Reseña de 1Password Business: 12 meses usándolo

Hace exactamente un año empezamos el rollout de 1Password Business en una empresa de ~45 empleados con una mezcla típica de perfiles: equipo técnico (devs, sysadmin, DevOps), equipo comercial, marketing, administración y gerencia. Antes teníamos el desastre habitual — un Excel compartido en el Drive con "contraseñas importantes", passwords reutilizadas entre servicios personales y laborales, y al menos tres gerentes que guardaban todo en una libreta física.

Esta reseña no es un resumen de la web del producto. Es lo que aprendimos usándolo todos los días durante 12 meses, los problemas reales que aparecieron, las decisiones de configuración que tomamos y lo que haría distinto si tuviera que empezar de nuevo.

TL;DR — 1Password Business cumple. La UX sigue siendo la mejor del mercado, el SSO con Azure AD funciona sin sorpresas y las Developer Tools se volvieron críticas para nuestro pipeline. Los problemas fueron menores y mayormente de onboarding. El costo se justifica si sos una empresa con más de 20 personas y al menos algún equipo técnico.

Contexto previo: por qué elegimos 1Password

Antes del rollout evaluamos tres productos durante 6 semanas:

  • Bitwarden Business — el candidato más barato y con autohospedaje
  • Dashlane Business — el que más les gustó visualmente al equipo no técnico
  • 1Password Business — el que recomendaba casi todo el mundo en foros de seguridad

Las razones concretas por las que terminamos con 1Password:

  1. Adopción esperada — en las pruebas piloto con 5 usuarios no técnicos, 1Password tuvo el menor número de preguntas de soporte en los primeros 7 días.
  2. Developer Tools — necesitábamos integrar secretos en GitHub Actions y Terraform. 1Password tenía la solución más madura.
  3. Secret Key — la arquitectura criptográfica nos dio tranquilidad frente al fantasma de lo que le pasó a LastPass en 2022.
  4. Cuenta Families gratis — cada empleado recibe una cuenta para uso personal, lo que fomenta la adopción diaria.

El precio fue el punto débil: USD 7,99 por usuario/mes contra los USD 4-6 de Bitwarden. En nuestro caso, la diferencia anual eran alrededor de USD 1.000 extra, que se justificaba si ahorrábamos al menos 20 horas de soporte interno al año. Se justificó.

El rollout: semanas 1 a 4

Semana 1 — Configuración inicial y piloto

Arrancamos con la cuenta de administrador y 5 usuarios piloto: dos del equipo técnico, dos de comercial y el CFO. La idea era identificar problemas antes de escalar a toda la empresa.

Lo que funcionó bien desde el día 1:

  • Setup de la cuenta Business — menos de 30 minutos incluyendo verificación de dominio por DNS
  • Invitaciones iniciales — email automático con Secret Key generada
  • Extensiones de navegador — se instalaron sin fricción en Chrome, Firefox y Edge
  • Apps móviles — onboarding con código QR, 2 minutos por usuario

Lo que nos hizo perder tiempo:

  • La Secret Key es difícil de explicar a usuarios no técnicos. Tuvimos que armar un PDF interno explicando qué es, por qué es importante y dónde guardarla. El mensaje que finalmente funcionó fue: "es como el número de serie de tu casa fuerte; sin él, ni vos ni 1Password pueden abrirla".
  • Dos de los cinco usuarios piloto perdieron su Emergency Kit en los primeros días. Solución: generamos kits nuevos y los guardamos en una bóveda administrativa de emergencia, además de pedirles que lo imprimieran físicamente.

Semana 2 — Integración con Azure AD (SSO)

Activamos 1Password SSO con Unlock contra nuestro Azure AD. Este fue el cambio que más valor agregó a la experiencia del usuario final, y también el más técnicamente delicado.

Pasos concretos que seguimos:

  1. Configurar la app empresarial de 1Password en Azure AD
  2. Habilitar SCIM provisioning con el token generado desde 1Password
  3. Mapear grupos de Azure AD a grupos de 1Password (Devs, Marketing, Comercial, Admin)
  4. Activar Conditional Access para requerir MFA de Azure AD al desbloquear 1Password
  5. Migrar usuarios existentes al flujo de SSO (uno por uno para evitar lock-outs)

El beneficio más tangible: los empleados pasaron de recordar una Master Password compleja a desbloquear 1Password con su MFA de Microsoft que ya usaban para email. Las llamadas al helpdesk por "no me acuerdo la master password" cayeron a cero.

Advertencia práctica — cuando migrás a SSO, la Master Password vieja deja de funcionar pero la Secret Key sigue siendo necesaria en cada dispositivo nuevo. No es obvio para los usuarios y genera confusión. Lo explicamos en un video interno de 3 minutos que grabé en Loom.

Semanas 3 y 4 — Rollout masivo

Con el piloto estable, hicimos rollout por grupos:

  • Semana 3 — equipo técnico completo (15 personas). Cero incidentes.
  • Semana 4, días 1-3 — comercial y marketing (20 personas). 4 incidentes menores (olvido de Secret Key, problema con extensión en Safari).
  • Semana 4, días 4-5 — administración y gerencia (10 personas). 2 incidentes (un gerente se negó a usar MFA "por incómodo", se resolvió con una charla con el CEO).

Lección aprendida: el orden importa. Empezar por el equipo técnico reduce preguntas porque ellos terminan ayudando al resto. Si empezás por gerencia, cada problema termina en tu helpdesk.

La experiencia diaria durante 12 meses

Lo que funciona extraordinariamente bien

Autofill en navegador

Probablemente la feature más usada y la que más silenciosamente gana la batalla de la adopción. El autofill de 1Password es notoriamente mejor que el de Chrome o el de Bitwarden: detecta formularios atípicos, maneja bien los 2FA integrados (TOTP), y no se equivoca de campo como otros.

En 12 meses conté menos de 10 quejas del equipo sobre autofill que no funciona — y la mayoría eran páginas internas con formularios raros.

Gestión de secretos para desarrolladores

Acá es donde 1Password se separa de la competencia. Implementamos:

  • op CLI en las máquinas de todos los devs
  • Shell plugins para AWS, GitHub y Terraform
  • Service Accounts para GitHub Actions
  • Connect para un par de pipelines internos

Antes, nuestros devs tenían .env files con secretos en local, AWS access keys pegadas en Slack y tokens de API guardados en Notion. Después:

# Antes
export AWS_ACCESS_KEY_ID="AKIA..."
export AWS_SECRET_ACCESS_KEY="abc123..."

# Después
eval $(op signin)
op plugin run -- aws s3 ls

El ROI acá fue el más alto del despliegue. Cero secretos hardcodeados en los repos desde que implementamos el hook de pre-commit que escanea por patrones de credenciales.

Bóvedas compartidas por equipo

Creamos bóvedas para:

  • Admin — Infra (DNS, cuentas raíz de cloud, dominios)
  • Admin — SaaS (cuentas corporativas de herramientas)
  • Marketing (redes sociales, herramientas propias)
  • Comercial (CRMs, portales de clientes)
  • Ejecutivo (accesos sensibles, visibles solo al C-level)

La herencia de permisos por grupo de Azure AD hace que cuando un empleado cambia de rol, los accesos se ajustan automáticamente. Esto es oro puro para offboarding.

Watchtower

Nos alertó de 3 brechas de terceros en el año antes de que nos enteráramos por otros canales (una de un SaaS de marketing, una de un proveedor de videoconferencia y una de un servicio de analytics). En los tres casos, rotamos credenciales el mismo día del aviso.

Lo que es apenas "bueno"

Apps nativas

Son correctas pero no excepcionales. La app de Windows tuvo un bug molesto durante 3 meses donde perdía el login al suspender el equipo — se resolvió en una actualización. La de macOS es la mejor. La de Linux funciona pero no es prioritaria para 1Password: se nota en el pulido.

Passkeys

1Password fue de los primeros en soportar passkeys y la integración es buena, pero la adopción del lado de los servicios web es lenta. Al cabo de 12 meses, solo un 20% de nuestros logins usaba passkey en lugar de password + TOTP. No es culpa de 1Password, pero es la realidad del mercado.

Administración de políticas

La consola de administración es funcional pero no brillante. Para cosas básicas (crear grupos, mover usuarios, ver reportes) funciona bien. Para políticas más complejas (requisitos granulares por grupo, reglas de firewall) la UI se siente algo limitada comparada con, digamos, la consola de Okta.

Lo que nos frustró

Recuperación de cuentas

Cuando un usuario pierde la Secret Key y olvida la Master Password simultáneamente, no hay recuperación posible. Es una decisión de diseño de seguridad correcta, pero pasa.

En 12 meses nos pasó dos veces. La solución de 1Password es el Recovery de administrador: el admin puede recuperar una cuenta siempre que el usuario tenga al menos un dispositivo sincronizado. Si el usuario perdió el dispositivo y la Secret Key y la Master Password — todo simultáneamente — hay que crear una cuenta nueva desde cero y repoblar bóvedas compartidas.

Hicimos dos cosas para mitigar:

  1. Bóveda de Emergency Kits — cifrada, con acceso solo de dos administradores, donde guardamos copias de los kits de todos los empleados.
  2. Capacitación obligatoria — cada empleado nuevo tiene que imprimir el Emergency Kit físicamente y guardarlo en su casa antes de recibir credenciales corporativas.

Consola de reportes

Los reportes básicos están pero faltan cosas que en auditorías internas habrían sido útiles: filtros por fecha más granulares, exportación programada a SIEM sin tener que usar la API, dashboards personalizables. Terminamos usando la Events API con un script propio que vuelca todo a nuestro Splunk.

Soporte en español

Todo el soporte técnico avanzado es en inglés. Para nuestro equipo técnico no es problema, pero los gerentes lo notaron. La documentación pública tiene traducción al español aceptable pero los artículos más técnicos están solo en inglés.

Problemas reales durante los 12 meses

Incidente 1 — Bug de sincronización en macOS (mes 3)

Un desarrollador reportó que la app no sincronizaba nuevas credenciales. Diagnóstico: un bug conocido en la versión de macOS que teníamos, se resolvía cerrando y abriendo sesión. Reportado al soporte, confirmado como bug, arreglado en 10 días en una actualización. Afectó a 3 personas en total.

Incidente 2 — SSO quebrado por cambio en Azure (mes 7)

Un cambio en políticas de Conditional Access en Azure AD rompió el login de 1Password para un grupo de usuarios durante 2 horas. No fue culpa de 1Password, pero mostró que el SSO introduce dependencia: si tu IdP está caído, tu password manager también lo está.

Solución: configuramos una cuenta de administración de respaldo sin SSO (solo Master Password + Secret Key + YubiKey) para poder acceder en emergencias.

Incidente 3 — Empleado comprometido (mes 9)

Un empleado cayó en un phishing sofisticado dirigido a credenciales corporativas. El atacante obtuvo el email y password de Azure AD, pero no pudo acceder a 1Password porque:

  1. Azure AD requería MFA (app Authenticator)
  2. 1Password requería la Secret Key del dispositivo original
  3. El intento de login generó una alerta en la consola de 1Password desde una IP sospechosa

Detectamos el intento en menos de 10 minutos, rotamos credenciales de Azure, revisamos auditorías y no hubo compromiso real. Este incidente pagó solo 1Password para todo el año.

ROI concreto después de 12 meses

Números reales que medimos:

  • Tiempo ahorrado en soporte interno — reducción del 70% en tickets de "olvidé mi password de X"
  • Onboarding nuevos empleados — de 4 horas promedio a 45 minutos (todas las credenciales se asignan automáticamente por grupo)
  • Offboarding — de 2-3 horas manuales a 10 minutos (revocar acceso al IdP revoca todo)
  • Incidentes de seguridad evitados — al menos 1 documentado (el del mes 9), probablemente más
  • Auditoría SOC 2 — el password manager fue un control validado rápidamente, sin hallazgos

Costo anual real: USD 4.315 (45 usuarios × USD 7,99 × 12 meses, con descuento anual aplicado).

Estimación conservadora del ahorro: USD 15.000 a 20.000 entre tiempo de soporte evitado, onboarding eficiente y la prevención de un solo incidente de seguridad.

Comparación honesta con Bitwarden y Dashlane

Dónde 1Password gana claramente

  • UX y adopción — el equipo no técnico realmente lo usa
  • Developer Tools — incomparable para DevOps
  • Arquitectura Secret Key — tranquilidad criptográfica real
  • Cuenta Families gratis — detalle que suma mucho

Dónde Bitwarden sería mejor

  • Presupuesto muy ajustado — la diferencia de precio en empresas grandes es real
  • Requisito de autohospedaje — si tu compliance lo pide, Bitwarden es la única opción entre los líderes
  • Equipos 100% técnicos — devs experimentados no necesitan la UX premium

Dónde Dashlane sería mejor

  • Empresas sin DevOps — si no usás GitHub Actions ni Terraform, las Developer Tools de 1Password son overkill
  • VPN incluida — si no tenés VPN empresarial, Dashlane la trae integrada
  • Foco en privacidad — el dark web monitoring de Dashlane es algo más agresivo

Qué haría distinto si tuviera que empezar de nuevo

  1. Empezar por el equipo técnico primero — ya lo hicimos, lo volvería a hacer.
  2. Imprimir el Emergency Kit antes del primer login — obligatorio, no opcional.
  3. Configurar la cuenta admin de respaldo sin SSO desde el día 1 — tardamos 7 meses en darnos cuenta y fue suerte no haberla necesitado antes.
  4. Crear la bóveda de Emergency Kits administrativa desde el inicio — lo hicimos tarde, tuvimos que rehacer el proceso.
  5. Grabar los tutoriales internos antes del rollout masivo — subestimamos cuántas preguntas se repetían.
  6. Habilitar Watchtower y los reportes de Exposed Passwords desde la semana 1 — encontramos problemas heredados que teníamos hacía años.

Recomendación final por tamaño de empresa

1 a 10 empleados, todos técnicos — Bitwarden. El precio y el autohospedaje justifican la UX algo inferior.

10 a 50 empleados, mixtos — 1Password. El caso de uso típico donde la adopción del equipo no técnico es el factor decisivo.

50 a 200 empleados, con equipo DevOps — 1Password sin dudarlo. Las Developer Tools se vuelven críticas.

Más de 200 empleados o con requisitos de autohospedaje — Bitwarden Enterprise autohospedado, o evaluar alternativas como CyberArk / Delinea para PAM corporativo.

Foco en privacidad o empleados con mucha movilidad — Dashlane por la VPN integrada y el dark web monitoring.

Conclusión

Después de 12 meses, 1Password Business sigue siendo la herramienta con la que empezaría mañana si tuviera que rearmar todo. No es perfecta, no es la más barata y tiene puntos débiles claros (consola de reportes, recuperación, soporte en español). Pero hace las tres cosas que importan:

  1. La gente lo usa de verdad
  2. La seguridad es real y verificable, no marketing
  3. Los devs lo adoran y eso rara vez pasa con herramientas empresariales

Si estás evaluando password managers en 2026 y tu empresa encaja en el perfil "mid-market con algo de madurez técnica", es muy difícil equivocarse eligiendo 1Password Business. Si sos más chico, más grande o más técnico, revisá las alternativas — pero empezá siempre por ahí.

¿Tenés preguntas específicas sobre el rollout, la configuración de SSO o las Developer Tools? Escribinos a contacto@capacero.online y actualizamos esta reseña con lo que vayamos aprendiendo en los próximos meses.