Respuesta corta: gestor de contraseñas primero, verificación en dos pasos segundo, plan de continuidad tercero

Esta pagina contiene enlaces de afiliados. Podemos ganar una comision sin costo adicional para ti.

Si llevas rato leyendo listas de “50 consejos de seguridad” y sigues sin saber por dónde empezar, el problema no es que falten consejos — es que están desordenados. Solo hay tres decisiones que de verdad mueven la aguja, y funcionan en este orden. Primero, deja de reutilizar y de memorizar contraseñas: usa un gestor de contraseñas para que cada cuenta tenga una contraseña única y larga que tú ni siquiera necesitas recordar. Segundo, activa la verificación en dos pasos en el correo, la banca y las redes sociales — pero con una app de autenticación, no por SMS. Tercero, decide qué pasa con esas cuentas si un día tú no puedes gestionarlas. Cubre estas tres cosas y ya estás por delante de la inmensa mayoría de usuarios, sin necesidad de memorizar ninguna lista larga.

Paso 1: un gestor de contraseñas real, no una libreta ni “la misma de siempre con un número al final”

La razón por la que insistir en contraseñas únicas por sitio importa tanto es simple: si reutilizas una contraseña y esa cuenta se filtra en una brecha ajena a ti, cualquiera puede probar esa misma combinación en tu correo o tu banco (esto se llama credential stuffing y es la forma más común de robo de cuentas que no depende de que hackeen nada tuyo directamente). Un gestor de contraseñas resuelve esto generando y recordando una contraseña distinta y larga por cada sitio, sin que tú tengas que memorizar ninguna salvo la maestra.

Vale la pena saber, además, que la propia norma oficial de referencia en este tema — NIST SP 800-63B, en su revisión vigente — ya no exige lo que durante años se pidió por costumbre. El texto es explícito: los verificadores “no deben” imponer reglas de composición como obligar a mezclar mayúsculas, números y símbolos, y “no deben” forzar cambios periódicos de contraseña salvo que haya evidencia de que fue comprometida. Lo que sí exige es longitud: mínimo 15 caracteres si la contraseña es el único factor de acceso, u 8 como mínimo si va acompañada de un segundo factor, y permitir hasta 64 caracteres o más. En otras palabras: la longitud importa, la manía de la mayúscula-número-símbolo-cada-90-días no. Esto es exactamente lo que un gestor de contraseñas te da gratis: contraseñas largas y únicas sin el esfuerzo de inventarlas o recordarlas.

La mayoría de los gestores de contraseñas serios tienen un nivel gratuito que basta para una sola persona. Los planes de pago añaden sobre todo sincronización entre más dispositivos, planes familiares compartidos y la función de acceso de emergencia que se explica en el paso 3. No hay un único gestor que sea la respuesta correcta para todos: si solo necesitas cubrirte a ti, el nivel gratuito de un gestor con buena reputación es un punto de partida perfectamente razonable antes de plantearte pagar por nada.

Los artículos de este blog contienen enlaces de afiliados.

Paso 2: verificación en dos pasos, pero no por SMS

Con contraseñas únicas ya resuelto, el segundo factor de autenticación es lo que te protege incluso si una contraseña concreta se filtra igualmente. Actívalo como mínimo en el correo electrónico (porque desde ahí se puede resetear casi todo lo demás), en la banca y en las redes sociales que uses a diario.

El matiz que casi nadie te cuenta es cuál método de segundo factor evitar: el código por SMS. En diciembre de 2024, CISA (la agencia de ciberseguridad de EE. UU.) y el FBI emitieron una guía conjunta con una frase muy directa: no usar SMS como segundo factor de autenticación, porque los mensajes SMS no van cifrados y son vulnerables al SIM swapping — la técnica en la que un atacante convence a la operadora de telefonía de transferir tu número a una tarjeta SIM que él controla, y a partir de ahí recibe él los códigos, no tú. La recomendación en su lugar es usar una app de autenticación (que genera el código en tu propio teléfono, sin pasar por la red del operador) o, si tu perfil de riesgo es alto, una llave de seguridad física o passkey compatible con FIDO.

Para la inmensa mayoría de lectores de este blog, con cambiar de “código por SMS” a “app de autenticación” en las dos o tres cuentas que más te importan ya se cubre este paso.

Paso 3: qué pasa si tú no puedes gestionar tus cuentas

Este es el paso que casi todas las guías de seguridad se saltan por completo, y es justo el que ya tenemos cubierto a fondo en este blog. Si usas un gestor de contraseñas, tus cuentas quedan invisibles para cualquier otra persona por diseño — lo cual es genial hasta que necesitas que tu pareja, un familiar o quien gestione tus asuntos entre sin ti. La mayoría de los gestores de contraseñas principales tienen una función de “acceso de emergencia” o “contacto heredero” pensada exactamente para esto, con niveles de acceso configurables y un período de espera de seguridad.

No vamos a repetir aquí el mecanismo completo: el artículo [que-pasa-con-mis-claves-si-muero] explica, con Bitwarden como ejemplo concreto ya verificado contra su documentación oficial, cómo funciona el acceso de emergencia, qué diferencia hay entre acceso de solo lectura y de “takeover”, y qué configurar hoy mismo en cinco minutos. Si ya tienes resueltos los pasos 1 y 2, ese artículo es tu siguiente parada.

A quién NO le sirve esta guía

  • Si ya usas un gestor de contraseñas con contraseñas únicas y 2FA por app en tus cuentas principales: salta directamente al paso 3 y al artículo del clúster — los pasos 1 y 2 ya los tienes resueltos.
  • Si buscas la política de seguridad para una empresa o un equipo de trabajo: esta guía está pensada para una cuenta personal, no para requisitos de cumplimiento corporativo, gestión de dispositivos de empresa (MDM) ni políticas de TI — eso es un problema distinto con reglas distintas.
  • Si eres un objetivo de alto riesgo (periodista, activista, persona con exposición pública real ante atacantes con recursos): el framework de este artículo es el suelo mínimo razonable, no el techo. En tu caso, la llave de seguridad física FIDO no es opcional sino el punto de partida, y probablemente necesites asesoría de seguridad especializada, no una guía general.
  • Si necesitas resolver algo con peso legal real (acceso bancario tras un fallecimiento, herencia de activos digitales de valor, un testamento): ni este artículo ni el del clúster sustituyen a un abogado especializado en herencias — son una conveniencia práctica, no un instrumento legal.

Resumen

Tres decisiones, en este orden: gestor de contraseñas con contraseñas únicas, verificación en dos pasos sin SMS, y un plan para cuando tú no puedas gestionar tus cuentas. Las dos primeras se resuelven hoy mismo con la configuración que ya tienen las apps que probablemente ya usas. La tercera tiene su propia guía completa en [que-pasa-con-mis-claves-si-muero] — empieza por el paso en el que realmente estés, no por el principio si ya has avanzado.