¿Es seguro enviar archivos ZIP con contraseña por email? Mejores alternativas

"Comprime el archivo en un ZIP con contraseña, envíalo por email y manda la contraseña en otro correo." Esta práctica es habitual en muchas empresas, pero su seguridad es prácticamente nula.

En Japón, este método se utiliza tanto que tiene nombre propio: PPAP. El gobierno japonés lo prohibió oficialmente en 2020. Veamos por qué toda organización debería hacer lo mismo.

Por qué este método no funciona

1. La contraseña viaja por la misma ruta

El ZIP y la contraseña se envían desde la misma cuenta al mismo destinatario. Si el correo es interceptado, el atacante obtiene ambos. Es como cerrar la puerta con llave y pegar la llave al lado.

2. El software de seguridad no puede escanear el contenido

La mayoría de los gateways de seguridad no pueden inspeccionar ZIPs protegidos con contraseña. En lugar de mejorar la seguridad, esta práctica crea una vía para que el malware evite tus defensas.

3. El cifrado ZIP es débil

El cifrado estándar de ZIP (ZipCrypto) tiene vulnerabilidades conocidas. Con las herramientas adecuadas, se puede descifrar en minutos.

4. No previene envíos al destinatario equivocado

Si envías el primer email a la persona incorrecta, casi seguro enviarás el segundo al mismo destino erróneo.

5. Pésima experiencia de usuario

• Buscar la contraseña entre los correos
• Dificultad para abrir ZIPs en móviles
• Introducir contraseñas repetidamente

Alternativas mejores

Opción 1: Enlaces de almacenamiento en la nube

Usa Google Drive, OneDrive o Dropbox para compartir archivos mediante enlaces.

Ventajas:

• Permisos de acceso granulares
• Seguimiento de descargas
• Posibilidad de revocar acceso
• Escaneo de malware funcional

Desventajas:

• No todos permiten proteger enlaces individuales con contraseña
• Políticas de TI pueden restringir el uso externo

Opción 2: Enlaces protegidos con contraseña

Envuelve tu enlace de la nube con protección por contraseña. LOCK.PUB te permite añadir contraseña a cualquier URL — enlaces de Google Drive, Dropbox o cualquier URL de descarga.

Comparación	ZIP + Email	LOCK.PUB + Nube
Ruta de la contraseña	Misma (email)	Separable
Escaneo de malware	Bloqueado	Funciona
Registro de acceso	No	Sí
Revocar acceso	Imposible	Eliminar enlace
Correo al destinatario equivocado	Sin solución	Eliminar enlace de inmediato

Opción 3: Mensajería empresarial

Comparte archivos directamente por Slack, Microsoft Teams u otras plataformas de mensajería empresarial.

Opción 4: Soluciones empresariales de transferencia

Para organizaciones con requisitos estrictos de cumplimiento, herramientas como Box o SharePoint ofrecen auditoría completa y controles avanzados.

Cómo hacer la transición

1. Evalúa cuánto se usa la práctica ZIP + email en tu organización
2. Elige las herramientas alternativas según tu entorno de TI
3. Migra gradualmente, empezando internamente
4. Formaliza las nuevas políticas y forma a tu equipo

Principio fundamental: separar la contraseña del archivo

La regla de oro: nunca envíes la contraseña por el mismo canal que el archivo.

Envía el archivo (o enlace) por email y la contraseña por WhatsApp o teléfono. Mejor aún, usa LOCK.PUB donde la contraseña está integrada en el enlace — el destinatario la introduce al acceder, sin necesidad de transmitirla por separado.

Conclusión

Enviar ZIPs con contraseña por email solo ofrece una ilusión de seguridad, mientras empeora las cosas al bloquear la detección de malware.

Checklist de archivos compartidos seguros:

• Migrar a enlaces de almacenamiento en la nube
• Añadir protección por contraseña a los enlaces
• Implementar registro de acceso
• Establecer nuevas políticas de compartición
• Formar al equipo en prácticas seguras

→ Crea un enlace protegido con contraseña en LOCK.PUB