Recientemente publicamos un artículo sobre los cinco errores más comunes que debemos intentar evitar cuando se trata de contraseñas. Y aunque la protección de nuestras contraseñas es algo fundamental para la seguridad de nuestra existencia digital, rara vez pensamos en ello en profundidad. Solo basta con revisar las listas publicadas todos los años con las contraseñas más utilizadas, donde 12345 y password figuran entre las principales año tras año.
Probablemente, una de las razones que expliquen el porqué de la preferencia de tantos usuarios por contraseñas tan débiles se puede atribuir, en parte, al hecho de que utilizamos una enorme cantidad de servicios diferentes, lo que a menudo implica la creación de una nueva cuenta (a menos que conectes todo a tu cuenta de Google o Facebook). Asimismo, si tienes múltiples contraseñas complejas puede que te resulte difíciles recordarlas. Ante esta realidad muchos usuarios optan por reutilizar la misma contraseña simple al pensar que no hay nada riesgoso en ello. Pero lamentablemente, si un atacante logra descubrir una contraseña que ha sido reutilizada, entonces el actor malicioso tendrá la posibilidad de acceder a las demás cuentas. En este contexto es que un administrador de contraseñas puede ser de gran ayuda.
Qué es un administrador de contraseñas
Un administrador o gestor de contraseñas es una aplicación diseñada para almacenar credenciales de acceso en una bóveda cifrada y que además cuenta con la funcionalidad de generar contraseñas complejas, haciendo que sea sumamente sencillo crear y guardar una contraseña única y fuerte para cada una de las cuentas en línea que utilizamos. En este sentido, si optas por utilizar un administrador de contraseñas todo lo que necesita recordar es una única contraseña "maestra".
Tipos de administradores de contraseñas
La mayoría de los gestores de contraseñas más populares funcionan como aplicaciones en la nube a los que se puede acceder a través de un navegador. Independientemente del administrador de contraseñas que elijas, tendrás que crear una contraseña maestra sólida que será la que proteja todas las credenciales almacenadas que se utilizan para acceder a los diferentes servicios que utilizas. Por lo tanto, debes tener mucho cuidado a la hora de elegir tu contraseña maestra. En el caso de un gestor basado en la nube, esto forma parte de la creación de una cuenta.
A partir de aquí puedes agregar todas tus cuentas existentes y cuando te registres a un nuevo servicio podrás almacenar tus propias frases de contraseña u optar por una contraseña generada por la propia herramienta, que viene con esta funcionalidad incorporada y que permite crear contraseñas aleatorias, largas y seguras. Una vez que quieras iniciar sesión en cualquiera de los servicios que utilices, en el caso de los administradores basados en la nube, la propia herramienta rellenará automáticamente las credenciales para simplemente acceder.
Si te genera dudas confiar tus contraseñas a las aplicaciones basadas en la nube, puedes optar por un administrador de contraseñas alojado en el equipo que almacenará toda la información en tu dispositivo. De hecho, puedes elegir entre las distintas opciones de gestores de código abierto, los cuales proporcionan muchas de las funcionalidades de ofrecen sus competidores en la nube, aunque a menudo con un diseño de interfaz más modesto. Pero lo que a estas aplicaciones les puede faltar en términos de estética, lo compensan en características.
Otra opción por la que puedes optar, además de las soluciones basadas en la nube y de código abierto, son los gestores que se incluyen en algunas de las más conocidas suites de seguridad para endpoints, como ESET Smart Security Premium, y que representan una opción adecuada para ayudar a los usuarios a gestionar y asegurar sus credenciales de inicio de sesión.
Los pro y contra de utilizar un administrador de contraseñas
Hay varios tipos de administradores de contraseñas para elegir, siendo las opciones basadas en la nube las más populares. El beneficio añadido de que utilicen la nube es tener acceso a las contraseñas almacenadas desde cualquier lugar. La mayoría de las marcas populares (1Password, Dashlane, LastPass, etc.) ofrecen aplicaciones para tu smartphone, por lo que si utilizas varios dispositivos (lo que la mayoría de nosotros hacemos), los servicios basados en la nube sincronizarán todas tus contraseñas en todos los dispositivos. Algunos incluso tienen opciones de escritorio y plug-ins para el navegador.
En cuanto a los planes de suscripción, las opciones básicas se ofrecen de forma gratuita. Si encuentras que falta alguna, siempre tienes la opción de pagar por uno de los planes niveles más premium, que generalmente incluyen más configuraciones y características de seguridad adicionales.
Por muy conveniente que todo esto suene, viene con una advertencia. Estás poniendo todos tus huevos en una canasta, por así decirlo; y algunos administradores de contraseñas en línea han enfrentado su cuota de problemas en el pasado. Hace unos meses, por ejemplo, investigadores descubrieron fallos de seguridad en varios administradores de contraseñas: se descubrió que algunas versiones de sus aplicaciones para Android eran susceptibles de sufrir ataques de phishing, mientras que otras permitían intentos interminables de introducir el PIN maestro.
Es importante tener en cuenta que, dado que los datos se almacenan en un servidor, en caso de que se produzca una brecha o que el servicio se vea comprometido, los ciberdelincuentes pueden descargar la información en masa y tu cuenta puede acabar siendo parte de ese trofeo. En caso de que esto suceda, el usuario depende de que los operadores del servicio por el cual optó hayan implementado correctamente un cifrado fuerte y que la contraseña maestra que haya elegido sea fuerte. Ten en cuenta que esa clave maestra es la que protege la puerta de entrada a una parte muy importante de tu vida digital.
Como con cualquier servicio, haga la debida investigación y lea los blogs de ciberseguridad, así como las revisiones que realizan las organizaciones de renombre dedicadas a realizar pruebas de manera independiente para ver si el administrador de contraseñas elegido ha tenido alguna vulnerabilidad reportada recientemente. También recomendamos leer detenidamente y actuar de acuerdo con todas las medidas de seguridad que el servicio ha puesto en marcha para asegurar las contraseñas y cuentas.
Cuando se trata de las aplicaciones de código abierto instaladas localmente, algunas son capaces de generar contraseñas que se ajustan a los requisitos específicos que un sitio tiene para su creación. KeePass, por ejemplo, también tiene la ingeniosa opción de funcionar directamente desde un USB. En el caso de las aplicaciones de código abierto como KeePass, puede buscar información sobre las auditorías de seguridad que se hayan realizado sobre el código, o pueden surgir nuevas características de seguridad que pueden implementarse más tarde.
Algunas cosas que podrían parecer un problema en los administradores de contraseñas que almacenan todo de manera local en realidad puede que añadan seguridad. Dado que los códigos se almacenan en un dispositivo específico, es posible que no tengas la opción de sincronizarlos con todos los demás dispositivos y eso podría ser considerado como algo negativo. Sin embargo, para que un ciberdelincuente pueda acceder a ellos tendría que dirigirse a ti específicamente; esto hace que su trabajo sea aún más difícil de realizar.
Una de las formas mediante las cuales pueden acceder a las contraseñas es comprometiendo su dispositivo a través de la instalación de un keylogger —tipo de software utilizado con fines maliciosos para registrar las pulsaciones de teclado. En el caso de los administradores de contraseñas incluidos en las soluciones de seguridad para endpoints, los mismos están específicamente diseñados para protegerte de tales amenazas.
Pensamientos finales
Aunque la mayoría de nosotros tenemos necesidades similares en cuanto a la gestión de nuestras vidas digitales, puede haber diferencias mínimas en nuestras preferencias. Por lo tanto, debes ser consciente de qué opción se adapta mejor a tus necesidades. Hay al menos algunas preguntas que deberías responder por ti mismo al momento de elegir un administrador de contraseñas:
- ¿Cómo almacena tus datos el servicio que ha elegido?
- Si algo le sucede a su dispositivo, ¿los datos son recuperables?
- ¿Hay alguna opción de seguridad adicional que pueda activar para aumentar la protección?
Asegúrate de elegir cuidadosamente tu administrador de contraseñas y al momento crear la contraseña maestra evita cometer alguno de los errores más comunes que mencionamos al inicio de esta publicación. Para mayor seguridad, también puedes activar el doble factor de autenticación en todas las cuentas en línea que cuenten con esta opción, o incluso para el propio administrador de contraseñas.