Elegir un gestor de contraseñas para tu pyme: ¿en qué fijarse de verdad?

Elegir un gestor de contraseñas no es cuestión de gustos, pero tampoco es ciencia de cohetes. Una guía práctica para empresarios sin departamento de IT.

Prácticamente todos los empresarios con los que hablamos saben que un gestor de contraseñas no es un lujo. Sin embargo, en la práctica vemos que la decisión se pospone años, o se toma en cinco minutos basándose en un anuncio de un podcast. Ninguna de las dos opciones funciona. En este artículo repasamos lo que realmente importa al elegir un gestor de contraseñas para una empresa de 5 a 50 personas.

Qué debe hacer un gestor de contraseñas — y qué no

La base es sencilla: un único lugar donde se guardan todas las contraseñas, protegido con una contraseña maestra fuerte y doble factor de autenticación. Cada persona tiene su propio cofre y, además, existen cofres compartidos para cuentas de equipo (como el buzón info@, el software de contabilidad o la cuenta corporativa de LinkedIn).

Lo que un gestor de contraseñas no debe ser: un cajón de sastre para documentos aleatorios, un sustituto de tu herramienta IAM, ni una excusa para compartir contraseñas que deberían ser personales. Mantén esa línea clara y la herramienta seguirá siendo manejable.

Los cinco criterios que realmente importan

1. Funcionalidad real de equipo, no un plan familiar

Muchas empresas pequeñas empiezan con el plan familiar de un gestor de consumo. Funciona hasta el quinto empleado, y después ya no. Necesitas acceso basado en roles, cofres compartidos por departamento y la posibilidad de revocar el acceso de alguien con un solo clic. Comprueba si puedes agrupar usuarios y si puedes ver quién tiene acceso a cada cofre.

2. Un proceso de baja limpio

Cuando alguien deja la empresa, debes poder bloquear su acceso y rotar las contraseñas compartidas en cuestión de minutos. No todos los gestores lo facilitan igual. Pide una demo y haz que te muestren el escenario «el empleado se va hoy mismo». ¿Ves complicaciones? Siguiente.

3. Registros y auditoría

¿Quién consultó qué contraseña y cuándo? Para un incidente GDPR, una sospecha de fuga de datos o simplemente una revisión de accesos, necesitas poder demostrarlo. Un registro de auditoría no es un lujo — es evidencia.

4. SSO y SCIM (si tu presupuesto lo permite)

Si tienes Microsoft 365 con una licencia adecuada, querrás conectar tu gestor de contraseñas a Entra ID. ¿Nuevo empleado en Entra? Cuenta en el gestor de contraseñas automáticamente. ¿Se va? Desaparece automáticamente. Esto suele estar en un plan más caro, pero ahorra muchísimo trabajo manual. Para equipos pequeños es excesivo; a partir de unas 15 personas empieza a valer la pena.

5. Ubicación de los datos

Los grandes proveedores utilizan cifrado de conocimiento cero, lo que significa que el propio proveedor no puede ver tus contraseñas. Bien. Fíjate también en dónde se almacenan los datos cifrados (la UE es una ventaja para el cumplimiento del GDPR) y en cómo gestiona el proveedor los incidentes. Una brecha de seguridad anterior no es una descalificación automática — cómo respondieron dice mucho más.

Las preguntas prácticas que nadie hace

Además de esos cinco criterios, hay algunas preguntas muy concretas que debes hacer en una demo:

• ¿Funciona en el teléfono de todo el mundo? iOS y Android, ¿y reconoce la app tus credenciales en otras aplicaciones?
• ¿Qué pasa si alguien olvida su contraseña maestra? ¿Hay un proceso de recuperación, o se pierde todo? ¿Y qué implica eso para ti como administrador?
• ¿Es fácil la importación masiva? Tendrás que migrar 80 contraseñas desde un archivo Excel u otra herramienta sin perder una tarde entera.
• ¿Puedes exigir un 2FA separado por cofre? La contraseña maestra más 2FA es el estándar, pero para las joyas de la corona querrás un candado adicional.

Lo que vemos funcionar en la práctica

Para la mayoría de las pymes, este esquema funciona bien:

1. Un único gestor de contraseñas para toda la empresa, no tres diferentes por departamento.
2. Cofre personal por empleado — también para sus contraseñas privadas, porque de lo contrario no lo usarán de forma consistente.
3. Cofres compartidos por equipo o proyecto, con responsables claramente definidos.
4. Un cofre aparte para «admin/joyas de la corona» con acceso muy restringido y 2FA adicional.
5. Una revisión semestral: ¿quién tiene acceso a qué cofre y sigue siendo correcto?

Ese último paso no es exagerado. Es exactamente la razón por la que en los clientes encontramos tantas cuentas olvidadas — olvidadas porque nadie las revisa nunca.

El mayor error: implantar sin un plan

Elegir la herramienta es la parte fácil. La implantación es donde todo se tuerce. La gente sigue usando su vieja hoja de Excel «hasta que haya menos trabajo», o guarda las contraseñas igualmente en el navegador. Planifica al menos una sesión conjunta en la que todo el mundo introduzca de verdad sus primeras veinte contraseñas en el gestor. Y establece un acuerdo: a partir del día X desaparecen Excel, los post-its y el almacenamiento del navegador.

Un gestor de contraseñas es una de esas inversiones de las que después dices: ojalá lo hubiera hecho antes. Pero para eso tienes que usarlo de verdad.

¿Quieres el contexto más amplio — cómo mantener seguras las cuentas compartidas, cómo implantar el 2FA y cómo gestionar correctamente los accesos? Echa un vistazo a nuestra implementación de 2FA y la revisión de accesos. No solo te ayudamos a elegir, sino también a implantar de verdad.