Cada segundo cuenta: 9 días para arreglar las credenciales en riesgo es demasiado tiempo

Las contraseñas débiles o comprometidas son fáciles de descifrar o comprar en los mercados de la Web oscura. Estas endebles credenciales son el equivalente digital de una puerta de entrada con una llave olvidada en la cerradura: Es trivial para los atacantes utilizarlas para entrar ilícitamente en una organización.

Sin embargo, actualizar estas contraseñas es un reto constante. Los administradores de TI a menudo carecen de visibilidad sobre qué contraseñas son débiles, se reutilizan o están en peligro. Incluso cuando pueden identificar las contraseñas de riesgo, puede resultarles difícil convencer a los usuarios de que actualicen sus credenciales o las sustituyan por otras más seguras. Una supervisión deficiente de las contraseñas también puede dar lugar a un acceso incontrolado a sistemas sensibles y con privilegios elevados, lo que expone a la organización a riesgos de seguridad aún mayores.

Para comprender este panorama, Bitwarden realizó una encuesta entre los responsables de TI para conocer sus puntos débiles en relación con la visibilidad y la corrección del estado de las contraseñas. Estas conclusiones se han recopilado en el siguiente informe Bitwarden Business Insights 2025.

Dos tercios de los encuestados (67%) afirman que la gestión del acceso a las credenciales es muy importante para sus organizaciones. Sin embargo, casi la mitad (48%) afirma que su sistema actual para supervisar el estado y el acceso a las contraseñas es ineficaz.

Esta falta de supervisión y visibilidad efectivas del estado de las contraseñas contribuye directamente al incumplimiento de los objetivos de seguridad y a la lentitud de su resolución.

Por ejemplo, el 53% de los responsables de TI desea abordar la seguridad relacionada con las credenciales de forma proactiva, pero sólo el 33% afirma estar haciéndolo actualmente. Alrededor del 60% de los responsables de TI afirman que su estrategia actual para actualizar las credenciales en riesgo de forma oportuna es sólo algo eficaz o totalmente ineficaz.

Por lo general (el 90% de las veces), los encuestados piden a los empleados que actualicen sus propias credenciales, y la mayoría de las veces lo hacen a través de un correo electrónico (42%) o de conversaciones personales (36%).

Por desgracia, más de la mitad de los responsables de TI (51%) afirman que sus empleados no se toman las medidas de ciberseguridad en serio en absoluto o sólo un poco en serio.

Como resultado, los empleados tardan una media de 9 días en actualizar sus credenciales de riesgo tras la detección, lo que deja estas credenciales como vulnerabilidades abiertas para que las exploten los actores maliciosos. Una organización informó de que los empleados tardan un año entero en actualizar las credenciales de riesgo.

El mayor reto a la hora de cambiar este problema generalizado de gestión de credenciales e implantar las mejores prácticas de contraseñas es encontrar la forma de motivar a los empleados para que cambien sus hábitos, tal y como señala el 68% de los encuestados.

Es posible que los propios empleados no dispongan de las herramientas o la información que necesitan. Entre los administradores de TI, el 44% afirma que la confusión de los empleados sobre cómo realizar cambios en las contraseñas es un reto, y el 36% se queja de la dificultad para realizar un seguimiento del progreso de los empleados hacia prácticas más seguras.

La estrategia principal para una ciberseguridad más eficaz, citada por la mitad de los responsables de TI (51%), consiste en priorizar con mayor claridad las acciones de seguridad críticas. Además, casi la mitad desearía ver flujos de trabajo más intuitivos para personas sin conocimientos técnicos (46%) y una formación en seguridad más regular (45%). Al 40% le gustaría saber quién no ha realizado tareas de seguridad cruciales.

La combinación de una priorización, unos flujos de trabajo y una formación eficaces ayudaría a estos responsables a demostrar mejor a los empleados el valor de disponer de credenciales seguras, y les permitiría centrarse en las credenciales y los usuarios con privilegios que corren más riesgo. Esto, a su vez, ayudaría a motivar a los empleados y reduciría el tiempo necesario para actualizar contraseñas débiles o comprometidas. La aplicación de estas estrategias ayudará a las organizaciones a proteger mejor sus aplicaciones empresariales, infraestructuras y cuentas frente a los actores maliciosos.

Bitwarden dota a los equipos de TI de las herramientas que necesitan para gestionar de forma segura las credenciales de su organización con soluciones de seguridad para el acceso con menos privilegios, contraseñas, secretos y gestión de claves. Bitwarden, en el que confían decenas de miles de empresas y millones de usuarios de todo el mundo, facilita a los empleados la adopción de las mejores prácticas de contraseñas seguras y a los administradores la gestión de los almacenes de la organización.

Para las organizaciones que tienen dificultades para identificar el estado de las contraseñas, Bitwarden ofrece informes sobre el estado de los almacenes, que permiten a los administradores de TI detectar las credenciales de riesgo -incluidas las contraseñas expuestas, reutilizadas y débiles- asociadas a su organización. Este es el primer paso para reforzar la postura de seguridad relacionada con las credenciales.

Una vez identificadas las credenciales de riesgo y notificadas a los empleados, el generador de contraseñas integrado de Bitwarden permite a los usuarios finales sustituir rápidamente una credencial infractora por una contraseña única y segura, y guardarla en la caja fuerte de la empresa.

Pruebe estas funciones de seguridad con una prueba gratuita de 7 días de Bitwarden para empresas.

La encuesta de Bitwarden se dirigió a administradores y propietarios de TI de empresas con ingresos superiores a un millón de dólares. Las respuestas se recogieron a finales de 2024 y principios de 2025, recibiendo 108 respuestas en total.