Regresar
-
17 min.

¿Qué es un gestor de contraseñas y qué tan seguros son?

Introducción

Cada día son más las aplicaciones y sitios web que requieren que el usuario se registre, lo que implica la creación de contraseñas para cada nueva cuenta. Si cada contraseña creada es fuerte, sería casi imposible poder recordarlas todas, por lo que surge la tentación de utilizar una única contraseña en múltiples plataformas, o usar contraseñas fáciles de recordar pero con poca seguridad.

Por ello, los gestores de contraseñas se han convertido en una opción conveniente para no tener que memorizar todos estos datos. Acompáñanos a saber más sobre qué son, cómo funcionan y qué tan seguros son estos gestores.

¿Qué hace que una contraseña sea segura?

El nivel de seguridad de una contraseña se define por la cantidad y el tipo de caracteres que posee. Para que una contraseña sea considerada segura, robusta o fuerte debe tener al menos 8 caracteres que combinen letras, números y caracteres especiales (como signos de puntuación, símbolos monetarios, asteriscos, símbolos aritméticos, entre otros). 

Adicionalmente, lo ideal es que no se utilicen palabras que puedas encontrar en el diccionario ni datos que tengan relación con el usuario (por ejemplo, usar tu fecha de nacimiento o tu nombre). Tampoco debería incluir el nombre de la plataforma para la que se está creando la contraseña ni repetir el nombre de usuario como contraseña.

Considerando que cada persona maneja un promedio de 20 a 50 cuentas de distintas plataformas online y aplicaciones, y que no debería utilizarse una misma contraseña en más de una plataforma, recordar tantas contraseñas seguras sería prácticamente imposible, pero no hacerlo podría comprometer la ciberseguridad de su red. 

Debido a lo anterior, algunos usuarios recurren a anotar sus contraseñas en papel, en un archivo de su ordenador o a guardarlas en su navegador, pero estas prácticas no son del todo seguras. En este contexto, los gestores o administradores de contraseñas surgen como una solución.

¿Qué es un gestor de contraseñas?

Un gestor de contraseñas o password manager es una plataforma que se encarga de guardar todos los datos de inicio de sesión de las distintas cuentas que manejes (incluyendo nombre de usuario, contraseña, etc.) en una base de datos cifrada a la que sólo se puede acceder con una contraseña maestra.

La contraseña o clave maestra debe ser una contraseña fuerte, y es la única que tendrás que recordar para acceder a todos los datos de tus cuentas en el gestor y hacer los cambios que sean necesarios.

Características de los gestores de contraseñas

A pesar de que cada gestor puede tener sus particularidades, la mayoría de ellos comparten una serie de características comunes que los definen y que les permiten proteger tus datos personales, a través de un proceso seguro de acceso y uso de tus cuentas de acceso a los sistemas, plataformas y servicios.

Acceso online y offline

La mayoría de los gestores cuentan con un servidor en la nube para sincronizar las claves, de manera que se pueda acceder a ellas desde múltiples dispositivos, incluyendo ordenadores y dispositivos móviles. Aunque el funcionamiento multiplataforma implica cierta vulnerabilidad, los datos se almacenan encriptados para ofrecerles más seguridad. 

Otros gestores ofrecen sólo servicios offline, almacenando la información de manera local en un único dispositivo, con la desventaja de sólo se podrá acceder a la información en el mismo.

Verificación en dos pasos

El sistema de autenticación o verificación en dos pasos permite confirmar tu identidad cuando intentas ingresar en una plataforma con más que sólo tu usuario y contraseña. Así, por ejemplo, puede solicitar que ingreses un código que llegará a tu correo electrónico. Es recomendable utilizar esta opción cuando está disponible, especialmente si se trata de gestores con servicio online.

Generación de contraseñas

Los gestores pueden generar contraseñas robustas de manera automática, ahorrando tiempo y esfuerzo de parte del usuario cuando quiere crear una cuenta en una plataforma nueva. Adicionalmente, algunos permiten crear contraseñas de un solo uso que pueden ser útiles para registrarse en una promoción o realizar alguna tarea que requiera registro.

Integración con los navegadores

Esta función permite automatizar el proceso de acceso a las plataformas, pues los datos se ingresan automáticamente o mediante autocompletado si accedes desde un navegador como Google Chrome o Firefox. También funciona de manera inversa: el gestor puede detectar que una nueva contraseña se ha usado o que se ha actualizado una preexistente y pregunta al usuario si desea guardarla.

La función de autocompletar, además de agilizar los procesos, puede darnos una pista de que no estamos en un sitio web seguro. Si intentas acceder a un sitio web que parece auténtico pero el gestor no completa tus datos automáticamente, esto podría significar que estás en un sitio web con un URL distinto al oficial y que intenta hacer phishing.

Alertas de vulnerabilidad

Si una de las plataformas donde estás registrado sufre una brecha de seguridad, algunos gestores te notifican y solicitan que cambies tu contraseña de acceso a ese sitio particular. Por otro lado, también generan alertas cuando una contraseña es muy débil o si se repite en distintas plataformas, dando recomendaciones para aumentar tu seguridad.

Portabilidad y compatibilidad

El gestor ideal debe ser portable, de manera que se pueda llevar en un dispositivo de almacenamiento (como un pendrive) y que no requiera instalación para ser utilizado en un nuevo ordenador, ya sea que este utilice Windows, Linux u otro sistema operativo.

¿Cómo se usan los gestores de contraseñas?

Como con cualquier otra aplicación, una vez que descargas o accedes a un gestor de contraseñas debes crear una cuenta. Para ello, necesitas usar algún correo electrónico y crear tu contraseña maestra, con la que podrás acceder a toda tu información, así como agregar, eliminar y editar cualquier dato que desees.

Una vez que la cuenta es creada, puedes empezar a guardar los datos que necesites (cuentas de redes sociales, contraseñas bancarias, datos de tarjetas de crédito, etc.) de manera manual, o dejar que se guarden de forma automática a medida que accedes a cada plataforma. 

Además de datos de sitios web y aplicaciones, la mayoría de los gestores permiten que guardes información personal, como tu nombre, número de teléfono y dirección, y el gestor se encargará de autocompletar tus datos donde sean requeridos (por ejemplo, en formularios de registro).

Gestores de contraseñas populares

Existen muchas opciones cuando se trata de elegir el mejor gestor de contraseñas. Los usuarios suelen buscar los gestores que sean más seguros y se adapten mejor a sus necesidades personales o empresariales. A continuación te dejamos una lista con algunos de los gestores de contraseñas más populares y sus características:

Dashlane 

Dashlane es uno de los administradores de contraseñas con diseño más amigable para los usuarios y con mayor versatilidad en cuanto a los sistemas operativos donde se puede utilizar (incluyendo Windows, macOS, iOS y Android), pero también es uno de los más costosos. Tiene una versión gratuita que, aunque muy completa, sólo permite su uso offline.

Keeper 

Esta alternativa tiene un diseño más rudimentario, pero también es muy versátil y ofrece aplicaciones para escritorio, dispositivos móviles e integración a múltiples navegadores, todas con almacenamiento ilimitado. Sin embargo, Keeper no tiene versiones gratuitas.

KeePass

A pesar de que la interfaz de KeePass es muy poco amigable, se trata de un gestor completamente gratuito que funciona offline y es de código abierto, lo que quiere decir que ante un problema de seguridad o funcionamiento, cualquier desarrollador puede encargarse de la solución del mismo.

Bitwarden

Bitwarden es una alternativa gratuita de código abierto (con una versión paga para empresas), multiplataforma y compatible con múltiples navegadores y sistemas operativos.

Roboform

Roboform se trata de una alternativa que funciona de forma gratuita en su versión offline, sin sincronización de contraseñas, pero ofrece una versión con funciones más avanzadas que no es gratuita.

Password Safe

Se trata de otra opción que sólo permite ser instalada de manera local, sin la posibilidad de tener tus contraseñas en la nube. Password Safe utiliza un algoritmo de alta seguridad para encriptar las contraseñas y es completamente gratuito.

Recientemente, Lastpass, uno de los gestores de contraseñas más conocidos, sufrió un ciberataque en el que el atacante obtuvo acceso a parte de su código fuente y otros detalles técnicos. Aunque reportan que no hubo acceso a datos de ningún usuario, es un ejemplo de que ningún programa o aplicación es completamente segura.

¿Qué tan seguros son los gestores de contraseñas?

Considerando el tipo de información que se guarda en un gestor de contraseñas, es importante preguntarse qué tan seguros son realmente. Lo que los hace seguros es que funcionan con un mecanismo de cifrado que encripta todos tus datos, de manera que la única forma de acceder a ellos es con la clave maestra.

Así, aunque alguien lograra atacar la plataforma, encontraría todos los datos encriptados y no podría usarlos a menos que tuviese tu contraseña maestra. Esto no quiere decir que sean inmunes a los ciberataques, pero realmente ninguna plataforma que utilicemos lo es. Por ello, lo importante es tomar todas las precauciones posibles para proteger nuestros datos.

7 consejos para hacer los gestores de contraseñas más seguros

Existen algunas estrategias que podemos seguir para utilizar los gestores de forma segura y disminuir la probabilidad de que nuestros datos sean vulnerados. A continuación te dejamos 7 consejos para que aumentes la seguridad de tu gestor:

1. Obtén el gestor de fuentes fiables

Como con cualquier otro programa o aplicación, el lugar para obtener un gestor de contraseñas que sea seguro es desde páginas o tiendas oficiales. De otra manera, existe la posibilidad de que se obtenga un software malicioso que ponga en riesgo tu información personal.

2. Elige un gestor que utilice un cifrado potente

La mayoría de los gestores de contraseñas utilizan un tipo de cifrado estandarizado, como lo es el Advanced Encryption Standard (AES por sus siglas), que hace casi imposible descifrar el contenido. Tal es el caso del AES-256, que se caracteriza por admitir una longitud de clave de 256 bits, haciéndolo uno de los más seguros.

3. Utiliza siempre autenticación de dos pasos

La verificación de dos pasos añade una capa extra de protección, pues aunque alguien lograra hacerse con tu contraseña maestra, necesitaría una segunda verificación de identidad para acceder a los datos. Lo más usual es que sea un código que llega por SMS o correo electrónico, o el uso de biometría (huellas dactilares, reconocimiento facial entre otras).

4. Crea una contraseña maestra compleja

La contraseña que elijas para ser tu clave maestra debe cumplir con todas las características de una contraseña fuerte o segura. Podrías construir una contraseña segura cambiando los caracteres de una frase sencilla por caracteres especiales de forma aleatoria, como en este ejemplo: convertimos «los tres mosqueteros» en «10sTr3$mOs8u3+€r@s».

Además, existen plataformas que te ayudan a construir contraseñas complejas y te dicen qué tan difícil sería descubrirlas, cómo puedes hacerlas tú mismo y su importancia en general.

5. Ten a la mano el contacto del proveedor del servicio

En caso de que ocurra un ataque contra la plataforma que elegiste, es de utilidad que tengas manera de contactar al proveedor del gestor para informarte correctamente de los pasos a seguir para mantener tus datos protegidos.

6. Actualiza el software

Todos los programas y aplicaciones tienen alguna vulnerabilidad. Con cada nueva actualización, el fabricante va corrigiendo estas fallas para mejorar la seguridad de la aplicación. Por eso, es de suma importancia que tengas siempre la versión más reciente de tu gestor.

7. Protege tus dispositivos

No sirve de mucho tener un gestor confiable y seguro si tus dispositivos no están correctamente protegidos. La ciberseguridad tiene muchos frentes, y en muchas ocasiones (especialmente si quieres proteger tu empresa) es mejor contratar un servicio CISO para que expertos se encarguen de manejar todas las variables de tu seguridad.

Otras opciones incluyen la compra de productos que permitan automatizar la postura diaria de ciberseguridad y compliance de la empresa, como Apolo, o contratar un servicio de pentesting para evaluar la seguridad de tus redes y dispositivos.

Conclusiones

En Delta Protect simplificamos la ciberseguridad y el cumplimiento de tu empresa. Si quieres conocer otras estrategias de ciberseguridad para complementar el uso de gestores de contraseñas que se adapten a tus necesidades, contacta a nuestros expertos.

Bibliografía

¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

Conoce más

Sigue aprendiendo