Objetivo: bajar riesgo YA Personal: Bitwarden Empresa: Zoho Vault

Plan paso a paso · Limpieza de contraseñas (Google Password Manager)

Contexto: revisión de Google detecta contraseñas vulneradas, reutilizadas y débiles. El truco es no intentar arreglarlo todo a la vez: se hace en 3 fases (hoy, esta semana, mantenimiento).
Zona horaria asumida: Europe/Madrid.

0) Reglas simples (para no cagarla)

  • Una cuenta = una contraseña única (mínimo 16 caracteres, ideal 20–24).
  • 2FA siempre en cuentas críticas. Mejor passkey o app; SMS solo si no queda otra.
  • No “variantes” (Carlos2026!, Carlos2026!!…). Eso cae igual.
  • Separación estricta: personal en Bitwarden. trabajo en Zoho. No mezclar.

Qué es urgente vs. qué puede esperar

Orden de prioridad recomendado:

  • Urgente hoy Email(s), Google/Apple/Microsoft, bancos/PayPal, Amazon, redes sociales.
  • Esta semana Resto de vulneradas y todas las reutilizadas.
  • Después Las “débiles” que no sean reutilizadas.

1) Hoy (60–90 min): blindaje

  1. Google (cuenta con la que guardas contraseñas): cambia contraseña + revisa 2FA + añade passkey si no la tienes.
  2. Gmail personal (cales.ortet@gmail.com): cambia contraseña + 2FA/passkey.
  3. Microsoft 365 (carlos.ortet@zoopa.es): verifica 2FA (Authenticator) y revisa sesiones/dispositivos.
  4. Bancos/PayPal/Amazon: cambia y activa 2FA donde exista.
  5. Redes sociales: cambia + 2FA.
Si sospechas acceso no autorizado: en Google/Microsoft revisa “dispositivos” y “actividad reciente” y cierra sesiones que no reconozcas.

2) Elegir gestor y migrar (personal)

Decisión: Bitwarden como gestor personal. Zoho Vault se queda para empresa.

2.1 Instala bien Bitwarden

  • Chrome: instala extensión oficial de Bitwarden.
  • Móvil: app Bitwarden + autofill activado.
  • Crea contraseña maestra fuerte (frase larga) y guarda el código de recuperación.

2.2 Exporta de Google e importa a Bitwarden

  • En el ordenador: passwords.google.com → engranaje Exportar contraseñas (CSV).
  • En Bitwarden (Web Vault): Herramientas → Importar → formato Chrome (csv).
  • Luego borra el CSV del disco (y papelera) cuando termines.
Nota: durante unos días convivirán Google y Bitwarden. La meta es que Bitwarden sea la fuente de verdad personal.

3) Limpieza por tandas (sin agobio)

3.1 Tanda A (hoy): 15–25 cuentas

  • Todas las marcadas como vulneradas que sean críticas (email/finanzas/redes/tiendas).

3.2 Tandas B–D (esta semana): 20–30 cuentas por tanda

  • Terminar todas las vulneradas.
  • Luego atacar las reutilizadas por “familias” (si una contraseña se repite en 10 sitios, esos 10 caen de golpe).

3.3 Las “poco seguras”

  • Si son únicas y no críticas: se pueden dejar para el final.

4) Separación empresa vs personal (regla práctica)

  • Empresa: Microsoft 365, Zoho, herramientas internas, proveedores, dominios/hosting del curro → Zoho Vault.
  • Personal: compras, ocio, servicios personales, bancos personales → Bitwarden.
  • Si dudas: si el login es @zoopa.es, casi seguro a Zoho.

Checklist de cambio (para cada web)

  1. Iniciar sesión → “Cambiar contraseña”.
  2. Generar contraseña (20–24 chars) en el gestor correspondiente.
  3. Guardar en el gestor.
  4. Activar 2FA/passkey si existe.
  5. Cerrar sesión en otros dispositivos (si la web lo permite).

Mantenimiento (después)

  • 1 vez/mes: revisión rápida de Bitwarden (reutilizadas/vulneradas).
  • Siempre que te registres en un servicio nuevo: contraseña generada + 2FA si se puede.