Analizamos cómo elegir el gestor de contraseñas adecuado para ti y qué debes considerar exactamente al evaluar las distintas opciones.
Las contraseñas protegen gran parte de la información más preciada que tenemos en el mundo digital, pero también representan un riesgo, ya que si caen en manos equivocadas, las consecuencias pueden significar desde el robo de los datos de la tarjeta de crédito o incluso de la cuenta bancaria, pasando por el robo de las cuentas de redes sociales o correo electrónico, con todo lo que eso implica. Sobre todo si tenemos en cuenta que muchas personas siguen sin activar la autenticación en dos pasos en muchos de los servicios en línea, una funcionalidad que refuerza la seguridad de las cuentas y permite no depender únicamente de una contraseña.
La buena noticia es que los administradores de contraseñas ofrecen la posibilidad de mejorar los hábitos acerca del uso de contraseñas, ya que muchos no solo ofrecen la posibilidad de guardar de forma segura todas nuestras claves de inicio de sesión para los distintos servicios en línea y no tener que recordar cada clave apelando a nuestra memoria, sino que también ofrecen la posibilidad de crear contraseñas únicas y fuertes para que las personas eviten la tentación de reutilizar una contraseña para acceder a más de un servicio. Sin embargo, no todos los administradores de contraseñas son iguales. La clave es encontrar un proveedor confiable y que combine las características que más se adaptan a las necesidades de las personas.
Por qué son importantes las contraseñas seguras
¿Por qué las contraseñas son un riesgo para la seguridad? Porque pueden verse comprometidos de múltiples maneras. Por ejemplo:
- Pueden ser robadas de los sistemas de empresas con las que hacemos transacciones y luego filtradas en foros de la darkweb o similares
- Los estafadores pueden utilizar contraseñas para acceder a cuentas de una persona o incluso hacerse pasar por el titular de la cuenta en redes sociales o ante un banco y cometer otros fraudes.
- Pueden ser descifradas mediante software automatizado en lo que se conoce como ataques de “fuerza bruta”. Esto quiere decir que los cibercriminales prueban combinaciones basados en contraseñas que comúnmente utilizan las personas. Investigaciones revelaron recientemente que la palabra “contraseña” en su versión en inglés (password) sigue siendo la clave más utilizada para iniciar sesión en un servicio, seguida por “123456”. La mayoría de las 10 contraseñas más utilizadas pueden descifrarse en un segundo a través de fuerza bruta.
Una vez robadas, las contraseñas se comercializan en foros de hacking o en la darkweb, donde a menudo se compran en grandes cantidades junto con los nombres de usuario. Un informe de 2022 reveló que 24 000 millones de estas combinaciones circulan en sitios dedicados al delito cibernético, un aumento del 65 % con respecto a 2020. A menudo, los cibercriminales introducen estos inicios de sesión robados en herramientas para realizar lo que se conoce como credential stuffing para ver si las mismas contraseñas se han reutilizado en otros sitios web y aplicaciones. Si es así, es posible que también puedan acceder a otras cuentas.
Todo esto hace que sea más importante que nunca que usemos contraseñas seguras y únicas para acceder a cada sitio web que requieran iniciar sesión, así como aplicaciones y demás servicios en línea. Un administrador de contraseñas es una excelente manera de hacer esto.
Qué buscar en un administrador de contraseñas
Los administradores de contraseñas son aplicaciones diseñadas para almacenar todas nuestras contraseñas en un lugar seguro. La idea es que el software solo te pida una única contraseña maestra. Eso es todo lo que necesitamos recordar. La aplicación se encargará automáticamente de todo lo demás, incluida la generación y el autocompletado de contraseñas largas y únicas para cada sitio.
Sin embargo, existen diferentes opciones en el mercado. Aquí hay algunas características que debemos buscar para ayudar a reducir tu búsqueda:
- Que sea un gestor de contraseña protegido mediante cifrado. Eso significa que incluso si el proveedor del administrador de contraseñas es víctima de un ataque, los actores de amenazas no podrán robar ninguna de las credenciales de los clientes. El cifrado AES de 256 bits es el estándar de la industria.
- Que cuente con un generador de contraseñas sólido diseñado para sugerir claves largas, complejas y que incluya números, letras y símbolos para cada contraseña de manera aleatoria. Esto significa que prácticamente no hay posibilidad de que un atacante pueda forzar tu contraseña. Para tener una idea de lo que tenemos en mente, prueba el generador de contraseñas seguras de ESET.
- Que tanga soporte multiplataforma y multinavegador. Los administradores de contraseñas solo son útiles si recuerdan y recuperan tus contraseñas en tus sitios web y aplicaciones favoritos. Si no son compatibles con estos sitios, es posible que vuelvas al punto de partida obligado a usar credenciales fáciles de recordar. Del mismo modo, ayudará mucho a la usabilidad si el administrador de contraseñas puede importar credenciales de navegadores y otros administradores de contraseñas.
- Autocompletar/inicio de sesión automático. Una de las características más importantes de un administrador de contraseñas es la capacidad de completar automáticamente la contraseña segura y compleja asignada a cada cuenta, después de ingresar la contraseña maestra. Si no proporciona esto, la experiencia del usuario se degradará en gran medida.
- Cierre de sesión remoto. Mejora la seguridad y la privacidad al permitirle cerrar sesión de forma remota en las cuentas, borrar el historial de navegación y las cookies, y cerrar de forma remota cualquier pestaña abierta.
- Integración con autenticación en dos pasos (2FA). Si bien los administradores de contraseñas son importantes, el estándar de oro para la administración de identidad y acceso es la autenticación en dos pasos, por lo que se requiere un segundo “factor” además de una contraseña, como un escaneo facial o un código de acceso de un solo uso. Un administrador de contraseñas que se integre con aplicaciones 2FA populares de terceros, como Google Authenticator, ayudará a optimizar la experiencia.
- Función de restablecimiento de la contraseña maestra. Tener una contraseña maestra es genial. Pero, ¿y si la olvidas? Si no hay una función de restablecimiento, todas tus contraseñas se guardarán en una caja fuerte digital que no podrás abrir.
- Un vendedor de confianza. Esto no es tanto una característica como algo a tener en cuenta al hacer la investigación. Si la empresa que desarrolla el gestor de contraseñas sufre un incidente de seguridad, eso podría significar la exposición de todas tus contraseñas, así que asegúrate de que tenga un buen historial de seguridad. Un popular servicio de administración de contraseñas sufrió recientemente un importante incidente de seguridad que expuso contraseñas encriptadas de varios clientes, lo que provocó que los usuarios deban cambiar las contraseñas.
- Los informes de seguridad pueden ser de ayuda para mejorar continuamente la seguridad de tus contraseñas al mostrarte todas las contraseñas débiles en un solo lugar.
- ¿Almacenamiento local o en la nube? Este en realidad puede ser un poco difícil y puede requerir que consideres tus propias circunstancias. El almacenamiento a través de un administrador instalado en el dispositivo a menudo te brindará un mejor control y seguridad en muchos casos, pero los dispositivos son robados o perdidos y los discos duros y memoria fallan. Una opción centralizada basada en la nube puede ser más conveniente, pero tiene sus propias desventajas. Entre otras cosas requiere confiar en el proveedor del servicio. También hay una tercera opción: un gestor que utiliza una base de datos local pero que se almacena en tu cuenta en la nube con un importante proveedor de nube en el que confía. En última instancia, la seguridad de tus contraseñas estará condicionada por el uso de un cifrado fuerte (punto 1) y una postura de ciberseguridad.
Es importante recordar las limitaciones de los administradores de contraseñas o, de hecho, de las contraseñas como tales. Una contraseña representa una sola línea de defensa y puede no ser suficiente para mantener alejados a los ciberdelincuentes. Como resultado (y no podemos enfatizar esto lo suficiente), combina tus contraseñas con la activación de la autenticación en dos pasos para que tengas muchas más posibilidades de mantener a los actores maliciosos al margen.
Referencias: ESET
Autor: Phil Mancaste