Si eres de los que tienes muchas contraseñas o no sabes cómo administrarlas, este artículo es para ti.
Por Gigi Agassini, CPP*
A menudo escuchamos y/o leemos sobre los riesgos y los retos que conlleva la acelerada evolución tecnológica. Nuestras actividades diarias en el trabajo, en la vida familiar, social y personal están rodeadas cada vez de más sistemas y aplicaciones que requieren del uso de claves y de usuarios para su acceso, lo que se ha convertido en un reto del cual aún somos renuentes a tomar acciones que nos permitan gestionar “esos riesgos”, como lo es la generación de claves fuertes y únicas.
Lo anterior (aunque realizado de diferente manera) no es algo que surgió con la era digital, simplemente evolucionó. En la antigua Grecia el ejército romano usaba “espadas”, como contraseña que demostraba que eras miembro de esa unidad.
Incluso, para lo prohibido también se usaban claves; cuando existieron tabernas donde se vendía alcohol de manera clandestina, el uso de una tarjeta o de una frase era necesaria para permitirte el acceso e identificarte como autorizado.
A inicios de 1960 un profesor de informática del MIT, Fernando Cobartó, creó la primera contraseña digital como solución a un problema de diseño para compartir un ordenador con varios usuarios1. A medida que estamos más conectados, la creación de cuentas y contraseñas se vuelve abrumadora, ¡tanto!, que es fácil olvidar el usuario, el correo con el que nos registramos y, por supuesto, la contraseña para tener acceso al sistema o servicio que requerimos. 
Con la popularidad del internet incluso los mismos sistemas nos comenzaron a pedir contraseñas más largas; seguramente elegiste o sigues eligiendo palabras fáciles de recordar (para ti) que están relacionadas contigo mismo: el nombre de algún familiar, la calle o ciudad donde vives, el nombre de tu mascota, etc., pero de pronto nos piden al menos una letra mayúscula, por lo que seguramente la inicial de “tu” palabra secreta se convirtió en mayúscula.
Pero no termina todo ahí, con la mayor popularidad del internet, ahora los sistemas nos piden un número, mismo que puedo asegurarte que por “facilidad” incluyes el 1 al final de tu palabra secreta. Sin embargo, el incremento de robo de identidad, fraudes y accesos no autorizados, llevan a reforzar los sistemas por lo cual te piden incluir al menos un “caracter especial”, y puedo suponer que tu caracter especial es el signo de admiración ( ! ) al final del 1 de tu palabra secreta. Lo anterior, sumado a que solo usas esa “contraseña” para todas tus cuentas, “asegurando” que no la olvidarás.
Si te sientes identificado con lo anterior, créeme…no eres el único. Como lo mencioné, el uso incremental del internet se ha convertido en una montaña difícil de llegar y lamento no tener mejores noticias, pues como lo hemos vivido en los últimos años solo seguirá aumentando.
La razón principal de solicitar contraseñas más largas, con caracteres especiales, etc., es simplemente aumentar la seguridad de acceso a tu información, lo que conlleva cierta responsabilidad, y las mejores prácticas nos dicen lo siguiente:
- Crear contraseñas diferentes para cada cuenta.
- Las contraseñas deben ser largas, conteniendo mayúsculas, números y caracteres especiales.
- No usar información personal o que nos identifique.
- Cambiar las contraseñas de manera regular.
- Guardar las contraseñas en lugar seguro y no compartirlas.
Y es precisamente este último punto en el que más fallamos como usuarios, pues es común hacer exactamente lo contrario a lo que las buenas prácticas nos sugieren, sumado al uso de una contraseña única para todas las cuentas existentes.
La pregunta es entonces: ¿cómo gestionar todas las contraseñas de manera segura y eficiente? Si eres de los que aún copia y pega contraseñas desde un block de notas, es hora de pensar en algo que pueda apoyarte a protegerlas de manera más efectiva.
Los gestores de contraseñas
Y es aquí donde aplicaciones como los gestores de contraseñas brindan una única clave maestra para simplificar y proteger tus cuentas, lo cual se han convertido en una herramienta esencial en la era digital, ofreciendo una solución segura para el manejo de múltiples credenciales en línea y aunque existen muchas opiniones al respecto, vamos a analizar qué son, cómo puedes usarlos y cuáles son los riesgos que conlleva.
Ofrecen ventajas significativas, como la generación automática de contraseñas complejas y únicas para cada cuenta, la sincronización segura entre dispositivos, el almacenamiento de las claves en una base de datos cifrada y la capacidad de acceder a todas tus contraseñas con una única contraseña maestra. Es especialmente útil para personas que tienen dificultades para recordar contraseñas complejas o que utilizan dispositivos en múltiples plataformas y que no tienen el hábito de cambiarlas regularmente. No obstante, en entornos altamente controlados o donde se utilizan sistemas avanzados de autenticación, su necesidad puede ser menor o nula.
Un gestor de contraseñas te acompaña mientras navegas por la web, llevando tus contraseñas de forma segura como un anillo de llaves. Estos programas almacenan nombres de usuarios y las claves en una base de datos y cuando necesitas una nueva clave o cambiar la existente puedes fácilmente obtener una sugerencia segura que se quedará almacenada de manera automática en el gestor.
Algunas de las ventajas, adicional a la de administración de usuarios y claves únicas para tus cuentas en línea pueden ser:
- Ahorro de tiempo.
- Función multidispositivo y sistemas operativos.
- Protección de tu identidad.
- Notificación sobre posibles sitios web de phishing.
- Identificación cuando una contraseña está comprometida.
- Notificación si tienes la misma clave en varias cuentas.
- Reconocimiento si tus claves son débiles y fáciles de adivinar.
Y aunque los gestores de contraseñas ofrecen muchas ventajas, aún un gran porcentaje de usuarios no confían en ellos, las razones son muchas y variadas pero la principal es la falta de confianza en que todo está centralizado y existe el riesgo que un pirata informático viole la seguridad y acceda a toda la información2.
Los gestores de contraseñas al igual que todos los sistemas no son exentos de desafíos y tienen riesgos asociados, por lo que es importante a la hora de elegir la aplicación que usarás considerar características relevantes como son el cifrado de la base de datos, el lugar donde se almacenará toda la información de claves y usuarios; la autenticación multifactor, debido a que la información que contiene, es transcendental esta función; conocimiento cero, refiere a que la aplicación misma no sabe cuál es la clave para desbloquear la bóveda y eres tú el único que conoce esa información; sincronización y compatibilidad con sistemas operativos, aplicaciones y dispositivos3.
Lo anterior seguramente te lleva a la pregunta: ¿cuáles son los administradores de contraseñas más seguros? Bueno, sin duda es de las preguntas más importantes a tener en cuenta para elegir el que usarás.
Definitivamente muchos administradores hacen grandes esfuerzos y diseños para brindar la mayor seguridad a la aplicación, pero nadie es perfecto, y es sabido que algunos han tenido problemas. LastPass, en diciembre de 2022, por ejemplo, (aunque es una opción popular y de gran reputación), sufrió una violación de seguridad4 y, aunque la empresa aseguró a los usuarios que no había contraseñas accesibles, sigue siendo motivo de preocupación.
La mayoría de los administradores de contraseñas son muy seguros y utilizan los más avanzados métodos de cifrado para el almacenamiento de las claves de forma segura. Como lo mencioné anteriormente, la arquitectura de conocimiento cero es uno de los principios básicos para que los gestores mantengan sus contraseñas lo más seguras posible. Esto significa que nadie más que el usuario tiene acceso a las contraseñas contenidas en la bóveda cifrada. Se usan algoritmos complejos de cifrado, y como en todo, existen varios métodos. Algunos administradores como NordPass, utilizan algo llamado XChaCha20, que es de grado militar y se considera a la vanguardia de la tecnología de cifrado actual5.
Considera que, como ocurre con cualquier pieza de tecnología digital, la forma en que le damos uso contribuye en gran medida a determinar qué tan segura permanece. Cerciórate de acceder a tu administrador desde una red segura y protegida (no olvides que las redes wifi-públicas son un gran peligro), y de usar las mejores herramientas para eliminación de malware y antivirus para tu sistema.
Recuerda que las aplicaciones son eficientes según la necesidad y propósito de uso; los gestores de claves no son ajenos a ello, existen muchas opciones en el mercado, por lo que antes de comenzar tu evaluación, es importante que te documentes sobre las características y funcionalidades que son mejor para tus necesidades.
Podrás encontrar gestores para uso personal, para uso familiar, sin costo, para pequeños y medianos negocios, por mencionar algunos. No olvides incluir en tu evaluación que sistema o sistemas operativos usas, dispositivos, aplicaciones y verificar su compatibilidad con el administrador de contraseñas.
Si aún eres de los que sigue usando una sola contraseña para todo y con información que te identifica, te sugiero moverte a un gestor de claves que se adapte a tus necesidades, sin duda encontrarás una buena alternativa.
Mantener tu entorno lo más seguro posible y desarrollar hábitos que te permitan gestionar eficientemente los riesgos a los que estás expuesto constante y diariamente, es tu responsabilidad.
Referencias: 1. Luopen LATAM.
2. National Cybersecurity Alliance
3. National Cybersecurity Alliance
4. digitaltrends.
5. techradar
¡Hasta la próxima!
* Gigi Agassini, CPP
Consultora Internacional de Seguridad
GA Advisory
[email protected]
Deje su comentario