Vaulted
Actualizado

Nunca compartas contraseñas en Slack: riesgos y alternativas

Por

Compartir contraseñas en Slack es un riesgo de seguridad porque Slack conserva los mensajes indefinidamente, hace que sean buscables por los administradores del espacio de trabajo y los expone a integraciones de aplicaciones de terceros. Usa enlaces que se autodestruyen y cifrados en su lugar: herramientas como Vaulted cifran las credenciales en tu navegador antes de enviar nada.

Según el DBIR 2025 de Verizon, el 22% de las filtraciones de datos involucraron credenciales comprometidas como vector de ataque inicial. Y según una investigación de Beyond Identity, más del 41% de los empleados han compartido contraseñas del trabajo, a menudo a través de canales inseguros como el chat y el correo electrónico.

Qué le pasa realmente a esa contraseña

Cuando pegas una credencial en Slack, no solo llega a la otra persona. Se convierte en datos que Slack almacena, indexa y conserva, a menudo mucho después de que te hayas olvidado de ella.

Slack conserva los mensajes en sus servidores. En los planes de pago, los administradores del espacio de trabajo pueden configurar políticas de retención, pero muchos dejan la opción predeterminada: conservarlo todo, para siempre. En Enterprise Grid, las organizaciones pueden exportar y buscar en el historial completo de cada DM y canal, incluidos los mensajes entre usuarios individuales.

Los mensajes de Slack son buscables. Cualquiera con los permisos adecuados puede buscar palabras clave en todo el espacio de trabajo. Una búsqueda de "password" o "API key" en la mayoría de los espacios de trabajo arrojaría resultados que harían estremecer a un auditor de seguridad.

Las aplicaciones de terceros pueden leer los mensajes. Cada aplicación de Slack con los scopes de OAuth adecuados puede acceder al historial de mensajes. ¿Ese bot de productividad que tu equipo instaló el año pasado? Podría tener acceso de lectura a canales y DMs. No solo estás confiando en la seguridad de Slack, sino en la de cada integración conectada a tu espacio de trabajo.

Los mensajes sobreviven a las bajas. Cuando alguien deja la empresa, sus mensajes de Slack permanecen. ¿Ese DM con la contraseña de la base de datos? Sigue ahí, legible por los administradores, incluso después de que la cuenta de la persona se haya desactivado.

Según el informe State of Secrets Sprawl 2025 de GitGuardian, el 2,4% de los canales corporativos de Slack contenían secretos filtrados, y el Cost of a Data Breach Report 2025 de IBM determinó que el coste medio de una filtración de datos alcanzó los 4,44 millones de dólares a nivel mundial.

El problema del cumplimiento normativo

Si tu empresa está trabajando para lograr el cumplimiento de SOC 2, ISO 27001 o HIPAA, compartir credenciales en Slack es un hallazgo a punto de ocurrir.

Los auditores preguntan específicamente cómo transmite tu equipo las credenciales sensibles internamente. "Las pegamos en Slack" no es la respuesta que buscan, y puede retrasar o bloquear tu certificación.

Los Trust Services Criteria de SOC 2 exigen controles sobre cómo se transmiten los datos sensibles. Los enlaces que se autodestruyen, con límites de vistas y cifrado, satisfacen ese control. Los mensajes de Slack no.

Qué hacer en su lugar

La solución es sencilla: cifra la credencial antes de que salga de tu dispositivo y comparte un enlace que se autodestruye después de verlo.

Desde tu navegador

  1. Ve a vaulted.fyi
  2. Pega la contraseña o credencial
  3. Configúrala para que caduque tras 1 vista
  4. Envía el enlace por Slack (o donde sea)

La credencial se cifra con AES-256-GCM en tu navegador mediante cifrado del lado del cliente. La clave de descifrado vive únicamente en el fragmento de la URL: nunca llega al servidor. Después de que tu compañero abra el enlace, el secreto se elimina permanentemente.

Ahora, cuando alguien busque "password" en Slack, encontrará un enlace muerto en lugar de una credencial viva.

Desde la terminal

Si vives en la línea de comandos, la CLI de Vaulted hace lo mismo:

npx vaulted-cli "staging-db-password" --views 1 --expires 1h

Conéctalo por pipe, ponlo en un script, créale un alias. El mismo cifrado de extremo a extremo, los mismos enlaces que se autodestruyen.

En flujos de trabajo de CI/CD

¿Compartiendo credenciales entre flujos de trabajo de GitHub Actions? La GitHub Action de Vaulted también se encarga de eso:

- uses: vaulted-fyi/share-secret@v1
  with:
    secret: ${{ secrets.DEPLOY_KEY }}
    views: 1
    expires: 1h

Reglas rápidas para tu equipo

  1. Nunca pegues credenciales directamente en ninguna aplicación de chat: Slack, Teams, Discord, ninguna de ellas
  2. Usa enlaces que se autodestruyen: una vista, caducidad corta, siempre
  3. Añade una frase de contraseña para credenciales sensibles: compártela por un canal separado (teléfono, en persona)
  4. Rota las credenciales después de compartirlas: trata cada traspaso como una posible exposición
  5. Define una política de equipo: haz que compartir de forma cifrada sea la norma, no la excepción

Esa contraseña en Slack parece inofensiva en el momento. Pero es buscable, permanente y está a una integración mal configurada de quedar expuesta.

Compártela de forma segura en su lugar: tardas los mismos tres segundos.

Relacionado