password-security-guideINFO

Los vinculos rusos de Passwork: que encontro la investigacion y como elegir un gestor de contrasenas en el que confiar

Una investigacion de OCCRP encontro que Passwork, un gestor de contrasenas comercializado como europeo, tiene origenes y vinculos rusos vigentes, incluida una empresa hermana certificada por el FSB. Que fue reportado y la lista de verificacion de confianza para elegir un gestor de contrasenas.

Por Eric Gerard · Editor · PwdFortress4 min de lecturaPhoto: Pexels

Tu gestor de contrasenas es la aplicacion mas sensible que posees - guarda las llaves de todo lo demas. Por eso, una investigacion de julio de 2026 sobre Passwork, un gestor comercializado como europeo pero del que se reporta que tiene profundos vinculos rusos, vale la pena entenderla con calma. Esto es lo que realmente dice el reportaje y, mas util aun, la lista de verificacion que senala para elegir un gestor de contrasenas en el que puedas confiar de verdad.

Que encontro la investigacion

Segun una investigacion del OCCRP (Organized Crime and Corruption Reporting Project), con reportajes que la corroboran del Irish Times, DutchNews, NL Times y Cybernews, Passwork se presenta como un producto europeo (con sede en Espana, en passwork.pro) pero tiene origenes rusos que no estaban en primer plano para sus usuarios.

Los puntos clave del reportaje:

  • El software se remonta a Arkhangelsk, Rusia, donde el sitio en ruso passwork.ru fue registrado por primera vez en 2014.
  • Una empresa hermana rusa esta certificada por el servicio de seguridad FSB - una certificacion que, segun el reportaje, requiere que el codigo fuente sea revisado por auditores aprobados por el Estado.
  • Se reporta que los productos europeo (passwork.pro) y ruso (passwork.ru) lanzaron la misma actualizacion 7.6 con un dia de diferencia, lo que indica una base de codigo compartida.
  • La estructura corporativa abarca multiples jurisdicciones, y el producto ha sido utilizado por organismos gubernamentales y universidades europeas, incluidos organismos del Estado irlandes y empresas neerlandesas.

Para ser precisos y justos: el reportaje no alega la existencia de un backdoor probado. La cuestion que plantea es de confianza, transparencia y jurisdiccion.

Por que la confianza en un gestor de contrasenas importa tanto

La mayoria de los fallos de software estan contenidos. Un gestor de contrasenas es diferente, porque guarda todas las credenciales que tienes. Si la empresa detras tiene vinculos no divulgados con un servicio de seguridad estatal - uno que revisa su codigo - entonces la pregunta no es solo "hay un error?" sino "quien tiene en ultima instancia influencia sobre aquello que protege todas mis cuentas?". Por eso los expertos citados en la investigacion lo enmarcan como un riesgo de nivel estatal, y por eso la transparencia sobre la propiedad y la jurisdiccion no es algo opcional para esta categoria. Es lo esencial.

Una mano sosteniendo un candado de laton. Un gestor de contrasenas guarda todas las credenciales que tienes, lo que hace que en quien confias para construirlo sea la pregunta mas importante.
Una mano sosteniendo un candado de laton. Un gestor de contrasenas guarda todas las credenciales que tienes, lo que hace que en quien confias para construirlo sea la pregunta mas importante.

Como elegir un gestor de contrasenas en el que confiar

Esta es la conclusion practica, y va mucho mas alla de un solo producto. Cuando elijas un gestor de contrasenas, busca cuatro cosas:

  • Propiedad y jurisdiccion transparentes. Deberias poder averiguar quien dirige la empresa y bajo que leyes opera, sin necesidad de una investigacion.
  • Codigo open-source mas auditorias independientes recientes. El codigo abierto permite a revisores independientes verificar las afirmaciones; las auditorias de terceros comprueban que la seguridad se sostiene. Juntas convierten el "confia en nosotros" en "compruebalo tu mismo".
  • Cifrado end-to-end y zero-knowledge. Tu boveda deberia cifrarse con una clave derivada de tu contrasena en tu dispositivo, de modo que el propio proveedor no pueda leerla - la proteccion estructural mas fuerte que existe.
  • Un historial real. La longevidad y un historial limpio y transparente importan para algo tan sensible.

Gestores como Bitwarden (open-source y auditado), Proton Pass (con sede en Suiza y auditado) y NordPass (auditado de forma independiente) son ejemplos que cumplen estos criterios - consulta nuestro analisis sobre si los gestores de contrasenas son seguros y los mejores gestores gratuitos para saber como compararlos.

Que hacer si usas Passwork

No entres en panico, pero revisalo. Lee el reportaje, sopesa los vinculos divulgados frente a tu propio modelo de amenazas y, si no te sientes comodo, migra a una alternativa transparente, auditada y zero-knowledge - rotando tus contrasenas mas importantes desde un dispositivo limpio a medida que avanzas. Segun se reporta, las organizaciones mencionadas en la cobertura estan revisando su uso; como individuo, puedes tomar esa decision mas rapido.

En resumen: la historia de Passwork tiene menos que ver con que un producto sea "hackeado" y mas con una leccion que aplica a todos ellos. Como un gestor de contrasenas protege todo, elige uno cuya propiedad sea transparente, cuyo codigo sea abierto y auditado, y cuyo cifrado signifique que no podria leer tu boveda ni aunque quisiera.

Preguntas frecuentes

Que encontro la investigacion sobre Passwork?

Segun una investigacion de OCCRP publicada en julio de 2026, y el reportaje de medios como el Irish Times, DutchNews y Cybernews, Passwork - un gestor de contrasenas presentado como un producto europeo con sede en Espana - tiene origenes y vinculos rusos vigentes. El reportaje rastrea el software hasta Arkhangelsk, Rusia, donde el sitio en ruso passwork.ru fue registrado por primera vez en 2014, y afirma que una empresa hermana rusa esta certificada por el servicio de seguridad FSB, un proceso que requiere que el codigo fuente sea revisado por auditores aprobados por el Estado. Tambien se reporto que las versiones europea y rusa lanzaron la misma actualizacion 7.6 con un dia de diferencia, lo que apunta a una base de codigo compartida.

Es peligroso usar Passwork?

El reportaje no afirma que exista un backdoor probado; la preocupacion que plantean los expertos es sobre confianza, transparencia y jurisdiccion. Un gestor de contrasenas guarda todas las credenciales que tienes, por lo que unos vinculos no divulgados con un servicio de seguridad estatal que revisa el codigo son, en palabras de la investigacion, un riesgo de seguridad de nivel estatal que conviene tomarse en serio, especialmente para organismos gubernamentales y empresas. Si ese riesgo es aceptable es una decision que cada usuario y organizacion debe tomar, pero es exactamente el tipo de cosa sobre la que un gestor de contrasenas deberia ser totalmente transparente.

Como elijo un gestor de contrasenas en el que pueda confiar?

Busca cuatro cosas. Transparencia sobre quien es el propietario de la empresa y bajo que jurisdiccion opera. Codigo open-source mas auditorias de seguridad independientes recientes, para que las afirmaciones puedan verificarse en lugar de aceptarse por fe. Cifrado end-to-end y zero-knowledge, para que el propio proveedor no pueda leer tu boveda. Y un historial solido. Gestores como Bitwarden (open-source, auditado), Proton Pass (suizo, auditado) y NordPass (auditado de forma independiente) son ejemplos que cumplen estos criterios.

Que debo hacer si uso Passwork?

No entres en panico, pero revisalo. Lee el reportaje, sopesa los vinculos divulgados frente a tu propio modelo de amenazas y, si no te sientes comodo, muevete a una alternativa transparente, auditada y zero-knowledge, y rota tus contrasenas mas importantes desde un dispositivo limpio a medida que migras. Segun se reporta, las organizaciones mencionadas en la cobertura estan revisando su uso; las personas individuales pueden tomar la misma decision mas rapido.

El open-source hace que un gestor de contrasenas sea mas seguro?

Ayuda, porque permite que revisores independientes inspeccionen el codigo en lugar de confiar en la palabra del proveedor, el principio de 'no confies, verifica'. El open-source es mas fuerte cuando se combina con auditorias periodicas de terceros y cifrado zero-knowledge. Por si solo no es una garantia, pero combinado con auditorias y un propietario transparente, es una de las senales mas claras de que vale la pena confiar en un gestor de contrasenas.