GESTOR DE CONTRASEÑAS

¿Qué es un gestor de contraseñas?

Érase una vez, durante los primeros años de Internet, un puñado de contraseñas para unas pocas aplicaciones web de essential que utilizabas para comprar, estudiar, estar conectado y trabajar. Hoy, las cosas son mucho más complicadas. Por término medio, la gente necesita recordar unas 100 contraseñas.

Aunque la tecnología promete hacernos la vida más fácil, y generalmente lo hace, cada nuevo sitio web y aplicación en los que nos registramos es otra contraseña que tenemos que recordar. Para la mayoría, resulta imposible recordarlas todas. Piense en usted mismo: ¿reutiliza sus contraseñas en varias cuentas (como dos tercios de los usuarios de Internet)? Esto es un gran no-no.

Utilizando listas gigantes de contraseñas robadas (también conocidas como "volcados") compradas en laweb oscura, los ciberdelincuentes pueden introducirse por fuerza bruta en otros sitios o utilizar contraseñas antiguas para extorsionar a los usuarios en estafas. Es el efecto dominó de las violaciones de datos. Una filtración lleva a otra, y a otra, y así sucesivamente.

Según los informes, la mayoría de las violaciones de datos se deben a contraseñas comprometidas, débiles y reutilizadas. 1234567, ¿alguien? 

¿Cómo hemos llegado hasta aquí y qué podemos hacer?

El famoso webcómic de xkcd "Password Strength" lo explicaba mejor: "Tras 20 años de esfuerzo, hemos conseguido que todo el mundo utilice contraseñas difíciles de recordar para los humanos, pero fáciles de adivinar para los ordenadores".

Es cierto. Hace 20 años, los profesionales de la ciberseguridad amonestaron a los consumidores por no cambiar las contraseñas por defecto de los dispositivos IoT (como el router de Internet) o por utilizar contraseñas fáciles de adivinar como "12345" o "password". De ahí surgió la contraseña larga y fuerte de la que se burla xkcd: una palabra común con una mezcla de letras mayúsculas y minúsculas, al menos un número y un símbolo.

Al crear una nueva cuenta, los sitios web exigen que creemos contraseñas largas y seguras. Si no, ni siquiera se nos permite crear una cuenta. Suponiendo que uno supere la fase de creación de la cuenta, olvidará enseguida la clave de la máquina Enigma que acaba de crear y se resignará a utilizar el enlace "¿Ha olvidado la contraseña?" como opción de inicio de sesión habitual.

Afortunadamente, no tienes que recordar todas esas contraseñas. Un gestor de contraseñas puede recordarlas por ti.

Malwarebytes Labs define un gestor de contraseñas como "una aplicación informática diseñada para almacenar y gestionar credenciales en línea. También genera contraseñas. Normalmente, estas contraseñas se almacenan en una base de datos encriptada y se bloquean tras una contraseña maestra."

Una vez introducidos en el almacén todos los nombres de usuario y contraseñas de tus cuentas, tu contraseña maestra es la única que tienes que memorizar. Al introducir la contraseña maestra se desbloquea el almacén de contraseñas, desde el que podrás recuperar cualquier contraseña que necesites.

¿Qué ventajas tiene utilizar un gestor de contraseñas?

Ya no tienes que memorizar todas tus contraseñas. Sólo tienes que recordar la contraseña maestra que desbloquea tu almacén de contraseñas. Y si optas por un gestor de contraseñas basado en la nube, podrás acceder a tu almacén de contraseñas en cualquier lugar y desde cualquier dispositivo.

Pueden generar automáticamente contraseñas muy seguras. Los gestores de contraseñas suelen preguntarte si deseas utilizar una contraseña generada automáticamente cada vez que creas una nueva cuenta en un sitio web o una aplicación. Estas contraseñas aleatorias son largas, alfanuméricas y prácticamente imposibles de adivinar.

Pueden alertarte de un sitio de phishing. He aquí un breve repaso a las estafas de phishing. Los correos electrónicos de spam se falsifican para que parezcan proceder de un remitente legítimo, como un amigo, un familiar, un compañero de trabajo o una organización con la que usted hace negocios. Los enlaces contenidos en el correo electrónico dirigen a sitios web maliciosos igualmente falsos diseñados para recopilar credenciales de inicio de sesión. Si utilizas un gestor de contraseñas basado en navegador, no autocompletará los campos de nombre de usuario y contraseña, ya que no reconoce el sitio web como el vinculado a la contraseña.

Pueden ayudar a sus beneficiarios cuando usted fallezca. Es lo que se llama una herencia digital. En caso de fallecimiento, tu familia o quien tú designes para administrar tu patrimonio tendrá acceso a tu bóveda de contraseñas.

Los gestores de contraseñas ahorran tiempo. Además de almacenar contraseñas, muchos gestores de contraseñas también rellenan automáticamente las credenciales para acceder más rápidamente a las cuentas en línea. Además, algunos pueden almacenar y rellenar automáticamente el nombre, la dirección, el correo electrónico, el número de teléfono y la información de la tarjeta de crédito. Esto puede suponer un gran ahorro de tiempo, por ejemplo, a la hora de comprar por Internet.

Muchos gestores de contraseñas se sincronizan entre distintos sistemas operativos (SO). Si eres usuario de Windows en el trabajo y de Mac en casa, utilizas Android de lunes a viernes y iOS los fines de semana, podrás acceder rápidamente a tus contraseñas independientemente de la plataforma en la que te encuentres. Lo mismo ocurre con los navegadores más populares: Chrome, Firefox, Edge, Internet Explorer y Safari.

Ayudan a proteger su identidad. De forma indirecta, los gestores de contraseñas ayudan a protegerte contra el robo de identidad. Al utilizar una contraseña única para cada sitio, básicamente estás segmentando tus datos en cada sitio web y aplicación que utilizas. Si un delincuente piratea una de tus cuentas, no necesariamente podrá acceder a las demás. No es infalible, pero es una capa adicional de seguridad que sin duda agradecerás cuando se produzca una filtración de datos.

¿Son seguros los gestores de contraseñas?

Los gestores de contraseñas han sido hackeados, pero su historial general a la hora de proteger los datos de los usuarios es muy bueno. El gestor de contraseñas LastPass sufrió algunas filtraciones de datos, al igual que otras herramientas de gestión de contraseñas. Hay muchos gestores de contraseñas de buena reputación que utilizan encriptaciones y son seguros de usar en 2023. Un ejemplo es NordPass Password Manager, que también está en la lista de los gestores de contraseñas más seguros de Cyber News.

Es importante recordar que si tu teléfono está infectado con malware, tu gestor de contraseñas también puede ser vulnerado. Por lo tanto, es imprescindible mantener actualizado el software antimalware y antivirus.

¿Cuáles son los tipos de gestores de contraseñas?

Los gestores de contraseñas de sobremesa almacenan tus contraseñas localmente en tu dispositivo, como tu portátil, en una bóveda encriptada. No puedes acceder a esas contraseñas desde ningún otro dispositivo, y si pierdes el dispositivo, pierdes todas las contraseñas almacenadas allí. Los gestores de contraseñas instalados localmente son una gran opción para quienes no quieren que sus datos se almacenen en la red de otra persona. Algunos gestores de contraseñas instalados localmente logran un equilibrio entre privacidad y comodidad al permitirte crear múltiples bóvedas de contraseñas en todos tus dispositivos y sincronizarlas cuando te conectas a Internet.

Los gestores de contraseñas basados en la nube almacenan sus contraseñas cifradas en la red del proveedor de servicios. El proveedor de servicios es directamente responsable de la seguridad de sus contraseñas. La principal ventaja de los gestores de contraseñas basados en la nube ( 1Password y NordPass son buenos ejemplos) es que puedes acceder a tu almacén de contraseñas desde cualquier dispositivo, siempre que tengas conexión a Internet. Los gestores de contraseñas basados en la Web pueden presentarse de diferentes formas, normalmente como una extensión del navegador, una aplicación de escritorio o una aplicación móvil.

Inicio de sesión único (SSO). A diferencia de un gestor de contraseñas que almacena contraseñas únicas para cada aplicación que utiliza, SSO le permite utilizar una contraseña para cada aplicación. Piense en el SSO como si fuera su pasaporte digital. Al entrar en un país extranjero, un pasaporte indica a los funcionarios de aduanas e inmigración que su país de ciudadanía responde por usted y que se le debería permitir la entrada con las mínimas molestias. Del mismo modo, cuando se utiliza el SSO para iniciar sesión en una aplicación, no es necesario verificar su identidad. En su lugar, el proveedor de SSO responde por su identidad. Las empresas prefieren los SSO a los gestores de contraseñas por varias razones. Principalmente, el SSO es una forma segura y cómoda de que los empleados accedan a las aplicaciones que necesitan para realizar su trabajo. Los SSO también reducen el tiempo que el departamento de TI dedica a solucionar problemas y restablecer contraseñas olvidadas.

Buenas prácticas en materia de contraseñas

No reutilices las contraseñas. Ni siquiera con un gestor de contraseñas. En su lugar, crea contraseñas únicas para cada sitio y deja que tu gestor de contraseñas haga para lo que está diseñado. Utiliza un generador de contraseñas seguras y seg uras para crear contraseñas únicas para todas tus cuentas.

Crea contraseñas complejas. Muchos gestores de contraseñas te sugieren automáticamente contraseñas seguras cada vez que creas una cuenta en un sitio nuevo. Si no es así, intenta utilizar una combinación aleatoria de letras y números, y alterna entre mayúsculas y minúsculas. Cuanto más complejas y disparatadas, mejor, sobre todo porque no tendrás que recordarlas. El gestor de contraseñas se encargará de ello. La única diferencia clave está en la creación de la contraseña maestra (la que desbloquea todas las demás contraseñas). Tendrás que recordarla, así que, a menos que tengas memoria eidética, intenta pensar en algo que puedas recordar, pero que no sea fácil de rastrear hasta tu identidad. Añade algunas mayúsculas, algunas letras y algunos caracteres extravagantes y tendrás una contraseña bien protegida.

Utiliza una frase de contraseña. A la hora de crear tu contraseña maestra (la que desbloquea el resto de contraseñas), prueba a utilizar una frase de contraseña; es decir, una serie de palabras fáciles de recordar, pero difíciles de adivinar. Algo familiar con un giro extraño, por ejemplo: "frijol burrito helado partido". O simplemente un montón de cosas aleatorias que un humano puede visualizar fácilmente, pero un ordenador no: "rata elegante coche aguacate neón". Usa tu imaginación. Mascotas, niños u otros nombres de familia, o frases como "¡Déjame entrar!" son demasiado comunes y, por tanto, fáciles de descifrar para los ciberdelincuentes.

Active la autenticación de dos factores (2FA) o la autenticación multifactor (MFA). Una de las mejores formas de proteger cualquier cuenta, con o sin gestor de contraseñas, es activar la MFA. Con un gestor de contraseñas habilitado para MFA, se te pedirá que verifiques tu identidad utilizando dos o más factores de autenticación, que incluyen algo que sabes, algo que posees y algo que eres. Lo que sabes suele ser tu contraseña, pero también puede ser un número PIN. Algo que posee puede ser su teléfono móvil, su tarjeta bancaria o un token de seguridad en una memoria USB. Por último, algo que eres puede verificarse mediante biometría, como el reconocimiento facial, de voz o del iris y la identificación por huella dactilar. También puede aplicarse la biometría del comportamiento, como las pulsaciones de teclas.

Esta capa adicional de seguridad significa que cualquiera que intente acceder a su cuenta (usted incluido) tendrá que controlar esos factores adicionales de autenticación aparte del nombre de usuario y la contraseña. Un ejemplo de esto sería: Después de introducir tu contraseña maestra para acceder al gestor de contraseñas, se enviaría un código a tu teléfono móvil, que tendrías que introducir antes de acceder al almacén. Una cosa a tener en cuenta cuando se utiliza el teléfono como factor de autenticación: los números de teléfono pueden ser secuestrados.

Se llama SIMjacking (también conocido como SIM-swapping) y ocurre cuando un ciberdelincuente, haciéndose pasar por ti, convence a tu compañía telefónica para que reasigne tu número de teléfono al suyo respondiendo con éxito a tus preguntas de seguridad. Una búsqueda superficial en las redes sociales es a menudo todo lo que necesitan los delincuentes para obtener las respuestas que necesitan. Y una vez que los delincuentes tienen el control de tu teléfono, tienen todo lo que necesitan para robar tu identidad. Por lo tanto, para las cuentas importantes, lo mejor es utilizar un autenticador basado en software, como Authy o Google Authenticator.

Piénsatelo dos veces antes de usar gestores de contraseñas gratuitos. Muchos de los gestores de contraseñas gratuitos más populares funcionan en realidad bajo un modelo de negocio freemium, lo que significa que tienes que pagar si quieres las mejores -a veces esenciales- funciones. ¿Necesitas que tus contraseñas se sincronicen entre navegadores y dispositivos? ¿Necesitas una herencia digital? ¿Necesita compartir los inicios de sesión con su familia? ¿Necesitas autenticación multifactor? Los gestores de contraseñas de Free no suelen incluir estas funciones. La autenticación multifactor, en particular, es imprescindible. En el debate entre gratuito y de pago, opta por un gestor de contraseñas de pago.

Cree una política de gestión de contraseñas. Un consejo para las pequeñas y medianas empresas: Crea una política de gestión de contraseñas y haz saber a los empleados que está bien utilizar un gestor de contraseñas para proteger sus cuentas de trabajo. Su personal ya está utilizando una mezcolanza de métodos potencialmente inseguros para tratar de gestionar sus numerosas contraseñas, y la mayoría de las violaciones de datos comienzan con una contraseña débil o reutilizada. Una política oficial de gestión de contraseñas es su primera línea de defensa contra un ciberataque en su red.

Véase también: Passkey