¿Son seguros los gestores de contraseñas?

Hoy en día no existe una respuesta simple ante la pregunta indicada en el título de este artículo. Recientemente se han conocido diferentes noticias relacionadas con los diferentes gestores de contraseñas que detallaremos a continuación. Pero, antes de nada, es necesario poner en contexto y explicar que es un gestor de contraseñas. Los gestores de contraseñas según Wikipedia son:

“Un gestor de contraseñas o administrador de contraseñas es un programa de cómputo que se utiliza para almacenar una gran cantidad de parejas usuario/contraseña. La base de datos donde se guarda esta información está cifrada mediante una única clave (contraseña maestra; en inglés, master password), de forma que el usuario solo tenga que memorizar una clave para acceder a todas las demás. Esto facilita la administración de contraseñas y fomenta que los usuarios escojan claves complejas sin miedo a que no podrán recordarlas posteriormente.”

Con esta explicación podemos entender como gestor de contraseñas un programa o software en donde almacenamos las contraseñas y solo debemos de acordarnos de una contraseña que nos permitirá tener acceso al resto de contraseñas, esta contraseña que debemos recordar es la contraseña maestra como se indica y sin la cual no tendremos acceso a nuestra base de datos de contraseñas.

Pero desde hace tiempo algunos gestores de contraseñas no requieren de esta contraseña maestra, estos gestores son los que ya incorporan los navegadores web de nuestros dispositivos. Recientemente ha sido noticia un malware denominado como “Redline Stealer” que explota la base de datos que utilizan algunos navegadores para almacenar las contraseñas. En esta base de datos, se pueden localizar el usuario y la contraseña, la URL del sitio web, así como cuándo se hizo login por última vez o hasta cuántas veces se ha accedido a un sitio web.

Este malware está siendo utilizado por ciberdelincuentes en algunas de las campañas que se están viendo ahora mismo en donde se utiliza como cebo noticias sobre la última variante de Covid-19 denominada Omicron, FortiGuard Labs ha detectado estas campañas e indica que aun no siendo el efecto causado por este malware catastrófico para los equipos infectados sí puede ser muy peligrosa la información obtenida pues puede ser utilizada para acciones maliciosas o vendida a terceros. Con todo esto, creemos que se debe de tener mucho cuidado con los gestores de contraseñas embebidos en los navegadores pues el acceso a las contraseñas como se ha demostrado es muy sencillo.

Como alternativa a los gestores embebidos tenemos los gestores basados en software, pero debemos indicar que algunos de los gestores de contraseñas más populares no están exentos de noticias en donde se pone en duda su seguridad. Desde finales de 2021 se sospecha que LastPass ha sufrido una brecha de seguridad en donde se han visto expuestas las contraseñas maestras de los usuarios que utilizan este software. 

Desde la compañía indican que no ha habido tal incidente de seguridad y aseguran que ninguna información se ha visto comprometida, en el medio The Verge indican lo siguiente: «Nuestra investigación ha encontrado desde entonces que algunas de estas alertas de seguridad, que se enviaron a un subconjunto limitado de usuarios de LastPass, probablemente se activaron por error. Como resultado, hemos ajustado nuestros sistemas de alerta de seguridad y este problema se ha resuelto desde entonces».

Pero esto no está convenciendo a los usuarios de LastPass pues la sospecha de la fuga de información sigue estando ahí. Como recomendación se recalca la activación del doble factor de autenticación para poder acceder a las credenciales almacenadas y así siempre añadir un factor más a la autenticación con este servicio, ya no solo que sea algo que conozco como la contraseña maestra, sino también algo que tengo como un código generado en alguna aplicación móvil.

Tras todos estos “incidentes” que se han indicado con anterioridad, me gustaría comentar mi experiencia con uno de estos gestores de contraseñas, desde hace casi un año estoy utilizando un gestor para todas mis contraseñas, al principio es un poco frustrante debido a que a modo de recomendación se nos indica no reutilizar contraseñas y poco a poco he ido restableciendo todas las contraseñas de los diferentes servicios web que utilizo en mi día a día o he utilizado.

Todas las contraseñas son generadas de manera aleatoria por el gestor y desde hace casi 6 meses puedo decir que solo tengo memorizadas 3 contraseñas, la contraseña maestra, la contraseña del banco y la contraseña del pc. El resto de las contraseñas las he delegado en el gestor de contraseñas, cual ha sido mi sorpresa que a la hora de ver cuantas contraseñas tengo guardas a día de hoy tengo 123 contraseñas almacenadas que creo que me sería imposible conseguir aprenderme de memoria.

Una de las ventajas de los gestores de contraseñas, sobre todo si son bajo un método de suscripción, son los servicios de seguridad que añaden. En mi caso el software me indica si estoy reutilizando contraseñas, si las contraseñas son débiles o si la contraseña o mi cuenta se ha visto involucrada en un incidente de seguridad, en cuyo caso se nos recomienda cambiar la contraseña cuanto antes. Este servicio utiliza según se nos indica búsquedas en la darkweb para conseguir ver si nuestras cuentas se han visto vulneradas.

Con todo esto y para finalizar, queremos destacar que los gestores de contraseña son una herramienta esencial en el día de hoy viendo la cantidad de cuentas que tenemos para trabajar, comprar, etc. Pero aun siendo una herramienta esencial no quiere decir que no requiera de un mantenimiento y tener cuidado, pues como hemos expuesto no existe la seguridad al 100% y deberemos siempre estar atentos a ver si se ha producido una fuga de información.

Firmado: Luis de Miguel. Cybersecurity Expert en SATEC.

La entrada ¿Son seguros los gestores de contraseñas? es original de MuySeguridad. Seguridad informática.