Noticias

Cómo almacena una web nuestras contraseñas seguras

Métodos de las páginas web para guardar contraseñas

Las contraseñas son la principal barrera defensiva que tenemos para evitar que haya intrusos en nuestras cuentas. Las utilizamos en redes sociales, para acceder a los dispositivos, foros en los que nos registramos, programas… Ahora bien, ¿cómo protegen esas claves las páginas web para que estén seguras? ¿Todos los sitios son iguales o podemos tener problemas? De ello vamos a hablar en este artículo.

Qué opciones tiene una web para guardar las claves

Siempre que nos registramos en una plataforma de Internet, sea la que sea, vamos a confiar en ella. Por ejemplo si nos creamos una cuenta en Facebook o Twitter, estamos agregando una contraseña que va vinculada al usuario. Lo mismo si nos registramos en un foro o cualquier otro servicio en Internet.

En caso de que ese sitio o esa plataforma tengan algún problema de seguridad, nuestras cuentas podrían estar en peligro. Por ejemplo si hay una vulnerabilidad y un atacante logra explotarla para acceder al contenido. Ahí es cuando esas contraseñas podrían filtrarse y terminar en malas manos.

Las páginas web, por tanto, van a tener que almacenar esas claves de alguna manera para que no estén disponibles para cualquiera. Pero claro, no todas lo hacen de la misma manera. Hemos visto muchas filtraciones que han provocado que las contraseñas terminen en la Dark Web y que incluso estén a la venta cuentas de redes sociales, Netflix o cualquier otro servicio.

Texto plano

Esta es la peor opción de todas, lógicamente. Sin embargo todavía hay sitios web que almacenan la información y contraseñas en texto sin formato. ¿Qué significa esto? Básicamente quiere decir que si un intruso logra acceder a una base de datos, todo lo que contiene está disponible sin ningún tipo de cifrado.

En este caso ese sitio web que guarda las contraseñas no va a utilizar ningún algoritmo para protegerlas. Pongamos que nos registramos en un foro para buscar información de algo en concreto. Creamos una cuenta y ponemos una contraseña que es muy buena y cuenta con todo lo necesario para que no sea averiguada. Ese sitio web sufre una brecha de seguridad y hay un grupo de piratas informáticos que logra acceder a la base de datos donde están almacenadas las claves. Podrían tener acceso a todas ellas sin problemas.

Esto es posible ya que esas contraseñas no las ha almacenado con ningún tipo de cifrado, ni algoritmo para protegerlas. Básicamente están como si creáramos un archivo de texto en nuestro ordenador y escribiéramos allí las contraseñas. Si alguien tiene acceso al ordenador y abre ese archivo, vería todo el contenido sin mayores problemas.

¿Hay algo que nos advierta de que un sitio guarda contraseñas en texto plano? Lo podemos ver si recibimos la clave por e-mail. Esto es algo que podemos ver cuando nos registramos en cualquier sitio y posteriormente recibimos un correo con los datos. Allí veríamos el nombre de usuario y la contraseña tal cual la hemos creado.

Filtración de contraseñas

Cifrado

Ahora bien, lo normal hoy en día es que al registrarnos en páginas web utilicen un cifrado para proteger las claves de acceso. Lo que hacen es codificar la información y hacen que sea totalmente ilegible. Esto va a ser posible ya que generan dos claves: una es la contraseña que usamos con los datos que hemos generado y otra es la clave del propio sitio.

Si ponemos el mismo ejemplo anterior en el que un sitio web tiene una vulnerabilidad y es atacado, en este caso las contraseñas estarían cifradas y no serían legibles para esos intrusos. Ahora bien, no es algo totalmente infalible.

Pero claro, para que ese cifrado sea efectivo es necesario una clave primaria. Es lo mismo que si creamos un archivo cifrado con contenido dentro o utilizamos un gestor de claves donde vamos a guardar nuestras contraseñas. En estos casos es necesario que haya una clave maestra o primaria para acceder al contenido.

Es justamente esa contraseña el objetivo de los piratas informáticos. Si acceden a ella, pueden entrar para ver todas las demás. Por tanto, nuestras contraseñas van a depender en gran medida de esa clave primaria.

Función hash

Las funciones hash o hashing son también un método para mantener seguras las contraseñas en una página web. Es considerada como la forma más fiable y segura para ello. ¿En qué consiste? Lo que hace es convertir nuestras contraseñas. Cuando creamos una clave, automáticamente la convierte en otra diferente y compleja gracias a esa función hash.

Cuando iniciamos sesión, ese sitio web va a ejecutar la función hash para reconocer la clave. Sin embargo, en caso de que un atacante llegue a acceder a la base de datos donde están almacenadas las contraseñas, sería realmente complicado que pudiera revertir esa función. No sabría cuál es la clave.

Pero claro, tampoco estamos ante algo que sea 100% fiable. Esa función hash va a ser la misma siempre que ponemos una contraseña. Los piratas informáticos pueden ideárselas para crear tablas hash y romper los valores para acceder a las claves. Es algo muy complicado, pero no estaríamos ante una seguridad total.

Qué tener en cuenta para saber si una web guarda las claves seguras

Después de explicar los diferentes métodos que pueden usar para almacenar las claves, que básicamente son texto plano (lo peor de todo), cifrado o función hash, ¿cómo podemos saber si estamos registrándonos en una página que almacene bien las contraseñas?

Una señal importante es la que mencionábamos respecto a cómo nos envían la contraseña por correo. Si al registrarnos nos envían una clave tal cual la hemos escrito, significa que la van a almacenar en texto sin formato y por tanto no hay seguridad real.

Por otra parte, una señal interesante que nos muestra que la clave está almacenada correctamente es cuando le damos a recordar contraseña y ese sitio no nos devuelve la clave que creamos anteriormente. En cambio, lo que va a hacer es enviarnos una contraseña provisional.

Además, es importante ver que la página en la que nos estamos registrando está cifrada. Esto lo sabremos si tiene certificado SSL y la URL comienza por HTTPS y no por HTTP. Es una garantía que si bien no significa que sea segura en todos los casos, sí que descarta los sitios no fiables.

Seguridad en una página web cifrada

Cómo evitar problemas con las contraseñas en Internet

¿Qué podemos hacer para evitar problemas con nuestras contraseñas en Internet? Vamos a dar algunos consejos esenciales para ello. Un recorrido por lo más importante a tener en cuenta para registrarnos en cualquier plataforma o servicio con seguridad.

Crear claves fuertes

El primer consejo de seguridad es crear contraseñas que sean realmente fuertes. ¿Cómo podemos lograrlo? Esas claves deben contener letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales. Todo ello de forma aleatoria y tener una buena longitud.

Esto va a permitir que los piratas informáticos no tengan facilidad para romper esas contraseñas a través de ataques de fuerza bruta. Nunca hay que poner cosas como nuestro nombre, número de móvil, etc.

Siempre usar contraseñas únicas

Por supuesto esas contraseñas tienen que ser únicas. No debemos usarlas en varios sitios al mismo tiempo. Si por ejemplo tenemos una clave de acceso para Facebook y esa misma la utilizamos en un foro donde nos hemos registrado y este foro ha sufrido un ataque, se produciría lo que se conoce como efecto dominó y podrían acceder a la cuenta de la red social.

Por ello, es imprescindible que no repitamos las contraseñas. Debemos crear siempre una única para cada registro, cada programa o sitio web.

Utilizar administrador de contraseñas

¿Y cómo podemos lograr todo esto? Una buena idea es utilizar un administrador de claves. Va a permitir que generemos contraseñas fuertes y complejas, además de almacenarlas de forma segura. Tenemos muchas opciones, como por ejemplo LastPass, KeePass o Dashlane.

Estos programas los hay tanto para ordenador como para móvil. Incluso podemos sincronizar las contraseñas online y tenerlas disponibles en cualquier lugar.

En definitiva, estas son algunas cuestiones importantes a tener en cuenta sobre cómo almacenan las páginas web nuestras contraseñas. Ahora bien, más allá de eso debemos también crear las claves con total seguridad y evitar problemas.

El artículo Cómo almacena una web nuestras contraseñas seguras se publicó en RedesZone.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.