
Por qué los adjuntos de correo necesitan protección extra
El correo estándar entre proveedores se cifra en tránsito (TLS) pero no de extremo a extremo. Eso significa:- Tu proveedor de correo puede leer el contenido.
- El proveedor de correo del destinatario puede leer el contenido.
- Si el mensaje se reenvía, se archiva o se incorpora a un índice de búsqueda, quedan copias en sitios que tú no controlas.
- Las bandejas compartidas (info@, cuentas@) suelen tener muchos más lectores de los que el remitente imagina.
- Las copias de seguridad de correo pueden persistir siete años o más en sectores regulados, incluso después de borrar el mensaje original de la bandeja.
- Una citación judicial, una investigación interna o una retención legal involuntaria pueden sacar el mensaje de esas copias años después.
Paso a paso: cifra tu PDF

- Abre la herramienta para proteger un PDF con contraseña y sube tu archivo. El original queda intacto en tu equipo.
- Define una contraseña fuerte. El destinatario necesita exactamente esa cadena, así que tecléala con cuidado y pégala desde un gestor de contraseñas en lugar de teclearla dos veces.
- Confirma el nivel de cifrado. Las herramientas modernas vienen por defecto con AES-256, el mismo estándar que usan los bancos y las agencias gubernamentales. Los modos antiguos RC4 y AES-128 siguen existiendo por compatibilidad, pero conviene evitarlos salvo que el destinatario use software muy antiguo (Acrobat 8 o anterior, algunos lectores embebidos en sistemas industriales viejos).
- Descarga el archivo cifrado. Ábrelo tú mismo una vez con la contraseña para verificar que todo funciona y luego adjúntalo al correo.
Verifica antes de enviar. Abre tú mismo el archivo cifrado con la contraseña, en un visor que el destinatario probablemente vaya a usar. Una cantidad sorprendente de quejas de «el cifrado no funciona» resulta ser un error tipográfico en la contraseña, detectado solo después de que el correo ya se haya enviado.Detalle a marcar: si copias una contraseña desde un gestor y tu gestor añade automáticamente un espacio final o una comilla tipográfica, el intento de contraseña en texto plano del destinatario no coincidirá. Quita los espacios y sustituye cualquier comilla «curva» (' ' " ") por comillas ASCII rectas (' ") antes de guardar la contraseña en el gestor. Este es el modo de fallo silencioso de aproximadamente la mitad de los tickets de «el cifrado no funciona» que he visto abrir a colegas. Si el documento es además un borrador o contiene marcas sensibles, quizá quieras añadir también una marca de agua de confidencial para que cualquiera que lo abra vea con claridad que el contenido está restringido.
Cómo compartir la contraseña con seguridad
Esta es la mitad del flujo que se salta la gente, y es la mitad que decide si tu cifrado realmente protege algo.Usa un canal distinto
La regla es simple: la contraseña debe viajar por una vía que no tenga nada que ver con el correo. Buenas opciones:- SMS o mensajería. Manda la contraseña por mensaje de texto o por una mensajería con cifrado de extremo a extremo como Signal o WhatsApp. El número de teléfono es una identidad separada de la cuenta de correo.
- Enlace para compartir del gestor de contraseñas. 1Password, Bitwarden y Dashlane ofrecen funciones de «compartir un elemento» o «compartir por enlace» que caducan tras una sola visualización o un tiempo determinado.
- Entrega verbal en persona o por teléfono. A la antigua, pero infalible. Útil para elementos de alto valor que van a personas a las que puedes llamar.
- Servicios de compartición de secretos. Herramientas como Bitwarden Send o servicios de un solo uso te permiten generar un enlace que se autodestruye al primer acceso.
- Sistema de tickets fuera de banda. Si ambas partes usan un mismo service desk (Jira Service Desk, Zendesk), la contraseña puede viajar como un comentario privado separado del hilo de correo.
- «La contraseña va en el siguiente correo». La misma bandeja, el mismo rastro de auditoría, los mismos reenviadores. El cifrado se queda en un mero badén.
- La contraseña como asunto del correo. El mismo problema, con visibilidad extra.
- Patrones predecibles («la contraseña es el apellido del destinatario»). Quien pueda adivinarla no necesita la contraseña.
- iMessage entre dispositivos mixtos Apple y Android. Si el destinatario no está en iMessage, el mensaje cae a SMS plano, que viaja sin cifrar por la infraestructura del operador.
- Buzón de voz. Muchos sistemas corporativos de buzón de voz almacenan las grabaciones en bandejas integradas con el correo y pueden transcribirse e indexarse.
Elegir una contraseña que no se vaya a romper
El cifrado de PDF usa la contraseña para derivar una clave de cifrado. Las contraseñas débiles se rompen por fuerza bruta sin conexión una vez que un atacante tiene el archivo. Pónselo difícil.- Longitud sobre complejidad. Una cadena aleatoria de 16 caracteres supera a una de 10 con cinco símbolos. «PurpleDolphinChairOcean42» es más fuerte que «P@55!».
- Evita datos personales. El nombre, cumpleaños, empresa y mascota del destinatario son adivinables con un vistazo rápido a LinkedIn.
- Genera, no inventes. Usa el generador de tu gestor de contraseñas. Incluso una passphrase de 4 palabras tipo diceware es muchísimo más segura que algo que te inventes.
- Evita caracteres que se autocorrigen. Algunos teclados (sobre todo móviles) sustituyen de forma automática ciertos signos ASCII por equivalentes tipográficos. Quédate con letras y dígitos si compartes entre plataformas.
Contraseña de apertura frente a contraseña de permisos
El cifrado de PDF admite dos contraseñas distintas y hacen cosas distintas:| Tipo de contraseña | Qué hace | Cuándo usarla |
|---|---|---|
| Contraseña de apertura / usuario | Necesaria para ver el documento. Sin ella, el archivo es texto cifrado ilegible. | Siempre que el contenido en sí sea confidencial. |
| Contraseña de permisos / propietario | Restringe lo que puede hacer quien lo ve (imprimir, copiar texto, modificar). El documento se abre sin ella. | Para documentos que deben poder leerse pero no editarse ni copiarse (plantillas de formularios, informes distribuidos). |
Consejos de correo en torno al cifrado
Dos notas prácticas que pinchan a menudo:- Cifra antes de comprimir. Si el PDF también es demasiado grande para el correo, pasa antes por el paso de comprimir antes de cifrar en lugar de después. Algunos compresores recodifican el archivo en silencio de un modo que elimina el cifrado.
- Avisa al destinatario de que está cifrado. Una nota corta en el cuerpo del correo («Este PDF está protegido con contraseña. Te enviaré la contraseña por SMS en un momento.») evita que el archivo se marque como dañado o se ponga en cuarentena.
- Cuidado con los falsos positivos del antispam. Los adjuntos cifrados no se pueden escanear contra malware, así que los filtros antispam corporativos a veces los marcan o ponen en cuarentena. Avisa al destinatario de que revise su carpeta de spam si no ve el correo en unos minutos, y avisa a IT con antelación en envíos importantes.
- No te mandes la contraseña a ti mismo como «copia de seguridad». Si alguien entra en tu bandeja, el archivo en Enviados y la contraseña en la bandeja de entrada estarán los dos disponibles. Guarda la contraseña solo en tu gestor de contraseñas.
Qué hacer si olvidas la contraseña
Conserva el original sin cifrar en un sitio seguro. El cifrado es simétrico: si pierdes la contraseña, el archivo es prácticamente irrecuperable por medios legítimos. Romper AES-256 por fuerza bruta no es realista en ninguna escala temporal normal: la muerte térmica del sol es la estimación humorística habitual. Si eres dueño del documento y perdiste la contraseña pero aún tienes el original, vuelve a cifrarlo con una nueva y reemplaza el archivo. Si solo tienes la copia cifrada y de verdad eres titular de los derechos, hay herramientas para desbloquear un PDF que te pertenece que pueden intentar quitar protecciones débiles, pero no van a romper una contraseña fuerte de AES-256. (Para protecciones débiles —PDF de «solo permisos» de exportaciones de la era 2003— quitarlas es trivial. Para AES-256 de verdad con una contraseña larga, ríndete.)FAQ
¿El cifrado AES-256 es lo bastante fuerte para documentos legales?
Sí. AES-256 está aprobado para material de máximo secreto por la Agencia de Seguridad Nacional de EE. UU. y lo usan bancos, gobiernos y los grandes proveedores en la nube. El eslabón débil de la seguridad del PDF casi siempre es la contraseña, no el algoritmo.
¿Puedo enviar la contraseña en el mismo correo si la borro después?
No. El correo se replica en servidores, se respalda, se archiva y se reenvía. «Borrar tras enviar» borra solo tu copia local y no hace nada respecto a las decenas de otros sitios donde existe el mensaje. Usa un canal separado.
¿Qué pasa si el destinatario olvida la contraseña?
Le vuelves a enviar la contraseña por un canal seguro. Si ha perdido el archivo y la contraseña, vuelves a cifrar tu original con una nueva y se la reenvías. No hay código de recuperación ni clave maestra para un PDF protegido con contraseña.
¿Cifrar cambia el tamaño del PDF?
Ligeramente. El cifrado añade unos cientos de bytes para los metadatos del handshake de seguridad. El contenido se cifra en sitio, así que un PDF de 5 MB pasa a unos 5.001 MB. No lo suficiente para empujarte por encima del límite de tamaño del correo.
¿Puede el destinatario quitar la contraseña después de abrirlo?
Sí. En cuanto tiene la contraseña, puede quitar el cifrado con cualquier herramienta de PDF estándar. Si necesitas una protección persistente que sobreviva a las acciones del destinatario, el cifrado por sí solo no es la respuesta. Combínalo con marcas de agua y una política de acceso clara, y considera herramientas DRM para distribución de alto valor.
Pruébalo ahora
Cierra primero el archivo, y luego envía la llave por una puerta distinta. Abre la herramienta de protección de PDF y cifra tu documento; después suelta la contraseña en Signal, SMS o el enlace para compartir de tu gestor de contraseñas antes de pulsar enviar en el correo.