de servicio con secretos rotados y permisos mínimos?
  5. ¿Alertas ante logins anómalos y listas de credenciales expuestas?

Herramientas recomendadas

  • Gestores: 1Password Business, Bitwarden Enterprise, LastPass Enterprise.
  • MFA/IdP: Azure AD/Entra, Okta, Duo.
  • Secrets: HashiCorp Vault, AWS Secrets Manager, Azure Key Vault.

Relación con otras áreas

  • Gestión de accesos: sin identidades sanas, el control es ilusorio.
  • Logs/SIEM: detectar usos sospechosos de credenciales.
  • Proveedores: exigir MFA y gestión de claves privadas a terceros.

Reflexión final

La contraseña perfecta no existe. La gestión perfecta se acerca: longitud, unicidad, gestor y MFA.

Conclusión

La seguridad no empieza en el perímetro: empieza en la identidad. Cada vez es más importante y necesario implantamos políticas y soluciones de autenticación modernas alineadas con por ejemplo la ISO/IEC 27002, o el ENS (Esquema Nacional de Seguridad).