El descuido más común que expone a tu empresa desde dentro

Fue un lunes cualquiera. Un empleado sin malas intenciones compartió su contraseña con un compañero que “solo necesitaba entrar rápido” al sistema.
Nadie fue notificado. No se encendió ninguna alerta. Nadie lo notó.
Pero en ese momento, la organización perdió el control de quién accedía a qué.
Y eso es mucho más grave de lo que parece.

El hecho: ¿Por qué se comparten contraseñas?

En la práctica, las contraseñas se comparten más de lo que las políticas corporativas admiten. Las razones comunes:
 
  • “Solo por esta vez”
  • “No tengo acceso y lo necesito urgente”
  • “Es solo para revisar un archivo”
  • “Estamos trabajando en lo mismo, es más práctico”

El problema no está solo en la intención, sino en lo que no se ve detrás:

  • No queda trazabilidad de quién accedió realmente.
  • Se rompen los principios de seguridad (confidencialidad, integridad y responsabilidad).
  • Se abren puertas para el abuso sin forma de auditarlo correctamente.

Riesgos invisibles, consecuencias reales:

Cuando un usuario usa una contraseña ajena, todo el sistema sigue creyendo que es el titular quien opera. Esto genera:

  • Falta de responsabilidad individual
  • Riesgo de sabotaje o fuga sin atribución
  • Dificultad para detectar accesos indebidos
  • Violación de auditorías y normativas (ej. ISO 27001, ISO 20000-1).
  • Una contraseña compartida es una identidad sin dueño.
cuando un empleado dio la contraseña

 ¿Y si el daño ya está hecho?

 
En varios incidentes de seguridad, los atacantes no necesitaron vulnerar la infraestructura: solo utilizaron credenciales reales compartidas por empleados internos. Algunos incluso seguían accediendo meses después del despido del colaborador.
 

¿Qué se debería exigir antes de compartir acceso?

Si por alguna razón muy justificada se tiene que compartir acceso (aunque lo ideal es evitarlo siempre), estos mínimos deberían cumplirse:

Justificación formal
Debe existir un motivo documentado y aprobado por un superior.

Trazabilidad
El acceso debe pasar por un sistema que registre qué hizo cada persona (idealmente, acceso delegado o tokens temporales).

Autenticación robusta
Se debe usar MFA (doble factor) y credenciales únicas, aunque sean temporales.

Caducidad automática
Nunca debe compartirse una contraseña sin configurar previamente una expiración o revocación.

Acompañamiento y monitoreo
Debe existir monitoreo de accesos en tiempo real y revisión posterior.

 ¿Y si el daño ya está hecho?

 
En varios incidentes de seguridad, los atacantes no necesitaron vulnerar la infraestructura: solo utilizaron credenciales reales compartidas por empleados internos.
Algunos incluso seguían accediendo meses después del despido del colaborador.
que deberia exigir antes de compartir acceso

¿Qué se debería exigir antes de compartir acceso?

Si por alguna razón muy justificada se tiene que compartir acceso (aunque lo ideal es evitarlo siempre), estos mínimos deberían cumplirse:
Justificación formal
Debe existir un motivo documentado y aprobado por un superior.
Trazabilidad
El acceso debe pasar por un sistema que registre qué hizo cada persona (idealmente, acceso delegado o tokens temporales).
Autenticación robusta
Se debe usar MFA (doble factor) y credenciales únicas, aunque sean temporales.
Caducidad automática
Nunca debe compartirse una contraseña sin configurar previamente una expiración o revocación.
Acompañamiento y monitoreo
Debe existir monitoreo de accesos en tiempo real y revisión posterior.

🔁 Alternativas seguras a compartir contraseñas

 
  • Uso de accesos delegados (por ejemplo, Google Workspace lo permite).
  • Herramientas de gestión de identidades (IAM).
  • Vaults corporativos que permiten compartir acceso sin mostrar la contraseña.
  • Tokens temporales y credenciales con duración controlada.

Cultura organizacional: el verdadero firewall

La mejor política de contraseñas no sirve si la cultura interna la invalida.
  Promover una cultura de responsabilidad digital es clave:
  1. Formación continua sobre riesgos y buenas prácticas.
  2. Ejemplos reales y consecuencias documentadas.
  3. Protocolos de acceso claros y fáciles de seguir
 

Compartir una contraseña es compartir identidad.

Y en el mundo digital, eso puede ser tan grave como firmar un contrato en blanco.
Ese “solo por esta vez” puede convertirse en la brecha que nadie vio venir.

Ciberseguridad 

¿Estás seguro de quién accede a tus sistemas? Solicita una evaluación de seguridad interna.
Habla con nuestro equipo

Temas que podrían interesarte:

Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.