Análisis en profundidad

Qué es un administrador de contraseñas, cómo usarlo y por qué

  • Home
  • Ciber Seguridad Informatica

Son programas y aplicaciones que almacenan de forma segura y encriptada las credenciales (nombres de usuario y contraseñas). Ventajas y desventajas de un administrador de contraseñas. Cómo utilizarlos, por qué y cuáles son los mejores.

Publicado el 10 Ago 2022

Administrador de contraseñas

Administrador de contraseñas. Probablemente ya haya oído hablar de ellos. Pero le explicaremos cuál es la mejor manera de utilizarlos y cuáles son los mejores de 2022. Esta mirada en profundidad a los administradores de contraseñas también nos permitirá responder una pregunta que se hacen cada vez más usuarios y personas con información privilegiada: ¿Nos acercamos a un mundo sin contraseñas, en el que éstas ya no serán necesarias? Probablemente, pero no será a corto plazo y, en cualquier caso, no del todo. 

Tendremos que seguir conviviendo con las contraseñas durante años, así que tiene sentido hacerlo de la forma más segura y cómoda posible. Y es precisamente para esto que los administradores de contraseñas son de gran ayuda. 

¿Qué es un administrador de contraseñas y cómo funciona? 

Los administradores de contraseñas son programas y aplicaciones que almacenan de forma segura y encriptada las credenciales (nombre de usuario y contraseña) para acceder a los servicios web (y no sólo) en una especie de bóveda virtual, poniéndola a disposición del usuario cuando la necesite. Los mejores administradores de contraseñas son “multiplataforma”, es decir, están disponibles para los sistemas Mac, Windows, iOS y Android. Esto permite (aunque no es un requisito) que las contraseñas se sincronicen a través de la nube (por ejemplo, Dropbox) en todos los dispositivos en los que estén instaladas (ordenador, portátil o smartphone, claro). 

Todavía estamos muy lejos de un mundo sin contraseñas. Tendremos que seguir “viviendo” con contraseñas mucho tiempo más. Además, herramientas claves para acceder, por ejemplo, a los datos corporativos de las empresas. Por lo que tiene aún más sentido utilizarlas correctamente. 

Con el número de contraseñas que cada uno de nosotros tiene que gestionar en su vida digital se torna complicado lograrlo. Esto lleva a uno de los errores más frecuentes y graves que los usuarios suelen cometer en la web: la reutilización de la contraseña. Es decir, usar la misma contraseña para diferentes cuentas. 

Se trata de un hábito peligroso que permite a los atacantes utilizar la técnica del “credential stuffing”: en la práctica, se prueban los nombres de usuario/contraseñas (recogidos en bases de datos de credenciales robadas, fáciles de encontrar en la Dark Web) para acceder de forma fraudulenta a las cuentas de los usuarios. Esto se puede hacer de forma automática utilizando software como Shard (‘Una herramienta de línea de comandos para detectar contraseñas compartidas’, de código abierto y disponible en GitHub). 

Así que las contraseñas deben ser siempre diferentes, largas y complejas. “La única contraseña segura es la que no se puede recordar”: en esta frase, que es el título de un famoso artículo de Troy Hunt de 2011, está el resumen del problema. Debemos utilizar contraseñas imposibles de recordar. Parecería un inconveniente sin solución, pero, por el contrario, hoy los administradores de contraseñas vienen en nuestra ayuda. 

La primera instalación de un administrador de contraseñas 

La primera instalación de un administrador de contraseñas puede ser agotadora, porque tenemos que rellenarlas cargando manualmente todas nuestras credenciales. Pero luego descubrimos lo útiles que son y no podemos prescindir de ellas. En algunos casos, también existen funciones de exportación e importación de bases de datos de contraseñas, que son especialmente útiles si se pretende migrar de un administrador de contraseña a otro. 

La función de exportación de contraseñas también está presente en el navegador Chrome: desde el menú Configuración/Contraseñas/Contraseñas guardadas, es posible utilizar el comando Exportar contraseña para generar un archivo .csv que casi todos los gestores de contraseñas pueden importar. La misma función también está disponible en Firefox, en la sección de los ajustes dedicada a las contraseñas, que se llama Firefox Lockwise.

Si, por el contrario, no procede de un administrador de contraseñas anterior (o si la opción de importación no está disponible), la utilización inicial de un administrador de contraseñas le obligará a rellenar los campos manualmente (especialmente los indispensables: nombre de usuario, contraseña, URL del sitio). 

En otras palabras: gracias a la extensión del navegador, el administrador de contraseñas puede reconocer si hemos creado una nueva cuenta/inicio de sesión y almacenarla en su base de datos. 

Señalemos -y también hablaremos de ello más adelante- que todo administrador de contraseñas requiere la instalación de su extensión en el navegador que utilicemos. Estas extensiones son componentes adicionales, también conocidos como plug-ins o complementos, que se instalan en los navegadores y amplían su funcionalidad e interacción con otros programas. Todos los principales gestores de contraseñas ofrecen extensiones para los navegadores más populares. 

Las ventajas de un administrador de contraseñas 

Son muchas las ventajas que ofrecen los mejores MP del mercado: 

  • Sólo hay que recordar una contraseña: como se ha dicho, es la contraseña maestra para abrirlos;
  • Ofrecen plantillas estándar que se pueden utilizar para facilitar la recopilación de los principales tipos de entradas. Tendremos entonces plantillas para: cuenta bancaria, tarjeta de crédito, documento, inicio de sesión, cuenta de correo electrónico, nota segura, contraseña de Wi-Fi, etc;
  • Para cada entrada, podemos añadir y almacenar muchos datos: nombres de usuario, contraseñas, números de teléfono, fechas de caducidad, fotos de documentos o tarjetas de crédito, etc., y personalizarlos a nuestro gusto. Esto los hace mucho más prácticos y completos que los gestores de contraseñas presentes de forma nativa en los principales navegadores (Chrome, Firefox, Safari);
  • En el mejor administrador de contraseñas, los datos almacenados se encriptan con el sistema de encriptación AES de 256 bits, el mismo que utiliza como estándar el gobierno estadounidense para proteger los documentos clasificados como “Top Secret”. Este tipo de encriptación es considerada inviolable por los ordenadores actuales. Por lo tanto, aunque un atacante consiguiera hacerse con el archivo (bóveda) con nuestras contraseñas, no podría desencriptarlo;
  • Tienen la capacidad de generar automáticamente contraseñas seguras y complejas: por lo tanto, siempre que necesitemos establecer o cambiar una contraseña, lo único que tenemos que hacer es que el administrador de contraseñas la cree y se creará con los mejores requisitos de seguridad para las contraseñas;
  • La mayoría de los administradores de contraseñas integran un sistema inteligente de autorrellenado de formularios en los sitios web. Por lo tanto, no es necesario “copiar/pegar” las contraseñas para completar el inicio de sesión. Esta funcionalidad es excepcionalmente cómoda: basta con entrar en la página de inicio de sesión del sitio, tener el administrador desbloqueado y éste reconocerá automáticamente el sitio introduciendo las credenciales correspondientes. Para utilizarlo, es necesario instalar la extensión del administrador de contraseñas en cada navegador. En los administradores más avanzados, el autorelleno funciona no sólo en los formularios de acceso, sino también para rellenar automáticamente los datos de las tarjetas de crédito. Esto es muy práctico para evitar la práctica -desaconsejable- de almacenar los datos de las tarjetas de crédito dentro de un sitio;
  • la función de autorrellenado también está implementada en las aplicaciones móviles (iOS y Android) de los administradores de contraseña;
  • El autocompletado genera una ventaja adicional: protege contra las estafas de phishing. En otras palabras, si aterrizamos en una página de inicio de sesión a través de un enlace de phishing, ésta será falsa, es decir, diferente de la URL del sitio real. Por lo tanto, la función de autocompletar fallará, porque no encuentra una coincidencia entre la URL en la que estamos y la guardada en el administrador;
  • Los administradores no pueden cambiar/actualizar las contraseñas en los sitios de forma independiente, esto tendrá que hacerlo obviamente el usuario. Sin embargo, gracias a la extensión del navegador, son capaces de reconocer los cambios de contraseña (cuando se realizan) y pueden actualizar automáticamente la contraseña dentro de su base de datos. Por lo general, requieren la confirmación del usuario antes de hacerlo (para evitar actualizaciones incorrectas o no deseadas). 

Desventajas de un administrador de contraseñas 

Los mejores MP son seguros y fáciles de usar, pero aunque son herramientas muy útiles, conviene señalar los posibles errores que el usuario no debe cometer al utilizarlos. 

Sólo señalaré tres posibles riesgos (o desventajas) 

Olvido de la contraseña maestra

En la mayoría de los administradores, no hay un botón “He olvidado mi contraseña” para recuperar la clave de acceso, precisamente por razones de seguridad. Por lo tanto, olvidar la contraseña maestra significa dejar de tener acceso al administrador y perder irremediablemente todas sus contraseñas. A veces, durante la instalación se genera una clave de seguridad (de al menos 32 caracteres) que se utilizará en caso de emergencia. Obviamente, esta “clave secreta” también debe guardarse con cuidado, ya que representa la última oportunidad de recuperar el acceso a la caja fuerte; 

Que le roben la contraseña maestra

Guardar todas las contraseñas en un solo archivo puede ser arriesgado, así que protéjalo con una contraseña fuerte, después de todo, es la única que realmente necesitamos recordar. Esto es indiscutiblemente cierto y es, de hecho, la principal crítica que hacen los que no les gustan los administradores; 

Elegir un administrador de contraseñas inseguro

Podría ser peligroso confiar las contraseñas a un software creado por otros, porque un atacante podría empaquetar y comercializar un administrador específicamente para robar nuestras contraseñas. Para evitar este riesgo -que es real- recomiendo elegir sólo administradores de empresas conocidas y fiables. Veremos qué productos son los más recomendables. 

¿Podemos confiar en un administrador de contraseñas? 

“¿Por qué debo dar mi contraseña a otra persona para que la memorice?”. Esta pregunta que escucho a menudo, especialmente en mis actividades de formación, no carece de sentido. Si bien no existe la seguridad absoluta en la ciberseguridad, los gestores de contraseñas son la mejor solución que combina seguridad y comodidad. 

Los administradores de contraseñas fiables utilizan la encriptación de conocimiento cero. Esto significa que los proveedores de administradores no saben nada de los datos que usted les proporciona. Lo encriptan antes de que pueda ser almacenado en sus servidores. 

Es un “sobre cerrado”: no saben lo que hay dentro. Aunque ellos o cualquier otra persona abran el sobre, no podrán leerlo, porque está encriptado con la contraseña maestra, que sólo nosotros conocemos. 

La única forma de perder el acceso al administrador de contraseñas es olvidar la contraseña maestra. 

Precisamente debido a la encriptación de conocimiento cero, no hay forma de leer las contraseñas si no se tiene la contraseña maestra. 

Los mejores administradores de contraseñas

Se pueden encontrar docenas, incluso cientos de administradores de contraseñas en la web y en la App Store, pero no todos son iguales y sobre todo: no todos son igual de seguros. Aquí sólo enumeraremos los productos más conocidos, dividiendo esta presentación en dos secciones: 

  • los productos de pago; 
  • los libres. 

Los administradores de contraseñas de pago utilizan ahora la fórmula de la suscripción en la mayoría de los casos, con una cuota mensual o anual. 

Todos ofrecen fórmulas tanto para uso personal como corporativo (empresarial). 

Además, casi siempre se dispone de versiones de prueba gratuitas, que dan acceso a toda la funcionalidad del producto pero durante un periodo limitado.

LastPass (de LogMeIn) 

LastPass puede considerarse uno de los “líderes del mercado”, en términos de reputación, popularidad y calidad.Está disponible en versión personal y corporativa. La versión corporativa permite al administrador del sistema tener el control de todas las contraseñas corporativas y distribuir las diferentes cajas fuertes de forma granular a los usuarios. También existe una versión gratuita “Free” que puede utilizarse sin demasiadas limitaciones (pero sólo en un dispositivo). 

LastPass requiere – como la mayoría de estos MP – la creación de una cuenta. 

Permite configurar las contraseñas mediante plantillas ya preparadas: inicio de sesión, tarjeta de crédito, documentos, etc. 

Hay versiones para macOS, Windows, iOS, Android, Linux y Chrome OS. También disponible para Windows Phone. 

También ofrece una función de importación de contraseñas de otros gestores de contraseñas, incluidos todos los más conocidos: 1Password, Clipperz, Dashlane, eWallet, FireForm, HP Password Safe, KeePass, así como el administrador de contraseñas de Google Chrome. 

Pro

  • versión gratuita que se puede utilizar con pocas limitaciones; 
  • Indicador de fortaleza de las contraseñas y herramientas de monitorización de la web oscura; 
  • autenticación de dos factores presente (para acceder a la cuenta de LastPass); 
  • posibilidad de generar OTPs para la autenticación de dos factores (con la aplicación vinculada ‘LastPass Authenticator’); 
  • mantiene un historial completo de las contraseñas utilizadas anteriormente. 

Contras

  • Algunos tipos de datos personales no pueden utilizarse para rellenar automáticamente los formularios. 

1Password (por AgileBits) 

1Password es otro líder del mercado, probablemente el principal competidor de LastPass. 

La empresa AgileBits (con sede en Toronto) comenzó desarrollando un administrador de contraseñas para el Mac en 2006. No en vano, 1Password es el adminsitrador más popular, especialmente entre los usuarios de dispositivos Apple. 

En comparación con sus competidores, se caracteriza por sus gráficos especialmente bien diseñados, sus costes ligeramente superiores y la ausencia de una versión gratuita. Sólo existe la posibilidad de probarlo gratuitamente durante 30 días, al término de los cuales se requiere una suscripción de pago. 

1Password está disponible para todos los sistemas operativos: macOS, Windows, iOS, Android, Linux y también ChromeOS. Hay extensiones disponibles para Firefox, Chrome y Brave. No es necesario utilizar Safari, ya que está incorporado en la aplicación de macOS (lo que demuestra que 1Password está especialmente ligado al mundo de Apple). 

Es un producto muy bien construido, como se puede comprobar consultando las detalladas páginas de soporte que explican claramente cómo se implementa la seguridad. Utiliza un cifrado AES de 256 bits para la caja fuerte de la contraseña (al igual que LastPass) e implementa el algoritmo de derivación de claves PBKDF2 (Password-Based Key Derivation Function 2), con un “recuento de iteraciones” de al menos 10.000 iteraciones. Se trata de una protección muy eficaz contra los ataques de fuerza bruta, como se explica en esta página de soporte de la empresa. 

1Password también utiliza una técnica de campos de entrada seguros para evitar que los keyloggers lean lo que usted escribe en 1Password. 

Es muy completo y tiene muchas funciones. Entre ellas se encuentra la herramienta Watchtower, que detecta si nuestras contraseñas han sido comprometidas o son vulnerables. Para ello consulta el conocido sitio Have I Been Pwned de Troy Hunt. 

También tiene la capacidad de reconocer cuando se actualiza una contraseña o se añade una nueva, en cuyo caso nos preguntará si queremos añadirla a 1Password. Entonces, tras la inevitable primera recopilación de contraseñas (al instalar la aplicación), las credenciales posteriores (nombre de usuario, contraseña, URL del sitio) se actualizarán automáticamente. Esta funcionalidad también está implementada en otros administradores, pero no funciona perfectamente en todos ellos. 

También merece la pena mencionar el servicio de atención al cliente: 1Password también ofrece un blog muy bueno, donde se pueden encontrar respuestas a casi cualquier problema con la aplicación. Si esto no es suficiente, un eficiente servicio de atención al cliente responde (por correo electrónico) en pocas horas. 

Entre las muchas instrucciones que se pueden encontrar en el blog de soporte, también encontramos el procedimiento para importar contraseñas de otros administradores de contraseñas, incluyendo: LastPass, Dashlane, Encryptr, RoboForm, SpashID, así como el administrador de contraseñas de Google Chrome. 

Al igual que LastPass, ofrece las versiones Personal/Familiar y Empresarial/Empresarial. 

Pro

  • gráficos bien diseñados e intuitivos; 
  • facilidad de uso; 
  • La autenticación de dos factores está presente (para acceder a la cuenta de 1Password); posibilidad de generar (y almacenar) códigos TOTP para los sitios que admiten la autenticación de dos factores; 
  • mantiene un historial completo de las contraseñas utilizadas anteriormente. 

Contras

  • opciones de importación limitadas; 
  • No hay versión gratuita (sólo 30 días de prueba). 

Dashlane 

Dashlane es otro conocido administrador de contraseñas. Tiene características muy similares a las de LastPass, pero ofrece una interfaz más fluida. La aplicación está disponible para todas las plataformas populares, es altamente configurable y es uno de los pocos gestores de contraseñas que incluye una VPN básica. También ofrece un plan gratuito que incluye funciones avanzadas, pero sólo admite hasta 50 contraseñas y un dispositivo. Es más caro que LastPass. 

Pro 

  • gráficos cuidados; 
  • sincronización en todos los dispositivos Windows, macOS, Android e iOS; 
  • Muy completo: todas las funciones avanzadas de gestión de contraseñas están presentes; 
  • incluye la protección VPN; 
  • explora la Dark Web en busca de cuentas comprometidas. 

Contras 

  • caro; 
  • la versión gratuita no sincroniza entre dispositivos. 

Keeper 

Es bastante completo; también ofrece una versión gratuita que funciona en un solo dispositivo y una prueba gratuita de 30 días. En general, un buen administrador, pero no al nivel de los competidores anteriormente mencionados. 

Pro 

  • gráficos elegantes; 
  • autenticación de dos factores presente; 
  • mantiene un historial completo de las contraseñas utilizadas anteriormente. 

Contras

  • versión gratuita con muchas limitaciones;

Los mejores administradores de contraseñas gratuitos 

También hay disponibles algunos interesantes MP gratuitos. 

El hecho de que no sean facturables no debe despertar sospechas, porque se trata de productos que pertenecen a la lógica del código abierto. Sin embargo, le recomiendo que evite salirse del círculo de productos que le indicaremos, para no toparse con administradores gratuitos pero de dudosa reputación o con fines fraudulentos. 

KeePass 

KeePass es sin duda el MP gratuito más popular. Técnicamente sólido, pero con unos gráficos decididamente pobres. Desde la página de descargas, puede descargar las versiones oficiales para Windows (tanto la que se debe instalar como la versión “portátil”). En la misma página hay versiones no oficiales para otras plataformas: macOS, Linux, Android, iOS, incluso Windows 10 Mobile y Blackberry. Al tratarse de versiones “no oficiales”, existen diferentes para cada plataforma. Puede ser difícil para el usuario juzgar cuál elegir. 

Para que el producto sea totalmente funcional, es necesario descargar el paquete con el idioma elegido y los plugins con funciones adicionales por separado (por ejemplo, es indispensable el de autorrelleno, que en los administradores de pago está presente de forma nativa). 

Un producto gratuito, pero cuyo uso puede resultar difícil para un usuario que no sea especialmente avanzado. 

Pro 

  1. gratis; 
  2. de código abierto; 
  3. Muchas opciones de personalización, gracias a los plugins adicionales de fuente abierta; 
  4. posibilidad de almacenar los datos en el propio ordenador (como alternativa a la nube). 

Contras 

  • gráficos pobres; 
  • instalación poco intuitiva, especialmente para los plugins adicionales; 
  • La compilación automática de formularios no es por defecto, sino que debe añadirse con plugins de terceros. 

Bitwarden 

Bitwarden es otro administrador gratuito de código abierto. Menos conocido que KeePass, pero ciertamente mejor en términos de estética y facilidad de uso. Disponible para las principales plataformas, integra el mayor número de extensiones para cualquier navegador: además de las más conocidas, también hay una extensión para los navegadores Opera, Brave, Tor y Vivaldi.  Le permite guardar su contraseña a salvo en la nube y sincronizarla entre dispositivos. 

Muy seguro: los datos se encriptan con el algoritmo AES-256, hashing salado y PBKDF2 SHA-256. 

El código fuente está publicado en GitHub. 

Es gratuito, por lo que todas las funcionalidades están disponibles sin tener que pagar una suscripción. 

De hecho, también existen algunas opciones de pago, que no son necesarias para la mayoría de los usuarios y que, en cualquier caso, son menos caras que los administradores de pago más conocidos. 

Pro

  • gratis, pero de bajo costo; 
  • gráficos bastante cuidados; 
  • facilidad de uso; 
  • soporta la autenticación de dos factores a través de Yubikey o FIDO; 
  • genera códigos TOTP para los sitios que soportan 2FA; 
  • código fuente público. 

Contras

  • compatibilidad bastante limitada con iOS 

Otros gestores de contraseñas 

En conclusión, también enumeramos otros productos del mercado. En opinión de la escritora, no están al nivel de las revisadas anteriormente, pero aún pueden considerarse fiables y, por tanto, vale la pena considerarlas y probarlas. 

RoboForm Everywhere

Es un producto muy completo, pero aún no ha alcanzado la funcionalidad de los mejores administradores. RoboForm versión gratuita, RoboForm Everywhere de pago (desde 16,68 $/año). 

Contraseña pegajosa

Disponible en versión gratuita y de pago (159,00 € de por vida, o 26,95 €/año). 

McAfee True Key

Faltan las funciones básicas, algunas funciones avanzadas y la compatibilidad con Safari (macOS). Versión básica gratuita, versión premium de 19,99 dólares al año. 

Zoho Vault

Producido por la conocida Zoho, versión gratuita y versiones de pago (Professional 3,60 €/mes, Enterprise 6,30 €/mes). 

Kaspersky Password Manager

Con un cargo de 13,99 €/año, para Windows, Mac, Android, iOS. 

LogMeOnce Password Management Suite Ultimate

 Ofrece un gran número de funciones, que tienen un coste adicional. La instalación de todas las funciones es bastante costosa y complica la aplicación. Versión gratuita y versiones de pago (Professional 2,50 €/mes, Ultimate 3,25 €/mes, Family 4,99 €/mes). 

Password Safe

Libre, de código abierto, diseñado por el renombrado criptógrafo Bruce Schneier. 

Passbolt

Gratuito, de código abierto, hecho en Luxemburgo, basado en OpenPGP (utiliza GnuPG para autenticar a los usuarios). 

Administradores de contraseñas integrados en el navegador 

Para concluir, creemos que es útil mencionar también el uso de los navegadores como gestores de contraseñas.  A menudo me hacen la pregunta: “¿Es seguro guardar las contraseñas en los navegadores?”.  Hasta hace poco, mi respuesta era muy clara: “No es seguro”. En los últimos tiempos, los navegadores han progresado mucho en términos de seguridad, reduciendo -pero no cerrando- la brecha con los mejores MP. 

Examinemos cómo manejan y almacenan las contraseñas los principales navegadores. 

Safari para MacOS 

Las contraseñas se pueden almacenar en el llavero de iCloud, que nos permite compartir las cuentas y las contraseñas guardadas en todos los dispositivos que tengan el mismo ID de Apple. 

El llavero de iCloud es efectivamente un administrador de contraseñas, ya que las contraseñas almacenadas en él están protegidas por encriptación, indicando Apple genéricamente el uso de “encriptación mínima AES de 128 bits” (es decir, encriptación simétrica) y “encriptación de extremo a extremo” (sin más detalles). 

Podemos considerarlo razonablemente seguro (no al nivel de los mejores administradores), pero ciertamente muy pobre en funcionalidad. En la práctica sólo almacena: nombre de usuario, contraseña y URL. No permite añadir otras entradas, como es posible en los administradores. 

Google Chrome 

Al igual que Safari, permite guardar las contraseñas en Chrome bajo la propia cuenta de Google/Android y sincronizarlas en todos los dispositivos conectados a esa cuenta. 

Las contraseñas guardadas de este modo pueden ser gestionadas por el “Administrador de contraseñas” de Google. 

No está claro qué nivel de encriptación se utiliza. Google se limita a afirmar de forma genérica que “protegemos estos datos con múltiples capas de seguridad que incluyen tecnologías de cifrado de última generación, como el protocolo HTTPS y el estándar de seguridad de la capa de transporte (TLS)”. 

En las contraseñas guardadas, se realiza una comprobación a través del menú “Comprobar contraseña” para ver si:

  • han sido comprometidos como parte de una violación de datos; 
  • son potencialmente ineficaces y fáciles de adivinar. 

Inicialmente, Chrome realizaba esta comprobación con la herramienta de comprobación de contraseñas, que se introdujo en la versión 78, lanzada el 22 de octubre de 2019. 

Desde el 31 de agosto de 2020 se ha eliminado la extensión Password Checkup, ya que el servicio de comprobación de contraseñas se ha integrado en Chrome y puede gestionarse a través de la configuración de seguridad “Password Check”. 

El acceso a las contraseñas guardadas en Chrome sólo requiere el conocimiento de la contraseña principal del ordenador, no se necesita una contraseña específica. Este es un elemento que hace que Chrome sea menos seguro que un administrador de contraseña, que en cambio debe desbloquearse con la contraseña maestra (y también menos seguro que Firefox, como explicaremos más adelante). 

Además, al igual que en Safari, los datos que se pueden almacenar en Chrome son los estrictamente necesarios, y no es posible añadir ninguno opcional. 

Mozilla Firefox 

En Firefox se creó un gestor de contraseñas llamado ‘Firefox Lockwise’, que se introdujo en mayo de 2019. Desde la versión 70 de Firefox (ahora hasta la 91), Lockwise está integrado en el navegador y también existe como aplicación para iOS y Android. 

Es a todos los efectos un gestor de contraseñas, sin duda más avanzado que el de Chrome, y menos completo que los administradores mencionados anteriormente. 

Afirma que utiliza una encriptación de 256 bits (por tanto, en línea con los administradores más cualificados) y también permite (opcionalmente) establecer una “contraseña maestra”, en la práctica una contraseña maestra diferente de la contraseña principal del ordenador. Esta contraseña maestra es necesaria para ver y/o cambiar las contraseñas guardadas en Lockwise. 

A partir de la versión 76 de Firefox, también se realiza una comprobación de las contraseñas potencialmente vulnerables que se han guardado en Lockwise. El navegador Firefox realiza esta comprobación consultando de forma encriptada el popular sitio Have I been Pwned? 

Este sitio, creado a finales de 2013 por el australiano Troy Hunt, ha adquirido ahora fama mundial y también es utilizado por los CERT de muchos estados para investigar posibles fugas de datos en sus dominios gubernamentales. Con el reciente acuerdo con su propio TR-CERT, Turquía se convirtió en el 26º gobierno en tener acceso completo y gratuito a HIBP a través de la API. 

Sin embargo, por razones de seguridad, el navegador no envía la contraseña completa al sitio de “¿He sido pwned?”, sino que se utiliza una técnica conocida como k-anonimato. En la práctica: el hash SHA-1 de la contraseña a examinar se calcula al principio. De este hash, sólo una primera parte (los cinco primeros caracteres) se envía a HIBP. La API de Pwned Passwords obtiene de su archivo todos los hashes que coinciden con los cinco caracteres recibidos y los devuelve (todos) al servicio del que procede la consulta. De este modo, se comprobará si los hashes recibidos incluyen el correspondiente a la contraseña examinada. Si es así, la contraseña se marcará como comprometida y no segura. 

De este modo, la contraseña nunca se enviará en su totalidad. 

Otra función de Firefox Lockwise también permite comprobar si la dirección de correo electrónico de uno se ha visto implicada en una violación de datos: este servicio se llama Firefox Monitor y de nuevo utiliza la base de datos de violaciones de datos proporcionada por Have I Been Pwned. 

Podemos considerar que Firefox Lockwise está en un nivel de seguridad superior al de Chrome. 

En conclusión 

Los gestores de contraseñas incorporados en los navegadores tienen una gran limitación en cuanto a su funcionalidad, ya que no permiten guardar todos los datos adicionales que pueden añadirse a los administradores reales (y que los convierten en un verdadero “cuaderno secreto”). 

Sólo son útiles para el desbloqueo con contraseñas en una página de acceso y poco más. 

Además, utilizan niveles de seguridad y encriptación ciertamente inferiores a los de los MP más avanzados, con un nivel mejor -como ya se ha explicado- para Firefox Lockwise, que para Chrome. 

Por lo tanto, recomendamos utilizar un verdadero gestor de contraseñas, eligiendo uno de los de mejor calidad: será necesaria una primera fase de “aprendizaje” un poco más complicada en comparación con el hábito de guardar las contraseñas en el navegador, pero las ventajas en términos de seguridad y practicidad serán considerables y no comparables.

Por Giorgio Sbaraglia

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

I
Redacción InnovaciónDigital360
Temas principales

Especificaciones

C
Ciberseguridad

Nota 1 de 4