En casi cualquier PyME, las contraseñas viven en lugares que asustarían a un auditor: un archivo Excel llamado “claves.xlsx” en la carpeta compartida, un papel pegado al monitor de recepción, un chat de WhatsApp con la contadora donde alguna vez alguien mandó el password del home banking, o la memoria del empleado que se fue hace dos meses y nadie se animó a cambiar nada porque “algo se va a romper”.
Ese sistema aguantó veinte años porque la cantidad de contraseñas que manejaba una empresa era acotada. Hoy una PyME típica tiene veinte, treinta o cincuenta accesos distintos: ERP, correo, home banking, AFIP, hosting del sitio, dominio, router, cámaras, antivirus, Microsoft 365, panel de facturación electrónica, redes sociales, WhatsApp Business. La cuenta no cierra más con la memoria, el Excel ni el papel.
Por qué falla el sistema actual
Tres problemas aparecen, tarde o temprano, en toda empresa que no usa un gestor.
Contraseñas repetidas. Cuando hay que recordarlas, la gente reutiliza. La misma clave que protege el correo personal protege el home banking de la empresa. Si cualquiera de los servicios sufre una filtración (algo que pasa seguido y está documentado en sitios como haveibeenpwned.com), los atacantes prueban esa clave en todos los demás servicios. Se llama “credential stuffing” y funciona porque la reutilización es la norma.
Claves que se filtran sin querer. La captura de pantalla que alguien compartió por WhatsApp, el mail donde se “mandaron las claves al nuevo empleado”, el Excel que quedó en una carpeta pública por error. Cada una de esas situaciones es una clave expuesta que difícilmente se cambia después. Queda activa, a veces durante años.
Accesos que no se revocan. Cuando alguien deja la empresa, rara vez se cambian todas las claves a las que tenía acceso. Las de uso compartido, sobre todo, quedan igual. Un ex empleado con acceso al ERP o al panel de administración del sitio es un riesgo latente que nadie mide.
Los tres problemas se resuelven con la misma herramienta.
Qué hace un gestor de contraseñas
Un gestor es una “caja fuerte digital” cifrada con una única contraseña maestra. Adentro se guardan todas las demás claves. El usuario solo memoriza la maestra; el gestor hace el resto: las completa automáticamente cuando entra a cada sitio, las genera al azar con la longitud y complejidad que corresponde, y avisa cuando detecta que una clave se filtró en alguna base de datos pública.
Las tres ventajas prácticas:
– Claves únicas por servicio, todas largas y aleatorias. Ya no hay que recordar: se genera una y se guarda.
– Compartir selectivamente. Se puede compartir la clave del home banking con la contadora y la del router con el técnico, sin que ninguno vea las del otro. Si alguien se va, se revoca el acceso y listo.
– Auditoría: el gestor muestra qué contraseñas están repetidas, cuáles son débiles y cuáles aparecieron en filtraciones conocidas. Es un diagnóstico gratis.
Las opciones que tienen sentido en una PyME
Tres nombres cubren prácticamente todos los casos:
Bitwarden es el más recomendable para la mayoría. Tiene versión gratis muy completa para uso personal y planes para equipos desde pocos dólares por usuario al mes. Es software libre, auditado, con apps para Windows, Mac, Linux, Android, iOS y extensiones para todos los navegadores. El servidor también se puede autoalojar si la empresa tiene razones para no depender de un proveedor externo.
1Password es la opción pulida comercialmente. Interfaz más trabajada, excelente soporte para equipos. Paga desde el primer usuario pero con buena relación calidad-precio para empresas que priorizan experiencia de usuario.
KeePassXC es 100% libre, gratuito y funciona localmente (la base se guarda en un archivo que uno sincroniza por cuenta propia). Es la opción para quien no quiere depender de ningún servicio externo. El costo es más trabajo de administración.
Los gestores del navegador (Chrome, Firefox) y de Apple (Keychain) son útiles para uso personal pero no alcanzan para una empresa: no permiten compartir de forma controlada, no tienen políticas, y atan todo a una cuenta individual.
Las objeciones típicas y por qué no se sostienen
“Si me olvido la contraseña maestra, pierdo todo.”
Es cierto en parte. Por eso los gestores modernos ofrecen mecanismos de recuperación: clave de recuperación impresa, administradores con permiso para resetear a otros usuarios, autenticación de emergencia. Bien configurado, el riesgo es muy bajo.
“Si hackean al proveedor del gestor, se llevan todas mis contraseñas.”
La bóveda se cifra localmente con la contraseña maestra antes de subirse al servidor. Aunque filtraran todo, sin la maestra los archivos son ruido. Es exactamente lo que pasó en la filtración de LastPass de 2022: se llevaron las bóvedas, pero los usuarios que tenían contraseñas maestras fuertes no fueron comprometidos.
“Mi equipo no va a querer aprender una herramienta nueva.”
En general se adopta más rápido de lo que uno espera, porque elimina una fricción real. La curva es de una semana. Después nadie quiere volver atrás.
Cómo implementarlo sin drama
El despliegue en una PyME es razonablemente directo:
1. Elegir el producto y el plan según la cantidad de usuarios.
2. Cargar primero las cuentas más críticas: accesos bancarios, dominios, hosting, cuentas de administrador.
3. Activar doble factor de autenticación sobre la cuenta maestra del gestor. Esto es el candado del candado.
4. Capacitar al equipo con una sesión corta (30-45 minutos) y documentar lo básico.
5. Como ejercicio paralelo, ir cambiando las contraseñas importantes a claves nuevas generadas por el gestor. Especialmente las que estuvieron en el Excel, en papeles o en chats.
6. Borrar los archivos viejos de claves cuando todo está migrado.
El costo típico está entre 3 y 10 dólares por usuario al mes. Para una empresa de diez personas, son 30 a 100 dólares mensuales. No hay inversión de infraestructura; solo cuentas y hábito.
¿Hoy mismo, si hace falta el password del router principal o del panel de administración del sitio, dónde está guardado? Si la respuesta involucra un Excel, un papel o un chat, ya hay trabajo pendiente. Cuanto antes se empieza, menos exposición acumulada.