¿Son seguros los gestores de contraseñas?

Kamile Viezelyte
Redactor de contenidos sobre ciberseguridad
Are password managers safe

Los ciberdelincuentes son tan implacables como siempre, y las contraseñas siguen siendo uno de sus botines favoritos. Las estadísticas anuales de filtraciones siguen subiendo: basta con echar un vistazo a la filtración de datos de AT&T, que afectó a más de 70 millones de clientes antiguos y actuales, por ejemplo. Aunque tomes medidas adicionales para proteger tus credenciales, es posible que te asalte una duda: ¿son suficientemente seguros los gestores de contraseñas?

Así que vamos a aclarar algunos conceptos erróneos e inquietudes. Hoy analizaremos los distintos tipos de gestores de contraseñas que existen, la tecnología que utilizan para proteger tus datos y lo que debes tener en cuenta a la hora de elegir el más adecuado para ti.

¿Qué es un gestor de contraseñas?

En pocas palabras, un gestor de contraseñas es un almacén digital de contraseñas y otras credenciales. Es una forma segura de almacenar información confidencial, ya que los gestores de contraseñas están desarrollados con cifrado de extremo a extremo y arquitectura de conocimiento cero. Esto garantiza que solo el propietario de la cuenta pueda acceder a sus contraseñas y utilizarlas, normalmente con una contraseña maestra personalizada o una identificación biométrica.

Tipos de gestores de contraseñas

Desde un punto de vista técnico, los gestores de contraseñas se clasifican en gestores en navegador, en la nube o locales. Aunque todos sirven para lo mismo, el almacenamiento seguro de credenciales, el alcance de los servicios que prestan y la forma de acceder a ellos varía.

Gestores en navegador

Los gestores de contraseñas en navegador pueden considerarse los más accesibles. De hecho, es probable que te hayas encontrado con un gestor de contraseñas en navegador, aunque creas que nunca has utilizado uno. Cada vez que inicias sesión en un sitio web y el navegador, por ejemplo, Chrome, Firefox o Edge—te ofrece si quieres que te recuerde tus credenciales en el futuro, estos datos se guardan en dicho gestor de contraseñas.

Los gestores de contraseñas integrados en los navegadores suelen ser gratuitos. Al igual que otros tipos de software de almacenamiento de contraseñas, utilizan algún tipo de cifrado para proteger tus datos confidenciales de accesos no autorizados. Están disponibles tanto para navegadores de escritorio como para móviles, lo que significa que una vez que te has comprometido con un navegador, tienes que ceñirte a él en todas las plataformas.

Gestor en la nube

Los gestores de contraseñas en la nube son los más populares. Son programas multiplataforma, lo que significa que se pueden instalar tanto en ordenadores de sobremesa como en dispositivos móviles. El aspecto técnico fundamental es que utilizan almacenamiento cifrado en la nube para proteger los datos sensibles. NordPass pertenece a la categoría de la nube.

Los gestores de contraseñas en la nube son alabados por su eficiencia y comodidad. La sincronización es una función esencial, que garantiza el acceso a datos confidenciales sobre la marcha. Sin embargo, aunque se puede acceder al almacén incluso sin conexión a Internet, otras funciones de seguridad pueden estar inactivas cuando se está desconectado.

Gestor local

Los gestores de contraseñas locales o sin conexión son accesibles sin conexión a Internet. Son el polo opuesto de los gestores en la nube: todos los datos confidenciales se almacenan en el propio dispositivo. Los usuarios pueden optar por gestores de contraseñas locales para facilitar el acceso si no disponen de una conexión estable a Internet. Los sistemas operativos de los ordenadores de sobremesa pueden ofrecer tanto almacenamiento local como en la nube, dependiendo de si se utiliza la sincronización o no.

El almacenamiento local de contraseñas es alabado por su relativa seguridad de hardware: si todas las credenciales se guardan en un ordenador de sobremesa estático que nunca abandona el escritorio, es menos probable que lo roben que un móvil o un portátil con un gestor de contraseñas sincronizado. Sin embargo, esto también significa que debes tener acceso a este dispositivo cada vez que necesites iniciar sesión en una cuenta, lo que puede ser bastante limitante.

¿Cómo protegen tus datos los gestores de contraseñas?

«Cifrado» es la palabra mágica cuando se habla de la seguridad de los gestores de contraseñas. Protege los datos sensibles del usuario de accesos no autorizados. A diferencia de las contraseñas escritas en un formato legible, como hojas de cálculo o documentos, todos los datos almacenados en almacenes cifrados están codificados y no se pueden leer sin una clave designada para desbloquearlos, normalmente un código de acceso, una contraseña maestra o una protección biométrica. Por razones de seguridad, la clave no se almacena en las mismas bases de datos que los datos cifrados.

Los gestores de contraseñas utilizan el cifrado AES o XChaCha20. AES-256 es el algoritmo de cifrado más utilizado por los gestores de contraseñas, pero pueden verse otros números, como 128 o 192. El número refleja en cuántos bloques se dividen tus datos durante el cifrado; cuanto mayor sea el número, más potente será el cifrado. XChaCha20 es, asimismo, un método de cifrado de 256 bits. Sin embargo, funciona más rápido que AES-256 y es más fácil de implementar.

Otro término vital para la seguridad de los datos en los gestores de contraseñas es «arquitectura de conocimiento cero». Cada vez que inicies sesión en tu almacén, deberás demostrar que dispones de la clave de verificación que hemos mencionado antes. Sin embargo, para evitar que personas no autorizadas imiten tu clave de acceso, la arquitectura de conocimiento-cero te permite demostrar que la tienes sin revelarla.

Al combinar la arquitectura de conocimiento cero y la tecnología de cifrado, los gestores de contraseñas te permiten acceder de forma segura a tus credenciales y reducen las posibilidades de que un delincuente se apodere de tu almacén. NordPass utiliza XChaCha20 para cifrar tus datos directamente en tu dispositivo, de modo que cuando lleguen a los servidores en la nube no puedan leerse sin tu contraseña maestra.

Ventajas e inconvenientes de utilizar un gestor de contraseñas

Como puedes ver, los gestores de contraseñas tienen que ver con la seguridad. Están diseñados para que la tecnología segura sea fácil de manejar. Por ejemplo, los gestores de contraseñas basados en navegadores. Puedes acceder a tus credenciales en la configuración de tu navegador preferido.

Lo mismo ocurre con los gestores de contraseñas en la nube, cada vez más disponibles como extensiones del navegador y una alternativa más fiable a los gestores integrados. Los gestores de contraseñas en navegadores y en la nube vienen equipados con sincronización, lo que garantiza que tus credenciales estén actualizadas y accesibles tanto en dispositivos de sobremesa como móviles.

Para disfrutar de una mayor comodidad, los gestores de contraseñas permiten generar y almacenar contraseñas únicas y seguras. Normalmente, ofrecen autocompletado, lo que significa que no tienes que buscar manualmente en el almacén de contraseñas para encontrar las credenciales correctas, y en su lugar puedes utilizar el gestor de contraseñas para que las introduzca por ti. El guardado automático funciona de forma similar: cada vez que un gestor de contraseñas detecta que introduces nuevas credenciales, te pide que las guardes.

Además del propio almacenamiento, los gestores de contraseñas pueden ofrecer servicios de seguridad adicionales. Esto es especialmente común entre los gestores en la nube. Pueden ofrecer funciones de seguridad ampliadas para proteger otros datos, como tus documentos de identidad, información bancaria o dirección personal.

Ya hemos tratado algunos de los inconvenientes relacionados con tipos específicos de gestores de contraseñas: los gestores locales te atan a un único dispositivo para acceder a tus credenciales, mientras que los servicios en la nube están limitados sin conexión a Internet. Los gestores en navegadores presentan una serie de problemas específicos. A diferencia de otros tipos, los gestores de contraseñas integrados en los navegadores rara vez se adhieren a una política de no registro, lo que significa que tus contraseñas podrían quedar expuestas sin tu consentimiento.

Pero, ¿se puede hackear un gestor de contraseñas? Desgraciadamente, sí. Ni siquiera los gestores de contraseñas son completamente a prueba de filtraciones, como demuestra la filtración de LastPass en 2022. Según la empresa, la filtración se produjo debido al aprovechamiento de una vulnerabilidad en un software de terceros, lo que permitió a los atacantes acceder a los datos cifrados y no cifrados de los clientes.

Aunque el riesgo de que un gestor de contraseñas en la nube sufra un ataque es real, emplean mecanismos de defensa para minimizar los daños de una posible filtración de datos. La clave aquí es la contraseña maestra. Como usuario, solo puedes descifrar tu información sensible desbloqueando tu almacén con la contraseña maestra. Los gestores de contraseñas en la nube no almacenan las contraseñas maestras en los mismos servidores que otra información sensible, lo que significa que no se pueden robar todas a la vez. Sin adquirir las contraseñas maestras, los ciberdelincuentes no pueden descifrar los datos.

Cómo elegir un gestor de contraseñas seguro

En primer lugar, determina qué tipo de gestor de contraseñas te conviene más. Aunque los gestores de contraseñas sin conexión son sólidos, su acceso puede parecer limitado. Así que, si quieres algo fácilmente disponible sobre la marcha, deberías considerar un gestor de contraseñas en la nube o en un navegador.

En general, un gestor de contraseñas en la nube se diseña con un enfoque que da prioridad a la seguridad, mientras que la función integrada en el navegador es más un complemento de un producto diferente con un enfoque menor en la protección de la privacidad. Esto significa que los gestores de contraseñas gratuitos de los navegadores pueden no ser tan seguros como sus alternativas. También puedes descargar un gestor de contraseñas en la nube como extensión del navegador, lo que te ahorrará tiempo y te garantizará que utilizas una herramienta basada en una arquitectura de conocimiento cero.

Comprueba el tipo de algoritmo de cifrado que utiliza el gestor de contraseñas. Aunque AES-256 sigue siendo el algoritmo más utilizado, XChaCha20 está ganando popularidad no solo en ciberseguridad, sino entre algunos de los nombres más conocidos de la tecnología en general, y es el algoritmo elegido para el gestor de contraseñas NordPass.

A continuación, plantéate para qué necesitas el gestor de contraseñas: para uso personal, para necesidades empresariales o quizá para ambas cosas. NordPass se adapta a tus necesidades, tanto si buscas una solución individual como un producto preparado para empresas. Te ofrecerá las ventajas de funciones adicionales para mejorar tu ciberseguridad en general. Por ejemplo, NordPass ofrece funciones como Escáner de filtración de datos, Seguridad de la Contraseña, y Enmascaramiento del correo electrónico para una seguridad integral en Internet.

Prácticas recomendadas sobre seguridad de contraseñas

Utilizar un gestor de contraseñas es solo el primer paso para mantener tus cuentas seguras. Aunque lo único que hagas sea almacenar credenciales, estás cubriendo tus necesidades básicas. Los gestores de contraseñas son seguros, pero siempre es bueno dar un paso más para asegurarse de que están totalmente equipados para proteger tus datos confidenciales.

  • Crea contraseñas seguras y únicas para tus cuentas. Es mejor que utilices un generador de contraseñas para garantizar que tus cuentas están debidamente protegidas. No te preocupes por recordarlas todas, el sistema de autocompletar de NordPass lo hará por ti.

  • Actualiza tus credenciales con frecuencia. Cuanto más tiempo se utilice una contraseña, más probabilidades hay de que se filtre. La función Seguridad de la Contraseña te permite comprobar si has guardado contraseñas antiguas, débiles o reutilizadas.

  • No pierdas de vista las filtraciones. El tiempo que transcurre entre una filtración de datos y el momento en que se tiene conocimiento de ella puede ser crítico. Utiliza el Escáner de Filtración de Datos para recibir alertas en directo en cuanto tus contraseñas, direcciones de correo electrónico o números de tarjetas de crédito aparezcan en la darknet.

  • Protege tu correo electrónico del spam. Supongamos que necesitas crear una cuenta para una compra rápida, pero te preocupa que terceros adquieran tus datos. Crea una dirección de correo electrónico señuelo con la función Enmascaramiento del correo electrónico para proteger así tu información real y que no se utilice en ataques de ingeniería social.

  • Activa la autenticación multifactor (MFA). Si alguna de las contraseñas de tu cuenta se filtra, la MFA ayuda a garantizar que permanezcan inaccesibles.

  • Cambia las contraseñas por claves. Simplifica aún más la gestión de las cuentas configurando el inicio de sesión sin contraseña con identificación biométrica. Almacena y gestiona las claves de acceso directamente en tu almacén NordPass.

Preguntas frecuentes

Suscríbete a las noticias de NordPass

Recibe las últimas noticias y consejos de NordPass directamente en tu bandeja de entrada.