GESTOR DE CONTRASEÑAS

¿Qué es un gestor de contraseñas?

Érase una vez, durante los primeros años de Internet, es posible que tuvieras un puñado de contraseñas para algunas aplicaciones web esenciales que usabas para compras, estudiar, mantenerte conectado y trabajar. Hoy en día, las cosas son mucho más complicadas. En promedio, se informa que las personas deben recordar unas 100 contraseñas.

Aunque la tecnología promete facilitarnos la vida, y generalmente lo hace, cada nuevo sitio web y aplicación a la que nos suscribimos es otra contraseña que tenemos que recordar. Para la mayoría, se ha vuelto imposible recordarlas todas. Piensa en ti mismo: ¿reutilizas tus contraseñas en varias cuentas (como lo hacen dos tercios de los usuarios de Internet)? Esto es un gran error.

Usando listas gigantes de contraseñas robadas (también conocidas como "dumps") compradas en la dark web, los ciberdelincuentes pueden forzar su entrada a otros sitios o usar contraseñas antiguas para extorsionar a los usuarios en estafas. Este es el efecto dominó de la violación de datos. Una violación lleva a otra y otra y así sucesivamente.

Se informa que la mayoría de las violaciones de datos son causadas por contraseñas comprometidas, débiles y reutilizadas. ¿1234567, alguien? 

¿Cómo llegamos aquí y qué podemos hacer al respecto?

El famoso web comic xkcd "Password Strength" lo explicó mejor: "Después de 20 años de esfuerzo, hemos entrenado con éxito a todos para usar contraseñas que son difíciles de recordar para los humanos, pero fáciles de adivinar para las computadoras."

Es cierto. Hace 20 años, los profesionales de ciberseguridad reprendían a los consumidores por no cambiar las contraseñas predeterminadas en dispositivos IoT (como tu router de Internet) o por usar contraseñas fáciles de adivinar como "12345" o "contraseña". De esto surgió la contraseña larga y fuerte de la que xkcd se burla: una palabra común con una mezcla de letras mayúsculas y minúsculas, al menos un número y un símbolo.

Al crear una nueva cuenta, los sitios web exigen que creemos contraseñas largas y fuertes. Si fallamos, ni siquiera se nos permite abrir una cuenta. Asumiendo que lograste superar la fase de creación de cuenta, pronto olvidarás el cifrado de máquina Enigma que acabas de crear y te resignarás a usar el enlace "¿Olvidaste tu contraseña?" como tu opción diaria de inicio de sesión.

Afortunadamente, no tienes que recordar todas esas contraseñas. Un gestor de contraseñas puede recordarlas por ti.

Malwarebytes Labs define un gestor de contraseñas como "una aplicación de software diseñada para almacenar y administrar credenciales en línea. También genera contraseñas. Generalmente, estas contraseñas se almacenan en una base de datos cifrada y protegidas por una contraseña maestra."

Una vez que todos tus nombres de usuario y contraseñas han sido ingresados en el almacén, tu contraseña maestra es la única que tienes que memorizar. Ingresar tu contraseña maestra desbloquea tu almacén de contraseñas, y desde allí puedes recuperar cualquier contraseña que necesites.

¿Cuáles son los beneficios de usar un gestor de contraseñas?

Ya no tienes que memorizar todas tus contraseñas. Sólo necesitas recordar la contraseña maestra que desbloquea tu almacén de contraseñas. Y si optas por un gestor de contraseñas basado en la nube, puedes acceder a tu almacén de contraseñas desde cualquier lugar, desde cualquier dispositivo.

Pueden auto-generar contraseñas altamente seguras para ti. Los gestores de contraseñas generalmente te preguntarán si deseas usar una contraseña generada automáticamente cada vez que crees una nueva cuenta con un sitio web o aplicación. Estas contraseñas aleatorias son largas, alfanuméricas y esencialmente imposibles de adivinar.

Pueden alertarte sobre un sitio de phishing. Aquí tienes un vistazo rápido sobre las estafas de phishing. Los correos electrónicos de spam son falsificados para parecer que provienen de un remitente legítimo, como un amigo, familiar, compañero de trabajo u organización con la que haces negocios. Los enlaces contenidos dentro del correo electrónico dirigen a sitios web maliciosos igualmente falsificados diseñados para capturar credenciales de inicio de sesión. Si estás usando un gestor de contraseñas basado en el navegador, no completará automáticamente los campos de nombre de usuario y contraseña ya que no reconoce el sitio web como el asociado con la contraseña.

Pueden ayudar a tus beneficiarios cuando fallezcas. Esto se llama herencia digital. En caso de tu muerte, tu familia o quien designes para administrar tu patrimonio obtendrá acceso a tu almacén de contraseñas.

Los gestores de contraseñas ahorran tiempo. Más allá de solo almacenar contraseñas para ti, muchos gestores de contraseñas también completan automáticamente las credenciales para un acceso más rápido a las cuentas en línea. Además, algunos pueden almacenar y completar automáticamente el nombre, dirección, correo electrónico, número de teléfono y la información de la tarjeta de crédito. Esto puede ahorrar mucho tiempo al comprar en línea, por ejemplo.

Muchos gestores de contraseñas se sincronizan entre diferentes sistemas operativos (SO). Si usas Windows en el trabajo y Mac en casa, usas Android de lunes a viernes y recurres a iOS los fines de semana, podrás acceder rápidamente a tus contraseñas sin importar en qué plataforma estés. Lo mismo ocurre con todos los navegadores web más populares, es decir, Chrome, Firefox, Edge, Internet Explorer y Safari.

Ayudan a proteger tu identidad. De una manera indirecta, los gestores de contraseñas ayudan a proteger contra el robo de identidad, y aquí está la razón. Al usar una contraseña única para cada sitio, básicamente estás segmentando tus datos en cada sitio web y aplicación que usas. Si un criminal hackea una de tus cuentas, no necesariamente podrá acceder a las demás. No es infalible, pero es una capa adicional de seguridad que ciertamente agradecerás después de una violación de datos.

¿Son seguros los gestores de contraseñas?

Los gestores de contraseñas han sido hackeados, pero en general tienen un buen historial cuando se trata de asegurar los datos de los usuarios. LastPass, un gestor de contraseñas, sufrió algunas violaciones de datos, al igual que otras herramientas de gestión de contraseñas. Hay muchos gestores de contraseñas de buena reputación que usan encriptación y son seguros de usar en 2023. Un ejemplo es NordPass Password Manager que también está en la lista de los gestores de contraseñas más seguros de Cyber News.

Es importante recordar que si tu teléfono está infectado con malware, tu gestor de contraseñas también puede estar comprometido. Así que mantener tu software anti-malware y antivirus actualizado es fundamental.

¿Qué tipos de gestores de contraseñas existen?

Los gestores de contraseñas basados en escritorio almacenan tus contraseñas localmente en tu dispositivo, como tu laptop, en un almacén cifrado. No puedes acceder a esas contraseñas desde otro dispositivo, y si pierdes el dispositivo, pierdes todas las contraseñas almacenadas allí. Los gestores de contraseñas instalados localmente son una buena opción para las personas que simplemente no quieren que sus datos se almacenen en la red de otra persona. Algunos gestores de contraseñas instalados localmente logran un equilibrio entre privacidad y conveniencia permitiéndote crear múltiples almacenes de contraseñas en tus dispositivos y sincronizarlos cuando te conectas a Internet.

Los gestores de contraseñas basados en la nube almacenan tus contraseñas cifradas en la red del proveedor de servicios. El proveedor de servicios es directamente responsable de la seguridad de tus contraseñas. El principal beneficio de los gestores de contraseñas basados en la nube, siendo 1Password y NordPass buenos ejemplos, es que puedes acceder a tu almacén de contraseñas desde cualquier dispositivo siempre que tengas una conexión a Internet. Los gestores de contraseñas basados en la web pueden presentarse en diferentes formas, más comúnmente como una extensión de navegador, aplicación de escritorio o aplicación móvil.

Inicio de sesión único (SSO). A diferencia de un gestor de contraseñas que almacena contraseñas únicas para cada aplicación que usas, SSO te permite usar una contraseña para todas las aplicaciones. Piensa en SSO como tu pasaporte digital. Al entrar a un país extranjero, un pasaporte le dice a los oficiales de aduanas e inmigración que tu país de ciudadanía responde por ti y que se te debe permitir la entrada con el mínimo inconveniente. Del mismo modo, cuando usas SSO para iniciar sesión en una aplicación, no necesitas verificar tu identidad. En cambio, el proveedor de SSO responde por tu identidad. Las empresas prefieren los SSO sobre los gestores de contraseñas por algunas razones. Principalmente, SSO es una forma segura y conveniente para que los empleados accedan a las aplicaciones que necesitan para realizar su trabajo. Los SSO también reducen el tiempo que TI emplea en solucionar problemas y restablecer contraseñas olvidadas.

Mejores prácticas para contraseñas

No reutilices contraseñas. Incluso con un gestor de contraseñas. En su lugar, crea contraseñas únicas para cada sitio y deja que tu gestor de contraseñas haga lo que está diseñado para hacer. Usa un generador de contraseñas fuertes seguras para crear contraseñas únicas para todas tus cuentas.

Crea contraseñas complejas. Muchos gestores de contraseñas hacen sugerencias automáticas para contraseñas fuertes cada vez que creas una cuenta para un nuevo sitio. Si no lo hacen, intenta usar una combinación aleatoria de letras y números, y alterna entre mayúsculas y minúsculas. Mientras más compleja y absurda, mejor, especialmente porque no necesitarás recordarla. El gestor de contraseñas se encargará de eso. La única diferencia clave está en crear tu contraseña maestra (la que desbloquea todas las demás contraseñas). Esta sí tendrás que recordarla, así que, a menos que tengas una memoria eidética, intenta pensar en algo memorable para ti, pero que no sea fácilmente rastreable hasta tu identidad. Luego añade algunos caracteres especiales, algunas mayúsculas, y tendrás un almacén de contraseñas bien protegido.

Usa una frase de contraseña. Cuando se trata de crear tu contraseña maestra (la que desbloquea tus otras contraseñas), intenta usar una frase de contraseña; es decir, una serie de palabras que sean fáciles de recordar, pero difíciles de adivinar. Algo familiar con un giro extraño, por ejemplo: “burrito de frijol helado divido.” O simplemente un montón de cosas al azar que un humano puede visualizar fácilmente, pero una computadora no: “rata elegante neón aguacate coche.” ¡Usa tu imaginación! Nombres de mascotas, niños u otros familiares, o frases como “¡Déjame entrar!” son demasiado comunes, y por lo tanto fáciles para que los delincuentes informáticos las descifren.

Habilita la autenticación de dos factores (2FA) o multifactor (MFA). Una de las mejores formas de asegurar cualquier cuenta, gestor de contraseñas o no, es habilitar MFA. Con un gestor de contraseñas habilitado para MFA, se te pedirá verificar tu identidad usando dos o más factores de autenticación, que incluyen algo que sabes, algo que posees y algo que eres. Lo que sabes generalmente es tu contraseña, pero también puede ser un número PIN. Algo que posees podría ser tu teléfono móvil, tarjeta bancaria o un token de seguridad en un USB. Finalmente, algo que eres puede verificarse usando biometría, como reconocimiento facial, de voz, o de iris y huellas dactilares. Las biometrías de comportamiento, como las pulsaciones de teclado, también pueden aplicarse.

Esta capa adicional de seguridad significa que cualquier persona que intente iniciar sesión en tu cuenta (incluido tú mismo) necesitará controlar esos factores de autenticación adicionales fuera del nombre de usuario y contraseña. Un ejemplo de esto sería: Después de ingresar tu contraseña maestra para acceder al gestor de contraseñas, se enviaría un código a tu teléfono móvil, que luego necesitarías ingresar antes de acceder al almacén. Una cosa a tener en cuenta al usar tu teléfono como un factor de autenticación: los números de teléfono pueden ser secuestrados.

Esto se llama SIMjacking (también conocido como intercambio de SIM) y ocurre cuando un criminal cibernético, haciéndose pasar por ti, convence a tu operador telefónico de reasignar tu número de teléfono a su teléfono respondiendo correctamente tus preguntas de seguridad. Una simple búsqueda en redes sociales suele ser todo lo que se necesita para que los delincuentes obtengan las respuestas que necesitan. Y una vez que los criminales tienen el control de tu teléfono, tienen todo lo que necesitan para robar tu identidad. Por lo tanto, podrías considerar un autenticador basado en software como Authy o Google Authenticator para cuentas críticas.

Piensa dos veces antes de usar gestores de contraseñas gratuitos. Muchos de los gestores de contraseñas gratuitos más populares en realidad operan bajo un modelo de negocio freemium, lo que significa que debes pagar si quieres las mejores—y a veces esenciales—características. ¿Necesitas que tus contraseñas se sincronicen entre navegadores y dispositivos? ¿Necesitas herencia digital? ¿Necesitas compartir inicios de sesión con tu familia? ¿Necesitas autenticación multifactor? Los gestores de contraseñas gratuitos generalmente no incluyen estas características. MFA, en particular, es imprescindible. En el debate entre gratuito vs. pagado, opta por un gestor de contraseñas de pago.

Crea una política de gestión de contraseñas. Aquí tienes un consejo para pequeñas y medianas empresas: Crea una política de gestión de contraseñas y haz saber a los empleados que está bien usar un gestor de contraseñas para asegurar sus cuentas de trabajo. Tu personal ya está usando una combinación de métodos potencialmente inseguros para tratar de manejar sus muchas contraseñas, y la mayoría de las violaciones de datos comienzan con una contraseña débil o reutilizada. Una política oficial de gestión de contraseñas es tu primera línea de defensa contra un ciberataque en tu red.

Ver también: Llave de acceso