Gestores de contraseñas para navegadores: los peligros de su uso

Los Gestores de contraseñas. En el mundo actual, utilizamos un gran número de contraseñas: para el correo electrónico, las redes sociales, las tiendas online, los portales gubernamentales, etc. La mayoría de estos sitios nos exigen que utilicemos contraseñas seguras, es decir, contraseñas que utilicen letras mayúsculas y minúsculas, caracteres especiales y números. Y, lo más importante, que las contraseñas de los distintos sitios fueran diferentes, ya que, de lo contrario, si los intrusos obtienen los datos de un sitio en el que usted estaba registrado, pueden entrar en cualquier otro sitio en el que esté registrado y utilizar la misma contraseña.

En una situación así, en la que es necesario utilizar muchas contraseñas diferentes, los gestores de contraseñas acuden en nuestra ayuda. Cuando usted se registra o inicia sesión en un sitio web, el gestor de contraseñas le pide que guarde sus credenciales en su base de datos o que rellene inmediatamente los campos correspondientes en el sitio web si las credenciales ya existen en la base de datos del gestor de contraseñas.

Gestores de contraseñas

La mayoría de los navegadores modernos, incluidos Google Chrome, Mozilla Firefox, Edge y Opera, tienen gestores de contraseñas integrados, que ofrecen guardar las contraseñas en cuanto se empieza a utilizar. Al mismo tiempo, existen aplicaciones multiplataforma independientes, siendo las más populares 1Password, LastPass, BitWarden y Keeper, donde se pueden guardar las contraseñas y cualquier otro dato, así como compartirlas con los miembros de la familia o los compañeros de trabajo (las funciones colaborativas suelen estar disponibles con una suscripción de pago).

La característica clave de los administradores de contraseñas es que, para acceder a sus contraseñas, debe ingresar su contraseña maestra, que crea cuando comienza a usar dichas aplicaciones y que solo usted conoce. Esta contraseña maestra es necesaria para descifrar la información que almacena en el gestor de contraseñas. Por lo tanto, incluso si un atacante roba la base de datos con sus contraseñas, no podrá hacer nada con ella sin su contraseña maestra. Por un lado, esto suena bastante seguro, especialmente considerando que los datos están encriptados en tránsito, pero, por otro lado, un atacante ahora sólo necesita comprometer una contraseña maestra para acceder a toda la información que almacena en su gestor de contraseñas. Bueno, los compromisos deben encontrarse en todas partes: por un lado, ya no necesita recordar docenas de contraseñas, por otro lado, aún pueden ser robadas, es bastante difícil hacerlo (y no es necesario para obtener su contraseña maestra, los atacantes pueden atacar los servidores donde almacena las contraseñas y explotar una vulnerabilidad para comprometer sus datos).

¿Cuál es la situación de los gestores de contraseñas en los navegadores?

Tomemos como ejemplo Google Chrome. Si has utilizado o utilizas este navegador, recuerda que el navegador ofrece guardar las contraseñas, pero nunca ofrece crear una contraseña maestra para protegerlas. Además, si no está conectado a su cuenta sino que utiliza una cuenta local de Google Chrome, esos datos también se almacenarán localmente en su ordenador de forma prácticamente insegura. Más concretamente, sus datos estarán encriptados, pero las claves asociadas para desencriptarlos estarán prácticamente desprotegidas. Esto permite a los atacantes aprovechar los scripts (exploits) disponibles en Internet para descifrar todas sus contraseñas y robarlas. En este sentido, utilizar un archivo de contraseñas que esté almacenado en algún lugar de su ordenador es aún más seguro, ya que si un atacante accede a su ordenador es más probable que ejecute un código malicioso que buscará sus contraseñas en los almacenes de contraseñas de los navegadores que son tan fáciles de hackear y no buscará en los archivos locales de su ordenador buscando su archivo de contraseñas.

Conviene señalar por separado que los navegadores no nos advierten que están utilizando un método de almacenamiento tan inseguro, lo que da la impresión de que nuestros datos están seguros.

Entonces, ¿Qué hay que hacer?

Dejar de usar gestores de contraseñas en los navegadores y pasar, por ejemplo, a las soluciones de terceros de las que hablábamos al principio del artículo (1Password, LastPass, BitWarden, Keeper, …), que nos obligan a usar contraseñas maestras para acceder a su información y que tienen factor de autenticación doble (MFA por App o por SMS) y eso añade un punto extra de seguridad. Además, la mayoría son multiplataforma y cuentan con soluciones corporativas para compartir contraseñas entre los empleados de la empresa o, por ejemplo, compartir contraseñas entre los miembros de la familia. Y no te preocupes, todos ellos tienen extensiones de navegador para que el acceso a las contraseñas sea tan cómodo y rápido como en los gestores de contraseñas integrados en los navegadores.

Después de cambiar a un gestor de contraseñas dedicado, también se recomienda actualizar todas las contraseñas antiguas que estaban almacenadas en el gestor de contraseñas de su navegador. En primer lugar, esto protege contra los casos en los que sus datos ya han sido comprometidos, y, en segundo lugar, cambiar sus contraseñas regularmente es tanto un requisito de seguridad como de complejidad de la contraseña.

Si por alguna razón no está preparado o no quiere dejar de usar el gestor de contraseñas de su navegador, al menos habilita la contraseña maestra para acceder a su información. En Google Chrome, por ejemplo, puede hacerlo yendo a chrome://settings/syncSetup en Sincronización – Opciones de cifrado – Cifrar datos sincronizados con tu propia contraseña de sincronización.

Si usted es un administrador de sistemas y su empresa utiliza una aplicación centralizada de las políticas de configuración, se recomienda que desactive de forma centralizada la función de guardar la contraseña en los navegadores para todos los empleados. Esto es muy deseable incluso si se utilizan gestores de contraseñas de terceros, ya que los navegadores seguirán ofreciendo de forma persistente guardar sus contraseñas.

¿Qué más es útil saber?

No hemos hablado de macOS y Safari, que también tiene un gestor de contraseñas integrado, pero es más seguro porque está estrechamente vinculado a una cuenta de ID de Apple.

La aplicación Microsoft Authenticator para la autenticación de dos factores también recibió una actualización el año pasado como gestor de contraseñas integrado, pero aún no podemos juzgar su seguridad debido a que apareció hace poco tiempo y falta por ver las posiblidades colaborativas del sistema. Por el momento probablemente sea mejor confiar en aplicaciones como 1Password y LastPass.

En ICM intentamos no sólo seguir todas las normas de seguridad, sino también ir un paso por delante para mantenernos a nosotros mismos y a nuestros clientes a salvo de cualquier posible amenaza a la seguridad. Ahora sabes un poco más sobre cómo protegerte a ti mismo o a tu empresa del robo de contraseñas y otra información que pueden almacenar los gestores de contraseñas integrados en los navegadores. Las amenazas a la seguridad nos rodean por todas partes, por lo que es importante estar siempre atentos y utilizar medidas preventivas para proteger la información.