No uses contraseñas malas, usa un gestor de contraseñas.
Stephen Shankland/CNET
Nota del editor: En reconocimiento al Día Mundial de la Contraseña, CNET vuelve a publicar una selección de nuestras historias sobre cómo mejorar y sustituir las contraseñas.
Si eres una de las innumerables personas que utilizan imprudentemente contraseñas fáciles de adivinar o reutilizan una contraseña para varias cuentas, los expertos en ciberseguridad tienen un mensaje para ti: No es culpa tuya. Memorizar una contraseña única y compleja para cada cuenta es imposible.
Pero ese es exactamente el tipo de tarea para la que los ordenadores son buenos. Por eso muchos expertos en ciberseguridad sugieren utilizar un gestor de contraseñas. Se trata de una utilidad de software que almacena de forma segura las contraseñas y las rellena automáticamente en las páginas de acceso. Le ayudan a proteger cada una de sus cuentas en línea con una contraseña fuerte.
«Recomiendo a todo el mundo que lo utilice», afirma Matías Woloski, director de tecnología de la empresa de autenticación Auth0 y experto en seguridad de contraseñas. «Los gestores de contraseñas son hoy la mejor alternativa».
Probablemente le vendría bien la ayuda del gestor de contraseñas. La contraseña más utilizada que se ha encontrado en las filtraciones de datos sigue siendo «123456», según datos de la empresa de ciberseguridad SplashData, y la segunda contraseña más común es, por supuesto, «password». La persona promedio usa solo 13 contraseñas únicas, y casi un tercio dijo que solo usa dos o tres contraseñas para todas sus cuentas, según una encuesta de 2018 de la compañía de software antivirus McAfee.
Para una mirada más amplia, revisa la cobertura de CNET de esta semana sobre los problemas de las contraseñas y las soluciones como las llaves de seguridad de hardware, las razones por las que algunas viejas reglas de selección de contraseñas ahora son obsoletas y un cuento de advertencia sobre lo que puede salir mal con un administrador de contraseñas.
Tienes varias opciones de gestores de contraseñas. Hay herramientas dedicadas como LastPass, BitWarden, Dashlane, Keeper y 1Password. Los navegadores web, como Safari, Chrome y Firefox, también tienen controles de contraseñas integrados que son más limitados, especialmente si utilizas varios navegadores, pero cada vez son más sofisticados.
Desgraciadamente, los gestores de contraseñas pueden ser complejos y no siempre funcionan bien con los sitios web y las aplicaciones. Quizá por eso sólo el 3% de los usuarios de Internet confía principalmente en los gestores de contraseñas, según el Pew Research Institute. Woloski sugiere empezar con la ayuda de alguien más técnico.
Aún así, los gestores de contraseñas pueden ayudarte a navegar por Internet con mucho menos riesgo. Aunque la industria de la tecnología por fin está presentando alternativas reales a las contraseñas, y formas de deshacerse de ellas por completo, todavía tendrás que contar con docenas de ellas, o cientos, en los próximos años. Los gestores de contraseñas pueden ayudar, aunque no sean perfectos
¿Qué es un gestor de contraseñas?
Los gestores de contraseñas generan contraseñas únicas y complejas para cada sitio, las almacenan de forma segura y las introducen en diferentes navegadores y dispositivos informáticos. Puedes utilizarlos como extensiones del navegador o aplicaciones móviles que rellenan las páginas de acceso con tu nombre de usuario y contraseña por ti.
Tiene muchas ventajas. En primer lugar, no tienes que memorizar ninguna contraseña (excepto la de tu gestor de contraseñas). Eso significa que puedes seguir consejos de seguridad desagradables pero útiles, como no reutilizar nunca una contraseña y utilizar siempre contraseñas largas y complejas como $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Además, los gestores de contraseñas ayudan a protegerte de los ataques de phishing que te dirigen a sitios web fraudulentos e intentan engañarte para que introduzcas tu contraseña. Los gestores de contraseñas ofrecen tus credenciales de acceso sólo cuando estás en el sitio web correcto.
Por último, muchos gestores de contraseñas cuentan con funciones que le indican si un sitio ha sufrido una violación de datos. También pueden indicarte si la contraseña que utilizas ha sido encontrada en una reserva de datos de usuarios robados, como ha ocurrido con al menos 555 millones de contraseñas. Son señales de que hay que cambiar la contraseña inmediatamente. Los gestores de contraseñas también pueden ayudarte a encontrar contraseñas débiles o reutilizadas.
¿Debe almacenar todas sus contraseñas en un solo lugar?
El consejo estándar durante décadas ha sido memorizar las contraseñas, por lo que almacenarlas en un solo lugar se siente un poco mal. Y, por supuesto, sería terrible que los hackers pudieran vulnerar tu gestor de contraseñas y acceder a todas tus cuentas.
Aún así, la seguridad de los gestores de contraseñas ha demostrado ser sólida. Los piratas informáticos sólo han logrado avances limitados en el robo de información de los usuarios de los gestores de contraseñas -una brecha llegó a comprometer las pistas para las preguntas de seguridad de los usuarios de LastPass, por ejemplo-, pero ningún ataque conocido accedió a las cachés de las contraseñas reales.
Seguro que los hackers podrían llegar a romper esa seguridad, pero es mucho más probable que se dirijan a ti con un ataque de phishing para robar tus contraseñas, dijo Mark Risher, jefe de seguridad de cuentas de Google. Además, el uso de un gestor de contraseñas limita las posibilidades de caer en un ataque de phishing.
Vídeo: En un mundo de malas contraseñas, una clave de seguridad podría ser tu nuevo mejor amigo
Por supuesto, tienes que tener cuidado. Con todos los huevos de la contraseña en una cesta del gestor de contraseñas, asegúrate de encontrar una manera de recordar tu contraseña maestra o clave secreta. No pasa nada si la escribes, siempre que la guardes en un lugar seguro. También puedes exportar tus contraseñas a una hoja de cálculo de vez en cuando, siempre que la guardes encriptada (o pongas una copia impresa en un cajón cerrado).
Si pierdes el acceso a tu cuenta, tendrás que pasar por el proceso de restablecimiento de contraseña para todas tus otras cuentas, lo que sería un gran dolor de cabeza.
Inconvenientes de los gestores de contraseñas
Desgraciadamente, hay que contar con que los gestores de contraseñas son difíciles de manejar. Sólo añadir la información de todas sus cuentas existentes al servicio es trabajo, aunque la mayoría de los gestores de contraseñas ofrecen herramientas para importar los datos de su navegador u otros gestores de contraseñas. Y hay que dar pasos adicionales para habilitar el gestor de contraseñas en el teléfono.
Quizás el mayor problema es que algunos sitios web no se llevan bien con los gestores de contraseñas, causando el tipo de problemas engorrosos y odiosos que hacen que quieras tirar el ordenador por la ventana.
Por ejemplo, los gestores de contraseñas a veces no detectan los campos de inicio de sesión. O pueden torpeza cuando los sitios web piden información extra como un código PIN o su película favorita.
A veces las páginas web no se llevan bien con los gestores de contraseñas.
Brett Pearce/CNET
Y lo que es peor, algunos sitios web bloquean la función de autocompletar, impidiendo que los gestores de contraseñas introduzcan tus credenciales de acceso. Un banco australiano, CommBank, aconseja a sus clientes que no almacenen las credenciales de sus cuentas bancarias en un gestor de contraseñas. En un comunicado, CommBank dijo que ve el valor de los gestores de contraseñas, pero cree que los hackers encontrarán formas de engañar a sus clientes con sofisticados esquemas de phishing si utilizan gestores de contraseñas.
«Para las contraseñas de la banca online, recomendamos a los clientes que creen una contraseña fuerte que sea única para cada cuenta y que no la escriban», dijo un portavoz de la empresa. Aun así, los expertos en seguridad dicen que esto hace mucho más probable que los clientes utilicen contraseñas débiles o reutilizadas.
1Password está abordando el bloqueo del autocompletado trabajando con los fabricantes de navegadores web que quieren hacer que los sitios web permitan la función, dijo Matt Davey, director de operaciones de la compañía.
«Lo que intentan hacer es anularlos a nivel de sitio, y autocompletarlos de todas formas», dijo Davey sobre los fabricantes de navegadores. 1Password también se pondrá en contacto directamente con los sitios web y les dirá que deben ponerse al día y dejar que sus usuarios inicien sesión con un gestor de contraseñas.
Incluso las personas con conocimientos técnicos tienen problemas con la fricción de los gestores de contraseñas. Kimber Dowsett, una experta en ciberseguridad que anteriormente ayudó a proteger los sistemas de la NASA y que ahora trabaja como directora de ingeniería de seguridad en la empresa de infraestructura de software Truss, se frustró recientemente cuando trató de iniciar sesión en el sitio web de un banco. Tuvo que introducir sus credenciales de acceso manualmente, porque el sitio web bloqueó su gestor de contraseñas.
Había un último problema: no podía saber si una contraseña de caracteres era el número cero o la letra O, así que tenía que adivinar.
«Gran parte de la fricción se aliviaría si los desarrolladores de aplicaciones simplemente permitieran el autocompletado y el pegado, de modo que pudiéramos utilizar realmente los gestores de contraseñas tal y como se pretende», dijo Dowsett. «Lanzar una llave inglesa no ayuda a ninguno de nosotros».
Usar menos las contraseñas
Hay buenas noticias en dos frentes. La primera es que los fabricantes de Chrome, Safari y Firefox están reforzando sus propios gestores de contraseñas. Apple ha incorporado uno en iOS y lo activa por defecto. Está bien utilizar estas funciones en los dispositivos que controlas con una contraseña o un inicio de sesión biométrico. Además, deberían hacer que el almacenamiento digital de contraseñas sea más habitual y obligar a los desarrolladores de sitios web a jugar bien con funciones como el autocompletado y el pegado.
En segundo lugar, las nuevas tecnologías permiten utilizar menos las contraseñas. La biometría, como las huellas dactilares y el rostro, reduce la necesidad de presentar la contraseña cada vez que se accede a un servicio. Los servicios de inicio de sesión único te permiten acceder a un sitio con otra cuenta, como la de Google, Apple o Facebook. Sin embargo, tendrás que sentirte cómodo compartiendo más información sobre los servicios que utilizas con uno de estos titanes de la tecnología.
En tercer lugar, la autenticación multifactor, las claves de seguridad y otras tecnologías de autenticación están ayudando a mejorar las deficiencias de seguridad de las contraseñas. Con el tiempo, es posible que no haya que usar contraseñas en absoluto.
Esta innovación no va a sustituir a las contraseñas a corto plazo, afirma el director general de BigID, Dimitri Sirota, cuya empresa ayuda a las empresas a proteger la información personal. Pero está empezando a reducir la primacía de las contraseñas para mantener la seguridad de las cuentas. Y eso es bueno, dijo.
«Las contraseñas han sido la norma durante mucho tiempo», dijo Sirota. «Y uno del que nadie está especialmente contento».
Publicado por primera vez el 10 de marzo de 2020 a las 5:00 a.m. PT.