Un gestor de contraseña funciona como un asistente para la creación, manejo y almacenamiento de claves, generando contraseñas únicas y más seguras que se guardan a su vez cifradas. Algunos de ellos son de código abierto, con lo cual se puede tener cierta tranquilidad sobre su seguridad. Un reciente estudio resaltó algunas de sus vulnerabilidades, aunque igual sugiere su uso.
¿Qué significa gestor de contraseña?
El gestor de contraseña / administrador de contraseña, conocidos como password manager en inglés, es un dispositivo de hardware o una aplicación de software que sirve para generar, almacenar, recuperar y gestionar contraseñas.
Los gestores de contraseñas son aparatitos o programas utilizados para la administración de contraseñas, un asunto importante dada la cantidad de claves que manejamos a diario y sobre todo, por el gran valor que contienen.
Olvidarlas o perderlas puede resultar en la desaparición de datos valiosos, el trabajo de décadas e incluso mucho dinero. O un estrés sin salida si supone la pérdida de acceso a programas, plataformas y sistemas.
La sugerencia básica de los expertos en seguridad es usar contraseñas únicas, complicadas y aleatorias para cada cuenta.
Pero a la larga, generar, recordar y gestionar muchas claves es un problema. Para eso están los administradores contraseñas, bóvedas protegidas con cifrado, a las que solo puede accederse a través de un PIN o contraseña maestra.
Hay administradores de contraseñas en formato de aplicaciones móviles o también como extensiones de navegador, con implementaciones para crear contraseñas más seguras, que luego se almacenan encriptadas en servidores, antes de compartirse entre dispositivos.
¿Por qué usar un gestor de contraseñas?
Por conveniencia, comodidad y seguridad para uno como usuario. Porque es una herramienta útil para crear contraseñas mejores y más seguras, que se almacenan con cifrado.
Se trata de un método conveniente y eficaz para el manejo de contraseñas, sin depender de la memoria, el orden y otros recaudos humanos, así como para evitar el uso de claves simples y repetitivas que facilitan los ataques basados en contraseñas.
¿Sabes cuáles son los password más comunes? ‘123456’ y en segundo lugar ‘contraseña’, según informó SplashData, compañía de seguridad cibernética.
Con uno de estos programas se evita el uso de claves fáciles de adivinar o reutilizar la misma contraseña para diferentes cuentas.
Los gestores de contraseñas sirven como una protección adicional para reducir los ataques de phishing, que buscan engañar al usuario con sitios web falsos para ingresar su contraseña, ya que solo ofrecen sus password de inicio de sesión cuando están en el sitio real.
Gestor de contraseña vs Administrador del navegador
Expertos en seguridad sugieren la utilización de administradores de contraseñas, dado que son programas especialmente diseñados para tal tarea, a diferencia de los gestores incorporados en el navegador.
Cada vez que guarda una contraseña en un navegador web como Firefox o Chrome, se consulta si desea guardarla. Si tienes varias claves y habilitas esta opción, las contraseñas se gestionan en modo automático por parte del administrador del navegador.
Pero tal como advierte Wired, los administradores de contraseñas provistos por los navegadores web son limitados y no generan contraseñas tan seguras.
No se comparan con los gestores de contraseñas especializados, que centran su foco de desarrollo en mejorar la seguridad en esa área en específico que es el manejo y guardado de claves.
Algunos administradores de contraseñas reportan, además, cuándo un sitio sufrió una violación de datos e incluso si la contraseña es débil, ha sido usada o robada.
¿Cómo funciona un gestor de contraseñas?
Estos gestores generan y almacenan contraseñas aleatorias, largas, complejas y únicas para los variados servicios y cuentas del usuario, sin tener que memorizarlas.
Además de crear contraseñas más complejas de adivinar y únicas para cada sitio / servicio, los administradores las almacenan de modo seguro y si se quiere, las ingresan en modo automático en navegadores y dispositivos informáticos.
Los mejores gestores de contraseñas sirven para generar, almacenar y actualizar las contraseñas en forma automática, solo al apretar un botón. Aquellas aún mejores y pagos permiten sincronizar las contraseñas guardadas en todos los dispositivos.
Por lo general, para acceder a las contraseñas, el usuario debe recordar una clave maestra. Al escribirla en el gestor de contraseñas, se accede a las contraseñas reales. Una manera de crear esa contraseña es usar el método Diceware.
¿Cuál es el gestor de contraseñas más seguro?
De acuerdo con Scott Gilbertson de Wired, en términos generales el mejor gestor de contraseña es 1Password.
El sitio web centrado en tecnología clasifica los mejores administradores de contraseñas en:
El mejor gestor de contraseñas gratis
Bitwarden
Gratis y sin límites, Bitwarden es de código abierto y ha sido auditado por terceros. Posibilita la instalación de tu propio servidor si prefieres ejecutar tu propia nube.
Versión de pago: $ 10 dólares por año e incluye: 1 GB de almacenamiento de archivos cifrados, autenticación de dos factores e informe de seguridad de la contraseña y el estado de la bóveda.
Disponible para Android, Windows, MacOS, iOS o Linux, así como en extensiones de navegador para Firefox, Brave, Chrome, Edge, Vivaldi y Safari.
El mejor gestor de contraseña en general
1Password
Sirve para administrar contraseñas y funciona como una aplicación de autenticación de contraseña -tal como Google Authenticator-. Tiene una versión de prueba gratuita por 30 días.
1Password crea una clave secreta para la clave de cifrado. Sin ella nadie, ni 1Password, puede descifrar las contraseñas.
Versión de pago: $ 3 dólares por mes – $ 36 por año – $ 60 por año para familias.
Disponible para Android, Windows, MacOS, iOS, ChromeOS y Linux, con extensiones de navegador para Firefox, Edge y Chrome.
La mejor por su variedad de funciones
Dashlane
Además de su uso para gestionar contraseñas, Dashlane alerta si tus datos están comprometidos, tras monitorear en las redes de Internet en busca de información robada o filtrada.
Al igual que 1Password, también usa una clave secreta para encriptar las contraseñas.
Tiene una prueba gratis de 30 días, pero para acceder a la opción de sincronización entre dispositivos se debe pagar por la versión Premium, la cual incluye una VPN gratuita.
Este gestor ofrece la posibilidad adicional de no almacenar nada asociado a contraseñas en sus servidores, dando en tal caso el control absoluto en manos del usuario, siendo único responsable de administrar su bóveda digital de contraseñas y sincronizar entre dispositivos. Algo para expertos.
Versión Premium: $ 3.33 dólares por mes.
Premium Plus: $ 10 por mes ($ 120 por año) – Con herramientas de recuperación y robo de identidad.
Disponible para Linux, Android, Windows, MacOS e iOS y con extensiones de navegador para Firefox, Chrome y Edge.
La nueva
NordPass
Nuevo administrador de contraseñas, creado por la compañía detrás de NordVPN, reconocido proveedor de VPN. En su versión gratuita solo permite su uso en un dispositivo y sin sincronización.
Los datos se encriptan en cada dispositivo antes de almacenarse en los servidores de la empresa. También cuenta con la opción de autenticación de dos factores para iniciar sesión en su cuenta y un generador de contraseñas.
Versión de pago: $ 36 dólares al año
Disponible para Android, Linux, Windows, MacOS e iOS, así como extensiones para navegadores Chrome, Firefox y Edge.
Ver: NordPass para la administración de contraseñas
La mejor opción de hazlo-tu-mismo
KeePassXC
Administrador de contraseñas gratuito y de código abierto, que no almacena nada en la nube.
Es una aplicación de escritorio, que almacena versiones cifradas de las contraseñas en una bóveda digital encriptada, a su vez protegida con una clave maestra, un archivo a modo de contraseña o ambos.
Una alternativa para usuarios más avanzados, ya que deben encargarse de crear su bóveda digital y sincronizar ese archivo de base de datos usando servicios como Dropbox o mejor con SpiderOak -recomendado por Snowden-.
Luego de que ese archivo está en la nube, se accede desde los dispositivos compatibles con KeePassXC.
Disponible para Windows, Linux y MacOS, además de extensiones para Firefox y Chrome.
La selección de los mejores gestores según Wired incluye los siguientes:
Existen muchos otros, como ser DataVault Password Manager de Ascendo.
Ver: TunnelBear, la VPN con cara de oso
¿Son seguros los gestores de contraseñas?
Como todo servicio, existen mejores y no tanto.
Los más seguros almacenan las contraseñas en una base de datos encriptada, complicando el éxito de ataques informáticos. Además, varios son de código abierto, con lo cual su seguridad es auditada con regularidad.
Otros incorporan, a su vez, la autentificación de dos factores. Un método oportuno cuando te roban la contraseña, que exige dos pruebas diferentes de que la persona es quien dice ser. Por ejemplo, un certificado digital, otra clave o acceso al teléfono / dispositivo usado por el propietario de la contraseña.
Hay servicios que usan sus servidores para almacenarlas cifradas, otros ni requieren uno y lo dejan en manos del usuario.
Muchos administradores se basan en una clave “maestra“, el núcleo que contiene y protege las contraseñas. Dicha “llave maestra” es la vía de acceso a las contraseñas almacenadas.
Incluso si hackers logran acceder al único lugar donde están las contraseñas -los servidores del gestor- van a necesitar esa clave maestra para poder ver los passwords. La misma puede escribirse y debe guardarse en un sitio seguro.
Respecto a la posibilidad de un ataque informático, la revista digital Wired comenta que en ciertos casos sería un escenario poco fértil.
Porque aunque puedan tener acceso a los servidores del administrador, “algunos de ellos almacenan solo datos cifrados, y ninguno de ellos almacena su clave de cifrado, lo que significa que todo lo que un atacante obtiene al comprometer sus servidores son datos cifrados”.
Al usar gestores de password, por mayor seguridad Wired sugiere deshabilitar la función de completado automático de formularios que proporcionan algunos de ellos.
Los gestores de contraseñas tienen, sin embargo, algunos problemas y críticas. Por ejemplo, su uso no es tan simple para usuarios normales. Y hay sitios web no compatibles con estos administradores, como ser páginas de ciertos bancos.
Hoy existen nuevas tecnologías que tratan de reemplazar las contraseñas, como ser el uso de huellas digitales o rostro para el acceso a servicios. Sin dudas, algo más cómodo y rápido, si bien plantea la duda razonable de si asociar esas formas de identificación con sitios y servicios no es peor en términos de privacidad.
Vulnerabilidades detectadas en password managers – 2020
Investigadores de la Universidad de York reportaron en marzo de 2020 que algunos gestores de contraseñas comerciales pueden no ser tan herméticos como parecen en términos de seguridad.
‘Security Vulnerabilities in Commercial Password Managers’ es una revisión de una serie de vulnerabilidades de seguridad detectadas en administradores de contraseñas, que se prevé presentar formalmente en setiembre de 2020 durante la 35ª IFIP SEC*.
*35th International Conference on ICT Systems Security and Privacy Protection / Conferencia Internacional sobre Seguridad de los Sistemas de TIC y Protección de la Privacidad.
A continuación, una breve mención de los problemas detectados por los expertos.
App no autorizada engaña al gestor de contraseñas
Tras crear una app maliciosa pero con un nombre idéntico a una aplicación legítima de Google, los académicos de la Universidad de Nueva York lograron engañar a 2 de los 5 administradores de contraseña probados para que entreguen una contraseña.
De acuerdo con los investigadores, algunos de los gestores usaron criterios débiles para identificar la validez de una aplicación
Dr. Siamak Shahandashti, científico del Departamento de Ciencias de la Computación de la Universidad de York y uno de los autores del estudio, explicó:
“Las vulnerabilidades en los administradores de contraseñas brindan oportunidades a los piratas informáticos para extraer credenciales, comprometer la información comercial o violar la información de los empleados.
“Nuestro estudio muestra que un ataque de phishing de una aplicación maliciosa es altamente factible: si se engaña a una víctima para que instale una aplicación maliciosa, podrá presentarse como una opción legítima en el indicador de autocompletar y tendrá una alta probabilidad de éxito”.
“A la luz de las vulnerabilidades en algunos administradores de contraseñas comerciales que nuestro estudio ha expuesto, sugerimos que necesiten aplicar criterios de coincidencia más estrictos que no se basen simplemente en el supuesto nombre del paquete de una aplicación”.
Reintentos ilimitados, tentación para hackers
Además, el estudio apunta que algunos administradores de contraseñas no presentaban un límite establecido de la cantidad de veces que se podía ingresar una contraseña maestra o PIN.
Un escenario que podría tentar a los hackers para lanzar un ataque de “fuerza bruta”, en caso de hacerse en sus manos con el gestor de contraseña del usuario.
Investigadores presentaron su trabajo a los gestores de contraseñas
Michael Carr, autor principal de esta investigación que llevó a cabo mientras estudiaba para su Maestría en Seguridad Cibernética en el Departamento de Ciencias de la Computación de la Universidad de York, señaló que las vulnerabilidades identificadas se divulgaron a los proveedores de gestores de contraseñas.
“Algunos fueron reparados de inmediato, mientras que otros se consideraron de baja prioridad. Se necesita más investigación para desarrollar modelos de seguridad rigurosos para los administradores de contraseñas, pero aún así aconsejaríamos a las personas y a las empresas que los usen, ya que siguen siendo una opción más segura y utilizable. Si bien no es imposible, los hackers tendrían que lanzar un ataque bastante sofisticado para acceder a la información que almacenan “.
Tenerlos es mejor a no tenerlos
Las contraseñas, si bien resultan anticuadas por su habitual incomodidad si se gestionan mal, siguen siendo centro de datos valiosos y blanco de robos en línea. Mejor prevenir con un administrador.
En palabras de un conocido especialista de la informática y las protecciones en línea:
“Sus contraseñas pueden ser reveladas porque algún servicio que dejó de usar en 2007 es pirateado y su contraseña que estaba usando para ese sitio también funciona para su cuenta de Gmail. Un administrador de contraseñas le permite crear contraseñas únicas para cada sitio que sean irrompibles, pero sin la carga de memorizarlas”.
Edward Snowden – Entrevista con The Intercept
Fuentes:
Tech Explore – Universidad de Nueva York – ‘Researchers expose vulnerabilities of password managers’
