Guías de seguridad
¿Es seguro guardar tus contraseñas en Google Drive? Cómo conservarlas correctamente
¿Guardas las contraseñas en un documento u hoja de cálculo de Google Drive? Por qué una lista en texto plano es peligrosa — una cuenta de Google se convierte en el punto único de fallo de cada contraseña — en qué se diferencia una bóveda cifrada y por qué un gestor de contraseñas es la respuesta.
Para: cualquiera que guarde las contraseñas de su panel de administración y sus cuentas en un documento u hoja de cálculo de Google Drive, preguntándose "¿es esto seguro?". Aquí va la respuesta honesta. Sin pasos de ataque — solo cómo guardarlas con seguridad.
La visión de este sitio: el problema no es 'usar Drive', es 'el texto plano'
Un error común es "ponerlo en la nube es malo". No lo es. El problema real es tenerlo en texto plano, en una lista. Sincronizar una bóveda de contraseñas cifrada (p. ej. un .kdbx de KeePass) vía Drive es una práctica normal y segura en todo el mundo — el archivo es solo texto cifrado sin su clave maestra. A la inversa, por muy blindada que esté tu cuenta de Google, si el contenido es una tabla en texto plano, cualquiera que entre en esa cuenta lo lee todo. Piensa en términos de "legible sin tu clave, o no" — no en nube vs no-nube.
Por qué una lista en texto plano es peligrosa
Es tentador pensar "está en una cuenta de Google con una contraseña sólida, así que está bien". Pero una lista en texto plano acumula sus propios riesgos.
En concreto, cualquiera de estos filtra la lista entera.
Toma de la cuenta de Google
Conceder una app conectada maliciosa
Phishing por copiar-pegar manual
Proliferación de dispositivos y enlaces compartidos
Y el propio cifrado de Google Drive es del tipo "Google puede leerlo", no de grado secreto. Haz los secretos ilegibles sin tu clave antes de entregarlos a cualquier proveedor — esa es la regla para manejar secretos (misma idea que en archivos .env y secretos).
Una escala de peligroso a seguro
Incluso "guardado en Drive" varía enormemente según lo que haya dentro.
✗ tabla en texto plano
escrita directamente en un documento/hoja
△ zip cifrado
archivo protegido con contraseña; la fricción lo mata
○ bóveda cifrada
un .kdbx de KeePass sincronizado vía Drive
◎ gestor de contraseñas
Bitwarden/1Password; autocompletado + monitoreo
Cómo guardarlas correctamente
La mejor respuesta es pasarte a un gestor de contraseñas dedicado. Estos pasos te gradúan de una lista en texto plano.
Usa un gestor de contraseñas dedicado
Haz la contraseña maestra larga y única
Pon MFA resistente al phishing en el gestor y en tu cuenta de Google
Una vez migrado, borra la lista en texto plano para siempre
Pásate a passkeys donde puedas
Una lista en texto plano en Google Docs
- una cuenta cae y todo se filtra
- puedes pegar en un sitio falso a mano (sin defensa antiphishing)
- sin detección de brechas, autocompletado ni versionado
- el acceso de apps conectadas puede leer el contenido
Un gestor de contraseñas dedicado
- el contenido sigue cifrado al sincronizar (el proveedor no puede leerlo)
- no autocompleta en un dominio falso = resistente al phishing
- generación robusta, monitoreo de brechas e historial integrados
- protegido por una clave maestra más MFA
Si aun así quieres usar Drive
Dos condiciones mínimas. 1) Guarda solo un archivo de bóveda cifrado (.kdbx, etc.) — nunca un documento/hoja en texto plano. 2) Pon MFA resistente al phishing en la cuenta de Google. Con ambas, Drive se convierte en un mero "sitio de sincronización de texto cifrado", y el riesgo baja drásticamente.
Qué hace este sitio
Este sitio mantiene los secretos — contraseñas, claves, cadenas de conexión — fuera de los documentos compartidos, fuera del repositorio de código y fuera de las notas de traspaso, nunca en texto plano (→ mantener los secretos fuera de git). Los inicios de sesión del día a día viven en un gestor de contraseñas, y las cuentas importantes se refuerzan por partida doble con MFA resistente al phishing. La razón es simple: nunca construyas un estado en el que "un sitio cae y todo cae". Una lista en texto plano es la forma de manual de crear exactamente ese "un sitio para todo", así que la evitamos.
Sigue leyendo
- Cómo funciona: cómo guardar contraseñas con seguridad (hashing + salt) ── tras tu propio almacenamiento, cómo debería guardarlas el servicio
- Glosario: qué es el hashing / qué es un salt
- Base: la lista de comprobación de la base de seguridad (llaves del reino, proteger los secretos)
- Glosario: archivos .env y secretos
- Autoalojamiento: mantener los secretos fuera de git / Git autoalojado vs GitHub
- Herramienta: comprobador de fortaleza de contraseñas
FAQ
Q¿Es seguro guardar contraseñas en Google Drive?
Si están en un documento u hoja de cálculo en texto plano, es peligroso. Una cuenta de Google se convierte en el punto único de fallo de cada contraseña — la toma de la cuenta, una app conectada maliciosa o el phishing las filtran todas de golpe. Pero guardar solo un archivo de bóveda cifrado (como un .kdbx de KeePass) en Drive está bien — el archivo es inútil sin su clave maestra.
Q¿Dónde debería guardarlas en realidad?
En un gestor de contraseñas dedicado (Bitwarden / 1Password / KeePass). El contenido sigue cifrado incluso al sincronizar entre dispositivos (el proveedor no puede leerlo), con generación robusta, autocompletado antiphishing (no rellena en un sitio parecido) y monitoreo de brechas — nada de lo cual tiene una hoja de cálculo.
Q¿No está cifrado Google Drive de todos modos?
Google cifra en reposo y en tránsito, pero ese es un cifrado de tipo 'Google puede leerlo', no de grado secreto. Cualquiera que entre en tu cuenta de Google, o cualquier app conectada a la que diste acceso a Drive, puede ver el contenido. Los secretos deberían ser ilegibles sin TU clave antes de entregarlos a cualquier proveedor.