Cómo enviar un usuario y contraseña de forma segura
Nicolas,
Enviar un usuario y una contraseña por correo electrónico, SMS o mensajería instantánea es una de las prácticas más arriesgadas en materia de seguridad digital. Estos canales generalmente no están cifrados de extremo a extremo, y los mensajes pueden permanecer accesibles en los historiales durante años. En 2026, varios métodos simples y accesibles permiten transmitir accesos de forma verdaderamente segura.
¿Por qué no enviar una contraseña por correo o SMS?
El correo electrónico estándar no está cifrado de extremo a extremo: el contenido es legible por los servidores de correo intermediarios y puede ser interceptado en tránsito. El SMS es aún más vulnerable — transita en claro por las redes telefónicas y puede ser interceptado mediante un ataque SS7 o un IMSI-catcher.
Además, una contraseña enviada por mensaje permanece en el historial de conversación de ambas partes indefinidamente. En caso de compromiso de una cuenta de correo — algo que ocurre con mucha más frecuencia de lo que se cree — todos los accesos transmitidos por ese canal quedan expuestos.
Método 1: herramientas de compartición por enlace único (one-time link)
Es el método más sencillo y recomendado tanto para particulares como para profesionales. Estas herramientas generan un enlace único que solo puede abrirse una vez — tras abrirlo, el contenido se destruye automáticamente.
Los servicios más utilizados en 2026:
- One Time Secret: servicio open source y gratuito que permite compartir un mensaje cifrado mediante un enlace de un solo uso con tiempo de expiración configurable
- Password Pusher: especializado en compartir contraseñas, open source, autoalojable y configurable (número de vistas, expiración)
- Yopass: cifrado del lado del cliente, enlace único con expiración, disponible en versión autoalojada
El funcionamiento es idéntico en todos: introduces la contraseña en la interfaz, el servicio genera un enlace único cifrado que transmites al destinatario. Este abre el enlace, lee la contraseña, y el enlace queda inmediatamente inválido.
Bueno saber: separa siempre el usuario de la contraseña al transmitirlos. Envía el usuario (o el nombre del servicio) por un canal habitual (correo, mensaje) y transmite únicamente la contraseña mediante el enlace único. Así, aunque el enlace sea interceptado, no será explotable sin conocer la cuenta a la que está asociado.
Método 2: un gestor de contraseñas con compartición integrada
Los gestores de contraseñas modernos ofrecen funcionalidades de compartición segura integradas, ideales para uso profesional o en equipo.
- Bitwarden: permite compartir credenciales con otros usuarios de Bitwarden mediante colecciones compartidas — cifrado de extremo a extremo, open source
- 1Password: compartición de bóvedas con miembros del equipo, control de permisos (solo lectura, edición)
- Dashlane: compartición de credenciales con o sin revelar la contraseña en claro al destinatario
Estas soluciones son especialmente adecuadas para accesos compartidos en empresas — un acceso puede revocarse en cualquier momento sin que el destinatario haya visto nunca la contraseña en claro.
Método 3: mensajería cifrada de extremo a extremo
Si no tienes acceso a una herramienta dedicada, una mensajería cifrada de extremo a extremo sigue siendo una opción aceptable — siempre que uses las herramientas adecuadas y elimines el mensaje inmediatamente después de que el destinatario lo haya recibido.
- Signal: cifrado de extremo a extremo por defecto, mensajes efímeros configurables, disponible en iOS, Android y escritorio
- WhatsApp: cifrado E2E basado en el protocolo Signal, aceptable para uso puntual
- ProtonMail: correos cifrados de extremo a extremo entre usuarios de ProtonMail, o mediante enlace seguro para destinatarios externos
Bueno saber: incluso en Signal, evita dejar una contraseña en el historial de conversación. Activa los mensajes efímeros (función "Temporizador") en la conversación en cuestión y pide al destinatario que confirme la recepción antes de que el mensaje desaparezca.
Método 4: compartición verbal o física
Para los accesos más sensibles, la transmisión verbal sigue siendo el método más seguro. Una llamada telefónica, una videoconferencia o una entrega en persona no deja rastro digital — siempre que el destinatario anote el acceso directamente en un gestor de contraseñas seguro y no en un post-it o en un archivo de texto.
Lo que nunca debes hacer
| Práctica a evitar | Riesgo |
|---|---|
| Correo estándar (Gmail, Outlook…) | Sin cifrado E2E, permanece en los historiales |
| SMS | Transita en claro, interceptación posible, historial permanente |
| Slack, Teams, Discord sin cifrado E2E | Legible por el operador, logs almacenados en servidor |
| Archivo de texto o Excel compartido | Sin control de acceso, puede copiarse indefinidamente |
| Post-it o nota en papel no segura | Accesible físicamente por cualquiera |
| Misma contraseña para varios servicios | Un compromiso expone todas las cuentas |
Bueno saber: independientemente del canal utilizado, cambia la contraseña compartida lo antes posible después de que el destinatario la haya guardado en su gestor de contraseñas. Una contraseña temporal transmitida para un primer acceso siempre debe ser reemplazada por una contraseña personal generada por el propio destinatario — es la única forma de garantizar que ya no tienes acceso a la información sensible de la otra parte.