También disponible en inglés.
A medida que las filtraciones de datos se vuelven más frecuentes, aprender cómo proteger tus cuentas en plataformas digitales es más importante que nunca.
Imagina que todos los candados numéricos usaran la misma combinación para abrirse. Para desbloquear cualquier cerradura solo necesitarías averiguar esa combinación. Esa sería una protección bastante endeble e incluso puede sonar tonto, pero así es como muchas personas protegen sus cuentas en internet. Cuando reutilizas la misma contraseña en varias cuentas estás creando un punto único de vulnerabilidad en la protección de todas las cuentas.
Las filtraciones masivas de contraseñas ocurren todo el tiempo y porque los atacantes saben que posiblemente reutilizas contraseñas intentarán usar esas credenciales en varios sitios web. Lo más seguro es usar contraseñas únicas para cada sitio. Claro que es muy difícil tener que recordar tantas contraseñas.
Para eso se crearon los gestores de contraseñas.
Los gestores de contraseñas ayudan a mantener tus cuentas seguras al generar contraseñas largas y únicas para cada una e incluso permiten ingresarlas automáticamente al iniciar una sesión. Si bien tendrás acceso a contraseñas únicas para cada sitio, solo tendrás que recordar una contraseña para desbloquear la “bóveda” del gestor de contraseñas.
Luego de configurar un gestor de contraseñas en tus dispositivos, podrás iniciar las sesiones en los sitios web de forma más rápida y segura.
¿Qué buscar en un gestor de contraseñas?
Por supuesto, un buen gestor de contraseñas necesita poder generar contraseñas largas y únicas. Esta opción te permite usar caracteres especiales y personalizar la longitud de las contraseñas. Por ejemplo, el generador de contraseñas de Bitwarden permite modificar el número de caracteres, dígitos y símbolos en una contraseña generada. También puedes usar una serie de palabras aleatorias.
Un buen gestor de contraseñas debe proteger tus contraseñas de terceros. Esto significa que cualquiera que tenga acceso a tu dispositivo no debería poder acceder a tus contraseñas sin tu permiso. Solo tú deberías poder acceder a tus credenciales después de desbloquear tu bóveda de contraseñas, usando tu contraseña maestra — la única que debes recordar para poder acceder al resto.
Por otro lado, el gestor de contraseñas en sí mismo, no debería poder acceder a tus contraseñas. Es decir, si tu contraseña está expuesta, como por ejemplo en un documento en tu computadora que se sincroniza con iCloud, le estás confiando la seguridad de tus contraseñas a la buena voluntad del proveedor de la nube y sus obligaciones legales para entregar tu información a terceros.
Varios gestores de contraseñas (Bitwarden, 1Password, Dashlane) tienen servicios en línea que te permiten mantener copias remotas de tu bóveda. Esto puede ser muy útil para mantener la información sincronizada en múltiples dispositivos y para asegurarte que puedas recuperar el acceso a tu bóveda si pierdes tu dispositivo.
Al elegir un gestor de contraseñas que mantenga copias de seguridad remotas de la bóveda, investiga si usan cifrado de extremo a extremo. Esto simplemente significa que nadie excepto tú, el usuario, tiene acceso a la contraseña maestra de tu bóveda. Si el gestor de contraseñas cuenta con cifrado de extremo a extremo, las plataformas en línea no pueden acceder a tus contraseñas, incluso si lo quisieran.
Debido a que no tienen forma de acceder a tu bóveda sin tu contraseña maestra, tampoco podrán ayudarte a recuperar el acceso a tu cuenta si la olvidas, por lo que es muy importante que siempre recuerdes tu contraseña maestra.
Un buen gestor de contraseñas también requiere de mejoras permanentes. Las actualizaciones constantes mejoran las funciones y usabilidad, así como también las actualizaciones de seguridad mantienen tu información más protegida.
Un par de ejemplos de gestores de contraseñas con buenas prácticas de actualización son Bitwarden (de código abierto) y 1Password, quienes han publicado parches de seguridad e impulsado nuevas funciones para adaptarse a nuevos dispositivos, como los lectores de huella integrados.
Finalmente, una de las cosas más importantes que puedes hacer es buscar un gestor de contraseñas que se haya sometido y respondido a una auditoría de seguridad independiente. Esto significa que investigadores y expertos en seguridad han revisado de cerca y con un enfoque crítico el código de programación y publicado sus hallazgos sobre seguridad. Esto permite a los desarrolladores aprender cómo mejorar su programa y los hace más responsables para crear herramientas más confiables y seguras.
Al elegir un gestor de contraseñas, primero revisa la auditoría de seguridad. Puedes confiar más en la seguridad de un programa si encuentras una auditoría suficientemente reciente — durante el último año o los últimos dos años.
Idealmente, un gestor de contraseñas debería ser compatible con extensiones para navegadores. Esta característica también provee una gran protección contra ataques de phishing, ya que las contraseñas solo se llenarán de forma automática en la página web correcta — y no en la página de algún impostor.
Desmontando mitos sobre gestores de contraseñas
Puede que te preocupe que tu gestor de contraseñas entregue tus credenciales a un sitio web falso. Pero un buen gestor de contraseñas solo rellenará los formularios de contraseñas en el sitio web correcto.
También es muy importante entender que un buen gestor de contraseñas no debería entregar tus credenciales incluso si alguien tiene tu contraseña. Al configurarlo bien, la clave de cifrado necesaria para desbloquear tu bóveda debería funcionar únicamente en tus dispositivos personales y no debería ser accesible desde dispositivos desconocidos, a menos que tú lo autorices.
Siempre que sea posible protege tu gestor de contraseñas con un método de autenticación de dos factores (2FA). Si quieres aprender cómo funciona, revisa nuestra guía sobre autenticación de dos factores para principiantes.
La verdad es que si un potencial atacante quiere ingresar sin tu autorización necesitará un nivel de acceso extraordinario para poder ingresar a tu gestor de contraseñas — y si ya tienen este acceso, tienes problemas más grandes.
No existe tal cosa como un software invulnerable, pero un buen gestor de contraseñas crea grandes obstáculos para terceros que intenten acceder a tu bóveda.
En pocas palabras
Al elegir un gestor de contraseñas debes buscar algunas características clave:
- Un generador de contraseñas aleatorias.
- Una “bóveda” segura y que esté protegida por una contraseña.
- Cifrado de extremo a extremo.
- Soporte y desarrollo activo.
- Auditoría de seguridad hecha por investigadores independientes.
- Compatibilidad con los principales navegadores.
- Compatibilidad con los principales sistemas operativos.
- Compatibilidad con métodos seguros de autenticación de dos factores.
Los siguientes gestores de contraseñas tienen todas las características descritas anteriormente:
- Bitwarden (gratuito o $10 anuales para acceder a funciones adicionales como almacenamiento cifrado y 2FA con llaves de seguridad)
- 1Password ($36 anuales o gratis para periodistas a través del programa 1Password para periodismo)
- Dashlane ($60 anuales)
Además, recomendamos las herramientas de código abierto, como el proyecto KeePassXC. Existen varios proyectos relacionados con nombres y funcionalidades similares, pero KeePassXC está siendo desarrollado de forma activa y es compatible con múltiples plataformas con funcionalidades actualizadas. Es una de las pocas opciones confiables que te permiten mantener tus contraseñas de forma absolutamente local, si prefieres no usar servicios de terceros para sincronizar tus contraseñas entre dispositivos.
Nuestros entrenadores en seguridad digital ayudan a periodistas y trabajadores de los medios de comunicación a implementar prácticas de seguridad en su dinámica de trabajo. Contacta a nuestros entrenadores para aprender más sobre nuestra oferta educativa.