¿Necesito realmente un gestor de contraseñas?

Todos estamos de acuerdo en que nuestra existencia digital requiere demasiadas contraseñas. Todos nos hemos encontrado con el temido mensaje “¿Quiere leer este artículo? Por favor, regístrese creando su cuenta gratuita” Una y otra vez hay que elegir una contraseña segura y recordarla. Esto se ha convertido en algo demasiado habitual, ya que cada vez más contenidos se encierran en jardines amurallados digitales. Aunque este paso va en contra de la filosofía de una Internet libre y abierta, éste es el estado actual del ecosistema online. Entonces, ¿cómo podemos hacer que esta actividad sea más llevadera y, me atrevería a decir, placentera?

La respuesta es empleando el mejor gestor de contraseñas para que ya no tengas que hacer malabarismos con múltiples credenciales de inicio de sesión en tu memoria, guardadas en un navegador o anotadas en una nota super secreta escondida bajo el teclado. Utilizando un gestor de contraseñas gratuito, sólo tendrás que recordar tu contraseña maestra para desbloquear tu bóveda de contraseñas y el gestor se encargará del resto.

Los gestores de contraseñas son programas que generan contraseñas seguras, aleatorias y, lo que es más importante, únicas, en función de los parámetros establecidos por el usuario (mayúsculas y minúsculas, sin símbolos especiales, etc.) y las almacenan en una base de datos criptográficamente segura llamada cámara acorazada. Para descifrar y ver las contraseñas cifradas, los usuarios necesitarán una contraseña maestra segura y posiblemente también alguna forma de autenticación multifactor como un yubikey o un código OTP. Si alguien se topara con un almacén de contraseñas cifradas y no dispone de los datos de acceso necesarios, sus contraseñas permanecerán seguras e inutilizables para el atacante.

En resumen: un gestor de contraseñas puede generar y guardar todas tus contraseñas de forma segura, para que no tengas que preocuparte por olvidarlas. Con un gestor de contraseñas puedes utilizar fácilmente contraseñas únicas y seguras para todas las cuentas online importantes, sin tener que utilizar la misma contraseña dos veces (lo cual es absolutamente inaceptable).

Por su facilidad de uso y su extraordinaria seguridad, todo el mundo debería utilizar un gestor de contraseñas.

A pesar de tener la misma función general, el mercado de los gestores de contraseñas se ha disparado, lo que ha dado lugar a una gran variedad de funciones disponibles a la hora de elegir el mejor gestor de contraseñas. En última instancia, el uso de CUALQUIER gestor de contraseñas aumenta tu nivel de seguridad y añade una capa adicional de protección a tus cuentas. Hay algunas diferencias clave entre algunos de los principales gestores de contraseñas que están disponibles y nos gustaría aclarar y explicar su uso, pros y posibles contras. De este modo, podrás elegir el mejor gestor de contraseñas para tus necesidades personales o profesionales:

¿Son seguros los gestores de contraseñas?

Si eres nuevo en el mundo de los gestores de contraseñas, puede que te preguntes si son realmente seguros. La respuesta es sí. Los gestores de contraseñas son conocidos por su seguridad y todos los expertos en ciberseguridad coinciden en que utilizar gestores de contraseñas es la mejor forma de aumentar tu seguridad en Internet. Los gestores de contraseñas utilizan un cifrado potente para proteger tus contraseñas, lo que constituye una sólida defensa contra los ciberdelincuentes. Muchos gestores de contraseñas utilizan un cifrado seguro post-cuántico como AES 256 o superior, recomendado por el gobierno de EE.UU. para proteger los datos sensibles en un mundo post-cuántico.

Características

Las características necesarias de un gestor de contraseñas pueden variar de una persona a otra en función de sus preferencias o necesidades de seguridad, pero hay algunas características que no deben comprometerse. La primera de estas características imprescindibles sería la capacidad de generar contraseñas aleatorias. Esto puede parecer una obviedad, pero también hay prácticas alternativas utilizadas por algunos gestores de contraseñas que consisten simplemente en guardar una contraseña elegida mentalmente en un archivo cifrado. Un gestor de contraseñas debería ser capaz de crear contraseñas aleatorias de diferente longitud y elección de caracteres. Si evitas utilizar las contraseñas más comunes, tus cuentas estarán mucho más seguras. Un buen ejemplo se puede encontrar en KeePassXC, un gestor de contraseñas local con un buen conjunto de opciones para generar contraseñas seguras. Puedes generar contraseñas fuertes, únicas y aleatorias con un solo clic. Al generar estas contraseñas aleatorias es una buena práctica asegurarse de que tengan al menos 20 caracteres, pero si no necesitas recordarlas, ¡por qué no ir a lo grande! Es muy fácil cuando se utiliza un gestor de contraseñas.

Compatibilidad con la autenticación multifactor

Más allá de la capacidad de generar y guardar contraseñas seguras, es una gran ventaja para la calidad de vida si tu ventana única de gestión también puede incluir tus opciones de autenticación multifactor. Una contraseña segura por sí sola no basta para mantener la seguridad de sus cuentas en línea. Casi todas las plataformas en línea ofrecen la opción de añadir un segundo factor de autenticación y su configuración no es demasiado difícil. Una ventaja de utilizar un gestor de contraseñas que admita la autenticación TOTP es que puedes alejarte de los códigos de autenticación SMS, que no son seguros y pueden ser fácilmente interceptados por un ataque de intercambio de SIM. Esta función permite generar códigos TOTP que se utilizan para confirmar el inicio de sesión una vez introducidos el nombre de usuario y la contraseña correctos. Si desea llevar su seguridad a un nivel superior, le recomendamos que utilice un dispositivo U2F como un Yubikey que es totalmente compatible con Tuta.

Soporte para Passkeys o Passphrases

Las claves de acceso son el último paso para tratar de vencer la creciente fatiga de contraseñas a la que se enfrentan los usuarios de Internet sin comprometer la seguridad de sus cuentas. Las claves de paso se basan en la criptografía de clave emparejada, que crea una clave privada y otra pública en tu dispositivo. La clave pública se comparte con el servidor, mientras que la privada permanece almacenada de forma segura en el dispositivo local. Al intentar iniciar sesión, el sitio web en cuestión requerirá esta clave específica del dispositivo o, de lo contrario, el inicio de sesión fallará. El soporte para passkeys viene instalado en las últimas versiones de dispositivos iOS, Google y Microsoft, pero también son compatibles con algunos de los mejores gestores de contraseñas como Keeper o Bitwarden. Las contraseñas no van a desaparecer a corto plazo, pero podemos cruzar los dedos para que acaben desapareciendo.

Tuta incorpora un generador de frases de contraseña que se puede utilizar al crear una nueva cuenta. Por supuesto, asegúrese de guardar esta frase y su código de recuperación en su gestor de contraseñas recién instalado.

Comprobación de violación de datos

Algunos productos le ofrecen comprobar su almacén de contraseñas con la información de violación de datos y le alertarán si una de sus credenciales de inicio de sesión ha sido expuesta en un incidente de violación de datos. Esta función puede darle un buen aviso en caso de que sus cuentas sean vulnerables sin necesidad de estar constantemente al día sobre las filtraciones de datos del día. Si no estás interesado en adquirir uno de los servicios que ofrecen esta función, también puedes visitar HaveIBeenPwned para comprobar si tu dirección de correo electrónico, nombre de usuario o contraseña han sido incluidos en una filtración. (En general, no es la mejor práctica ir pegando tu contraseña por ahí, pero si utilizas nombres de usuario y contraseñas únicos puedes determinar si se ha producido un compromiso).

Características a evitar

Fuente cerrada

Se ha convertido en un lugar común y una buena práctica publicar proyectos de software como código abierto. Hay una garantía de seguridad a través de la transparencia en que si todos los ojos pueden revisar el código entonces los errores pueden ser encontrados y corregidos más rápido. Esta práctica es especialmente importante para los proyectos relacionados con la encriptación y el almacenamiento seguro de los datos de los clientes. Si las empresas desarrollan su propio sistema de cifrado y no publican el código para una revisión abierta y honesta, hay que desconfiar, porque no sabemos lo que está pasando bajo el capó y no tenemos ninguna prueba de que nuestros datos están realmente seguros.

Modelos de precios abusivos

Dependiendo de los modelos de precios y suscripciones disponibles, algunas empresas pueden intentar obligarte a suscribirte para “desbloquear” las funciones de seguridad básicas. Un ejemplo de esto podría ser BitWarden, aunque es una gran opción como gestor de contraseñas basado en la nube, negar a los usuarios gratuitos el acceso a su autenticador parece un poco equivocado, ya que deja a estos usuarios en un riesgo de seguridad si no están dispuestos a dar el paso de pagar por el servicio. La seguridad debería estar disponible por defecto y la autenticación multifactor no es un lujo, es una necesidad.

Gratuito, ¿pero a qué precio?

Muchos servicios ofrecen una versión gratuita de su producto, pero puede que falten funciones. Ciertas necesidades como la sincronización en la nube pueden no ser algo que estés buscando, pero el soporte para 2FA, ya sea como entradas TOTP o como un paso de autenticación adicional para abrir tu gestor de contraseñas, no debería estar encerrado detrás de un muro de pago. Mientras que algunas empresas bloquean funciones, hay una serie de grandes proyectos de código abierto que son completamente gratuitos y ofrecen grandes características, pero pueden requerir algunos conocimientos técnicos o un poco de retoques para que funcionen exactamente como te gustaría.

El equilibrio entre comodidad y seguridad

Esto depende mucho de tu modelo de amenazas, pero a mí me pone nervioso sincronizar contraseñas con servidores externos en la nube. Un ejemplo de por qué esto es preocupante es el incidente de la brecha en LastPass en agosto de 2022. Un actor malicioso fue capaz de comprometer un servidor que alojaba datos de clientes y pudo descargar información personal junto con bóvedas de contraseñas cifradas. Estos datos podrían ser utilizados para ataques de spearphishing utilizando los datos de los clientes comprometidos. O peor aún, si los clientes de LastPass no utilizaban contraseñas maestras seguras para su bóveda, toda la información de contraseñas almacenada en su gestor de contraseñas podría ser descifrada. Incidentes como estos son una amenaza para todos los gestores de contraseñas que alojan su(s) bóveda(s) en un entorno de servidor en la nube y esto debe tenerse en cuenta.

Los servicios que sólo operan localmente evitan completamente este tipo de amenaza y requerirían un ataque directo a su máquina para comprometer su almacén de contraseñas.

Para mí, el riesgo no merece la pena por la comodidad añadida, pero puede que yo sea uno de esos “paranoicos”. Prefiero utilizar un gestor de contraseñas local, con una contraseña muy segura y varias copias de seguridad cifradas. Este tipo de violación tampoco es posible si guardas una lista de contraseñas escrita físicamente en una caja fuerte. Si esta caja fuerte se ve comprometida, es probable que tengas un problema mayor que una simple violación de datos.

En el caso de la información de inicio de sesión financiera, como las criptomonedas, merece la pena tenerlo en cuenta. Tras la filtración de LastPass, un informe afirma que la filtración provocó directamente la pérdida de más de 35 millones de dólares.

Comparación de las características de los mejores proveedores

Lo mejor para 2024

Los tres mejores

1. Bitwarden: Bitwarden combina todas las características que necesitas con un bajo precio mensual de $1, o incluso gratis. Su software es de código abierto, lo que permite que la comunidad revise su código para que puedas confiar en que no hay nada turbio que pueda afectar a tu seguridad.

2. 1Password : 1Password combina todas las características que puedes estar buscando a un bajo coste de suscripción. A 2,99 dólares para particulares o 5 dólares para un plan familiar de 5 usuarios, puedes estar tranquilo de que tus datos están seguros y que pueden ser convenientemente compartidos con tus seres queridos cuando y si es necesario.

3. Keeper: Keeper combina la gestión y compartición segura de contraseñas con la opción de compartir archivos entre tus perfiles de usuario. Si necesitas compartir el escaneo de un documento sensible, no necesitas depender de WhatsApp, puedes enviarlo rápidamente sin comprometer tu privacidad y seguridad. Actualmente cuesta 2,92 dólares al mes, Keeper también ofrece una prueba gratuita de 30 días que te permitirá probar su servicio antes de comprometerte.

Alternativas FOSS

1. Pass: Pass es un gestor de contraseñas gratuito y de código abierto que comenzó como una opción para los usuarios de Linux/Unix. El software básico de Pass es una interfaz de línea de comandos que almacena cada contraseña como su propio archivo cifrado único. Construido con un compromiso con la simplicidad, Pass es un enfoque sin lujos para la gestión de contraseñas. Hay múltiples complementos que se pueden utilizar si prefiere una interfaz gráfica de usuario y también puede activar la sincronización con la nube si desea alojar su propio gestor de contraseñas basado en la nube. Este es el ajuste perfecto para los más inclinados técnicamente o aquellos que buscan aprender.

2. KeePassXC : KeePassXC es un gestor de contraseñas de código abierto disponible para Mac, Windows y Linux. También hay puertos de terceros disponibles para que pueda mantener sus contraseñas seguras en Android y iOS. KeePassXC viene con todas las características que necesita en un gestor de contraseñas y está disponible de forma totalmente gratuita. La sincronización en la nube es posible, pero esto requerirá que alojes esto tú mismo.

3. Bitwarden: Bitwarden aparece de nuevo en esta lista porque están comprometidos con la seguridad del software de código abierto. Al mantener su código a la vista del público, los usuarios pueden estar seguros de que sus datos están realmente seguros.

Los 3 mejores gestores de contraseñas gratuitos

1. KeePassXC

2. Bitwarden (versión gratuita)

3. Pase

¡Puedes Cifrar Más Que Tus Emails! Mantenga sus contraseñas seguras.

Los gestores de contraseñas se han convertido en un punto innegociable en la construcción de una fuerte postura de seguridad en línea. No sólo te salvan el cerebro, sino que también pueden crear contraseñas matemáticamente fuertes y únicas. Esta combinación, independientemente de si optas por un servicio local o por un proveedor en la nube, elimina tus cuentas de los objetivos potenciales. A la hora de elegir un servicio u otro, es importante analizar honestamente cuál es su modelo de amenazas. ¿Le interesan las amenazas persistentes avanzadas como el servicio de inteligencia de una nación industrializada? En ese caso, sus requisitos serán muy diferentes a los del ciudadano de a pie que sólo quiere crear una contraseña segura para una cuenta de Instagram. La seguridad no es de talla única y no es un sprint. Tendrás que decidir cuidadosamente cuáles son tus puntos débiles, equilibrar la comodidad y la seguridad, y darte cuenta de que este paso no será el último en tu viaje hacia la privacidad.

Si quieres llevar tu seguridad al siguiente nivel, combinar tu gestor de contraseñas con un proveedor de correo electrónico seguro y cifrado de extremo a extremo como Tuta es un gran primer paso. No sólo tus contraseñas estarán más seguras frente a los piratas informáticos, sino que tus datos también estarán seguros en reposo y a través de la red. Un factor importante a tener en cuenta a la hora de elegir un servicio de correo electrónico es que la mayoría de ellos ofrecen la opción de restablecer la contraseña por correo electrónico. El restablecimiento de contraseñas por correo electrónico es una grave amenaza para tu identidad en Internet: si piratean tu cuenta de correo electrónico, el atacante puede hacerse fácilmente con casi todas tus cuentas, como PayPal, Amazon, Facebook y Twitter, mediante un simple restablecimiento de contraseñas. Por eso, elegir un servicio de correo electrónico seguro -en combinación con el uso de uno de los mejores gestores de contraseñas analizados en este artículo- es la mejor forma de lograr la máxima seguridad en Internet.

Regístreseahora para obtener una cuenta gratuita de Tuta.

Y no olvides empezar a utilizar un gestor de contraseñas hoy mismo.

Mantente seguro. 🔒