A medida que nos adentramos en 2024, surge una nueva era de amenazas digitales que promete transformar nuestra relación con la tecnología. Mientras nos preparamos para navegar por este nuevo año, nos surge una duda: tu smartphone, el dispositivo que contiene toda nuestra vida, puede convertirse en tu peor enemigo. Te contamos por qué.
¿Qué es un gestor de contraseñas?
Un gestor de contraseñas es una aplicación o complemento del navegador que almacena en tu dispositivo los nombres de usuario y las contraseñas de los sitios web que visitas. Lo hace con tu permiso. También puede generar contraseñas seguras a petición del usuario.
Cuando utilizas un gestor de contraseñas, sólo tienes que recordar una contraseña segura para el gestor, en lugar de inventar y memorizar contraseñas seguras (difíciles de recordar) y únicas para cada sitio y servicio que visitas.
¿Cómo funcionan los gestores de contraseñas?
El funcionamiento de un gestor de contraseñas es muy sencillo. Es una aplicación o un complemento del navegador que detecta cuándo introduces tus datos de acceso en un sitio web, servicio o aplicación. Te pide que los registres y, si decides hacerlo, los datos se encriptan y almacenan en lo que se conoce como un almacén de contraseñas.
Los usuarios pueden utilizar estos datos para iniciar sesión en sus cuentas en línea sin tener que recordar una contraseña única para cada una.
Tipos de gestores de contraseñas (y sus ventajas e inconvenientes)
En general, existen dos tipos de gestores de contraseñas: los que las almacenan localmente y los que las almacenan en línea. Ambos enfoques tienen sus ventajas e inconvenientes.
Gestores de contraseñas locales
Los gestores de contraseñas locales almacenan tus contraseñas en tus dispositivos o navegadores. Esto elimina el riesgo de perder las credenciales en caso de que se produzca una filtración de datos en toda la empresa. Además, suelen ser gratuitos.
Sin embargo, recuerda que una solución local es vulnerable a problemas con los propios dispositivos. Por ejemplo, la seguridad de tus contraseñas podría verse comprometida si el dispositivo se infecta con malware. Son vulnerables al malware y a los virus. Y si tu ordenador se estropea, todas tus contraseñas desaparecerán.
Los gestores de contraseñas almacenados localmente también son menos prácticos, ya que tendrás que instalarlos en cada dispositivo que utilices. Así que si intentas iniciar sesión en Facebook en un dispositivo que no posees, tendrás que recordar la contraseña.
Gestores de contraseñas en Cloud
Los gestores de contraseñas basados en la nube almacenan tus contraseñas en bases de datos en la nube. Son más cómodos porque puedes acceder a ellos desde cualquier lugar. Sin embargo, están potencialmente expuestos a filtraciones de datos. Por eso es tan importante encontrar un proveedor de gestores de contraseñas fiable.
A diferencia de los gestores de contraseñas locales, sus equivalentes en Cloud no están vinculados a un único dispositivo. De hecho, puedes utilizar uno desde cualquier lugar del mundo, siempre que tengas acceso a Internet.
Los gestores de contraseñas en la nube también son más seguros porque no son vulnerables al malware que podría infectar tus dispositivos. Las únicas amenazas para la seguridad de su privacidad en línea son las brechas que pueden producirse en las operaciones de seguridad de Cloud.
¿Cuáles son los riesgos de utilizar un gestor de contraseñas?
Estos son los principales riesgos que corres como usuario de un gestor de contraseñas:
- Todos tus datos en un solo lugar: los piratas informáticos sólo tienen que entrar en el gestor de contraseñas para acceder instantáneamente a todas tus cuentas (excepto a las que requieren verificación en dos pasos). Además, algunos gestores de contraseñas también almacenan los datos de tu tarjeta bancaria, lo que supone un riesgo adicional.
- El gestor puede no ser seguro: si buscas el gestor de contraseñas más barato, es probable que encuentres uno con un bajo nivel de encriptación, malas prácticas de seguridad, etcétera. Puede que ni siquiera haga copias de seguridad de tu almacén de contraseñas, lo que significa que un fallo en los servidores provocaría la desaparición de todas tus credenciales almacenadas.
- Comprometer tu dispositivo podría comprometer el gestor: si utilizas un gestor de contraseñas en tu PC, por ejemplo, y éste se infecta con malware, todos tus datos, incluido el gestor de contraseñas, podrían estar en peligro. Aunque no sea tan fácil como robar tu almacén de contraseñas (está encriptado), podría darte acceso al propio gestor.
- Olvidar la contraseña maestra: siempre necesitas una contraseña segura para el gestor de contraseñas. Esto significa que no puedes utilizar tu fecha de nacimiento, el nombre de tu mascota o cometer cualquier otro error al crear la contraseña. Pero una contraseña segura puede ser más difícil de recordar.
Errores que hay que evitar en la seguridad de las contraseñas
Para utilizar un gestor de contraseñas gratuito de forma segura, tienes que seguir las normas de seguridad de las contraseñas:
- No repitas la misma contraseña: si ya la has utilizado antes, no la uses como contraseña principal para tu gestor de contraseñas.
- Utiliza una contraseña segura: el truco está en evitar las fechas y las palabras del diccionario. También es útil añadir al menos un carácter no alfanumérico. Acuérdate de crear una mnemotecnia que te ayude a recordar esa gran contraseña.
- No guardes la contraseña por ahí: no puedo decirte cuál es el lugar físico adecuado para guardar tu contraseña maestra, pero desde luego no es tu cartera, una nota adhesiva en tu pantalla, una nota en tu smartphone o un archivo .txt en tu escritorio. El lugar más seguro es tu cabeza.
- No utilices el almacenamiento de contraseñas del navegador: utiliza un gestor de contraseñas en lugar de la función de almacenamiento de contraseñas del navegador. Del mismo modo, no almacene su contraseña principal en el navegador.
- Activa la autenticación de doble factor: la autenticación de doble factor puede parecer tediosa, pero lo es aún más para terceros malintencionados. Utilícela.
¿Son seguros los gestores de contraseñas?
Nada es seguro al 100%, pero un buen gestor de contraseñas cuenta con un gran número de medidas de seguridad para garantizar la seguridad de tus datos. Esto es lo que ofrecen los mejores.
Cifrado
Los gestores de contraseñas cifran tus datos mediante el algoritmo AES-256, el mejor disponible hoy en día y que ningún ordenador podría descifrar en toda su vida.
Cero conocimiento
Esto significa que la contraseña se cifra antes de ser enviada al almacén. En caso de que el servidor fuera pirateado, terceros sólo encontrarían datos inutilizables. Otros servicios simplemente almacenan las contraseñas en su dispositivo, lo que es ligeramente más seguro pero mucho menos práctico.
Una sola contraseña
Si sólo tuviera que recordar una contraseña, probablemente podría recordar cualquier cadena aleatoria de letras, números y signos de puntuación.
Buenas contraseñas
Un ordenador puede generar una contraseña más segura que tú y almacenar un número indefinido de ellas. Así, a la hora de iniciar sesión, todas tus cuentas se beneficiarán del mismo nivel de seguridad.
Autenticación de dos factores
La autenticación de dos factores refuerza la seguridad de tus cuentas pidiéndote que confirmes tu conexión en otro dispositivo. Esto dificulta que alguien acceda a tu gestor de contraseñas si lo tiene a mano.
Biometría
¿Por qué no hacer que la autenticación 2FA sea aún más difícil de descifrar y manipular utilizando tu huella dactilar como segundo candado de tu gestor de contraseñas? Esto es opcional y todavía no es esencial.
Supervisión de amenazas
Algunos gestores de contraseñas llegan incluso a avisar a los usuarios cuando sus contraseñas han sido filtradas en una filtración, animándoles a cambiarlas.
¿Qué gestores de contraseñas son seguros?
En general, existen algunos de los principales actores del mercado. Para empezar, te recomendamos que eches un vistazo a estos servicios:
- NordPass
- Proton Pass
- 1Password
- Dashlane
- Bitwarden («Open Source»)
¿Se puede piratear un gestor de contraseñas?
Técnicamente, sí, es posible que un gestor de contraseñas sea pirateado de una forma u otra. Pero, como ya se ha mencionado, el cifrado hace que cualquier intento de pirateo sea prácticamente inútil.
Echemos un vistazo a algunos hackeos recientes de gestores de contraseñas:
2015 : LastPass perdió los correos electrónicos y los recordatorios de contraseñas de los usuarios, pero se hizo poco daño porque todos los accesos a las cuentas de los usuarios seguían teniendo que confirmarse por correo electrónico.
2016 : Hackers éticos y expertos en seguridad descubrieron vulnerabilidades en LastPass, Dashlane, 1Password, Keeper y algunos otros gestores.
2017 : LastPass informó de una vulnerabilidad grave en su complemento para navegadores. Se solucionó en 24 horas.
2019: Los investigadores descubrieron vulnerabilidades de código que, combinadas con Windows 10 y malware específico, podrían comprometer Dashlane, LastPass, 1Password y KeePass. No se ha informado de daños.
2022 : LastPass sufrió una brecha en la que se robaron ciertos códigos e información propietaria. Los piratas informáticos no consiguieron acceder a los datos de los usuarios.
En general, nada especialmente perjudicial hasta el momento.
Es más fácil y mucho más común comprometer un gestor de contraseñas a través de la ingeniería social. Por ejemplo, podrían engañarte para que descargues un software malicioso de registro de pulsaciones de teclas en tu dispositivo a través de un sitio web malicioso o un correo electrónico. Este keylogger podría registrar la contraseña maestra de tu gestor de contraseñas.
El phishing es, con diferencia, el mayor riesgo para tu gestor de contraseñas. Por eso es aconsejable utilizar siempre el sistema 2FA como plan de seguridad. Y como el phishing es algo de lo que solo puedes protegerte siendo diligente, yo diría que los gestores de contraseñas son bastante seguros.
En conclusión: los gestores de contraseñas se harán indispensables
No es que de repente vayamos a tener menos sitios web y aplicaciones en los que entrar. Por eso seguirá siendo importante mantener contraseñas seguras. Utilizar un gestor de contraseñas para proteger y cifrar estas conexiones pronto se convertirá en algo imprescindible, ya que tenemos tantas cuentas que proteger.
También te invitamos a echar un vistazo a otras funciones de seguridad. Y cuando se trate de cifrar tu tráfico en línea, no olvides utilizar una VPN.