La confianza no lleva 2FA

La tarde se había ido apagando despacio, con la rutina de los días sin novedades. La oficina respiraba hondo, entre el zumbido de los ventiladores y el parpadeo de las pantallas que quedaban encendidas. Era el momento de revisar por última vez la cuenta de oficina, la que nunca se apaga, donde pasa lo importante y también lo que nadie ve.

El mensaje llegó con la calma de lo cotidiano. Remitente conocido, asunto correcto, redacción precisa. Nada fuera de sitio. “Acceso al portal de facturación.” Un texto breve, sin énfasis, dos líneas y una firma corporativa. Usuario y contraseña. En texto plano. Ni advertencias ni doble factor. Dos líneas que parecían inocentes, de esas que uno abre sin pensar. Hasta que el nombre del usuario me hizo frenar. No era nuestro.

No había prisa, pero sí una alerta fina. Cerré lo demás, cambié de red y abrí el sandbox, el entorno limpio donde pruebo lo que no debe tocar el sistema principal. Lo preparé sin prisas, siguiendo el orden que repito siempre.

Tecleé la URL. Pausa. El usuario. Pausa. La contraseña. Otra pausa. Pulsé intro.

Ni confirmación, ni código, ni aviso de acceso. Simplemente entró. La sesión se abrió sin obstáculos, directa, limpia, como si hubiera vuelto a casa.

El panel del proveedor se desplegó en la pantalla con la precisión de un instrumental recién lavado. Cifras alineadas, columnas exactas, todo en su sitio. Una intimidad ajena, visible sin resistencia. Una puerta abierta a las intimidades de una empresa que no era la mía.

Apoyé las manos sobre el escritorio, respiré y cerré sesión. No por miedo, sino por respeto. Guardé el correo, tomé unas notas y apagué la pantalla. Afuera, la noche esperaba su turno, paciente.

A primera hora, llamé al responsable. Nos conocemos desde hace años, así que la charla fue directa. Le pregunté si tenían un portal de clientes. Me dijo que sí, pero que no lo usaban. “Nos manejamos por correo, es más cómodo”, añadió con la naturalidad de quien explica algo obvio. Le conté lo ocurrido.

Hubo una pausa. “Entonces el error será de nuestro proveedor”, dijo. Le expliqué de nuevo que el problema era interno. Que alguien, desde su propia cuenta de oficina, había reenviado por descuido un correo que nunca se debió mandar a una cuenta ajena a su empresa.

Pidió un momento y añadió a su segundo a la llamada. Repetí los hechos. Los dos repasaban nombres, mensajes, rutinas. Esa mezcla de sorpresa y alivio que deja un error cuando el daño se ha contenido. Lo asumieron con calma, con agradecimiento. Y me creyeron, porque saben que conmigo se puede hablar claro. Esa confianza se ha ganado con los años y se nota.

Tomarían medidas. Pero el daño ya estaba hecho antes de que nadie pulsara reenviar.

Lo que falló no fue el sistema, fue la costumbre. El hábito de tratar el correo electrónico como si fuera un lugar seguro. Lo usamos para todo: contraseñas, accesos, documentos. Nos fiamos del remitente, del dominio, del tono del mensaje. Nos tranquiliza la apariencia de control. Pero el correo no es un cajón cerrado, es un pasillo con muchas puertas.

La seguridad rara vez falla por falta de medios. Falla por rutina.
Por ese gesto repetido que se hace sin pensar, confiando en que todo seguirá igual.
No se rompe por un fallo técnico, sino por exceso de confianza, que es otra forma de decir pereza. Lo que más vulnera un sistema no es el error, es la costumbre.

Y detrás de cada costumbre hay una cadena de confianza: departamentos, empresas, proveedores que se dan por seguros porque se conocen.
Esa confianza agiliza el trabajo, pero también lo expone. Se transmite sin revisión, como si bastara la familiaridad para garantizar la seguridad.
Funciona entre personas; entre sistemas, se queda corta.

Por suerte, el correo nos llegó a nosotros, pero la suerte no es un protocolo.

Lo pensé después, con la distancia del día siguiente. Estos incidentes no son raros. Siempre hay alguien que reenvía un correo sin mirar o que no cambia una contraseña porque “no ha pasado nada”. Pasa en todas partes. Lo extraño es que, a veces, nos demos cuenta a tiempo.

Cuando sucede, lo importante no es buscar culpables. Es actuar: cambiar contraseñas, revocar accesos, avisar, revisar procesos. Reconocer el error antes de que crezca. No es nada extraordinario, es simplemente ser responsable.

La seguridad no debería ser un trámite ni una obligación legal. Es una forma de cuidar el trabajo. Igual que nadie dejaría la puerta de la oficina abierta al irse, tampoco deberíamos dejar expuestos los accesos que sostienen el día a día. Y cuando alguien se equivoca, porque todos nos equivocamos, lo importante es la reacción: avisar, corregir, aprender.

Nos equivocamos todos. Lo que marca la diferencia es lo que hacemos después.

La confianza entre personas puede mantenerse; la que depositamos en los sistemas necesita algo más: método, atención y ese segundo paso que, sin darnos cuenta, siempre nos queremos saltar.

Supongo que por eso, la confianza, por sí sola, no lleva doble factor.

A partir de ahí, solo queda aprender. Lo que sigue no pretende ser un conjunto de normas, sino una conversación aplazada sobre lo que todos sabemos y casi nunca hacemos.

Las contraseñas son ese mal necesario que tratamos como si fuese un examen de memoria. Lo importante no es que sean imposibles de leer, sino imposibles de repetir. Si cada clave es un pequeño secreto, repetirlo en todas partes convierte el secreto en rutina. Un gestor de contraseñas no es paranoia, es organización: recuerda por ti lo que tú no deberías recordar.

El correo electrónico sigue siendo el agujero más grande del siglo XXI. Lo usamos para todo porque lo tenemos a mano, pero no está hecho para guardar nada. Es un canal de paso, no de custodia. Si hay que enviar algo sensible, mejor hacerlo cifrado, con enlaces que expiren, o no hacerlo. Casi todos los incidentes empiezan con un reenvío inocente.

Los accesos compartidos se degradan con el tiempo.
Lo que empieza siendo práctico acaba siendo opaco: se olvidan, se duplican, se heredan.
Al final nadie sabe de quién es la llave ni cuántas copias circulan.
Un gestor corporativo de contraseñas permite algo tan básico como saber quién entra y cuándo debe dejar de hacerlo.

Tener montando un sandbox no es una manía de frikis, es higiene digital. Abrir un enlace sospechoso en un entorno aislado es la diferencia entre curiosidad y contagio. La precaución no es desconfianza; es una forma de respeto hacia tu propio sistema.

El doble factor es el segundo paso que todos intentamos saltar y que, cuando pasa algo, siempre agradecemos haber puesto. Cada vez que alguien dice “ya lo haré”, otro informe de seguridad crece en alguna parte. Y sí, las passkeys han venido a quedarse: no hay contraseña que se filtre si no existe.

Avisar a tiempo debería ser una competencia profesional. No hay vergüenza en admitir un error; la vergüenza está en dejarlo crecer. Un correo rápido diciendo “creo que esto no va bien” ahorra días de informes y semanas de tensión.

La suerte no debería figurar en ningún plan de contingencia. Si un mensaje con credenciales acaba en las manos adecuadas por casualidad, no ha salido bien: ha salido barato. La suerte solo avisa, no protege.

La cultura de seguridad no se enseña, se contagia. No nace de un protocolo ni de una auditoría, sino de los hábitos cotidianos: cerrar sesión, revisar accesos, preguntar cuando algo chirría. La rutina, cuando se repite sin pausa, se convierte en el mayor agujero del sistema.

Y la confianza, esa palabra que lo sostiene todo, no lleva doble factor.
Por eso hay que ponérselo. No por desconfianza, sino por respeto: al trabajo, a los datos y a las personas que creen que todo está bajo control.

Esto no es un protocolo.

Es lo que se aprende cuando un correo mal enviado te recuerda que la seguridad no depende de la tecnología, sino de las costumbres.