Tu administrador de contraseñas es tu amigo, o por lo menos un conocido útil.
Si eres una de las innumerables personas que usan imprudentemente contraseñas fáciles de adivinar o reutilizan una contraseña para varias cuentas, los expertos en seguridad informática tienen un mensaje para ti: no es tu culpa. Memorizar una contraseña única y compleja para cada cuenta es imposible.
Pero es exactamente el tipo de tarea para el que son buenas las computadoras. Por eso, muchos expertos en ciberseguridad sugieren usar un administrador de contraseñas. Es una herramienta de software que almacena de manera segura tus contraseñas y las rellena automáticamente en las páginas de inicio de sesión. Es decir, te ayuda a proteger cada una de tus cuentas en línea con una contraseña segura.
«Recomiendo que todos usen uno», dijo Matias Woloski, director de tecnología de la firma de autenticación Auth0 y experto en seguridad de contraseñas. «Los administradores de contraseñas son hoy la mejor alternativa».
Probablemente te ayude bastante contar con un administrador de contraseñas. Según información de la empresa de seguridad cibernética SplashData, la contraseña más utilizada que se encontró en las violaciones masivas de datos sigue siendo «123456», y la segunda más común es, por supuesto, «password» (contraseña)». Una persona promedio utiliza solo 13 contraseñas únicas, y casi una tercera parte de las personas dijeron que solo utilizan dos o tres contraseñas para todas sus cuentas, según una encuesta de 2018 de la compañía de software antivirus McAfee.
Para tener una visión más amplia de la situación, revisa la cobertura de CNET sobre los problemas actuales relacionados con el uso de contraseñas, que incluye mejoras como llaves digitales de seguridad y las deficiencias de la autenticación de dos pasos.
Existen varias opciones de administradores de contraseñas. Hay herramientas dedicadas, como LastPass, BitWarden, Dashlane, Keeper y 1Password. Los navegadores Web, incluidos Safari, Chrome y Firefox, también tienen controles de contraseña incorporados, los cuales son más limitados, en especial si utilizas varios navegadores, pero se están volviendo más sofisticados.
Por desgracia, los administradores de contraseñas pueden ser complejos y no siempre funcionan sin contratiempos con los sitios Web y las aplicaciones. Esa puede ser la razón por la que solo el 3 por ciento de los usuarios de Internet utilizan como herramienta principal para esta tarea un administrador de contraseñas, según el Pew Research Institute. Woloski sugiere que, para comenzar, solicites la ayuda de alguien con conocimientos técnicos.
Pero, a pesar de todo lo anterior, los administradores de contraseñas realmente pueden ayudarte a navegar con mucho menor riesgo por Internet. Aunque la industria tecnológica finalmente está desarrollando alternativas reales a las contraseñas, e incluso formas de eliminarlas por completo, aún tendrás que lidiar con docenas o cientos de ellas en los próximos años. Los administradores de contraseñas pueden ayudarte en esta labor, incluso si no funcionan a la perfección.
¿Qué es un administrador de contraseñas?
Los administradores de contraseñas generan contraseñas únicas y complejas para cada sitio, las almacenan de forma segura y las ingresan en diferentes navegadores y dispositivos informáticos. Puede usarlos como extensiones de navegador o como aplicaciones móviles que completan las páginas de inicio de sesión con tu nombre de usuario y contraseña.
Esto tiene numerosos beneficios. Primero, no tienes que memorizar ninguna contraseña (excepto la de tu administrador de contraseñas). Eso significa que puedes seguir esos consejos de seguridad molestos pero útiles, como nunca reutilizar una contraseña y siempre crear contraseñas largas y complejas como $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Además, los administradores de contraseñas te ayudan a protegerte contra ataques de fraude electrónico (phishing), que te dirigen a sitios web fraudulentos e intentan engañarte para que ingreses tu contraseña. Los administradores de contraseñas brindan tus datos de inicio de sesión solo cuando te encuentras en el sitio web correcto.
Por último, muchos administradores de contraseñas tienen características que te informan cuando un sitio web ha experimentado una violación de datos. También pueden decirte si la contraseña que estás utilizando figura en alguna base de datos de usuarios robada, como ha ocurrido con al menos 555 millones de contraseñas. Estas señales son indicadores de que necesitas cambiar tu contraseña de inmediato. Los administradores de contraseñas también pueden ayudarte a identificar contraseñas débiles o que hayas reutilizado.
¿Conviene almacenar todas las contraseñas en un solo lugar?
Durante décadas, el consejo estándar que nos han dado ha sido que hay que memorizar las contraseñas. Por eso, se siente como algo incorrecto guardarlas todas en un solo lugar. Y, por supuesto, sería terrible si un pirata informático lograra vulnerar la seguridad de tu administrador de contraseñas y tuviera la posibilidad de acceder a todas sus cuentas.
Sin embargo, los administradores de contraseñas han demostrado tener una seguridad bastante sólida. Los piratas informáticos solo han logrado avances limitados al tratar de robar información de los usuarios de administradores de contraseñas. Una de estas violaciones, por ejemplo, llegó a poner en riesgo las las pistas para las preguntas de seguridad de los usuarios de LastPass, pero ningún ataque conocido ha logrado acceder a cachés de contraseñas reales.
Es cierto que los piratas informáticos podrían violar esa seguridad, pero en verdad tienes muchas más probabilidades de sufrir un ataque de fraude electrónico (phishing) que busque robar tus contraseñas, dijo Mark Risher, jefe de seguridad de cuentas de Google. Además, el uso de un administrador de contraseñas limita las posibilidades de que sufras un ataque de phishing.
Por supuesto, debes tener cuidado. Con todas sus contraseñas en un solo lugar, asegúrate de encontrar una manera de recordar tu contraseña o clave secreta maestra. Está bien si la escribes en un papel, siempre y cuando lo guardes en un lugar seguro. También puedes exportar tus contraseñas a una hoja de cálculo de cuando en cuando, siempre que la guardes con encriptación (o conserves una copia impresa en un cajón con llave).
Si pierdes el acceso a tu cuenta del administrador de contraseñas, no te quedará más remedio que pasar por el proceso de restablecer tu contraseña en todas tus cuentas. Un verdadero dolor de cabeza.
Inconvenientes de los administradores de contraseñas
Por desgracia, los usuarios de administradores de contraseñas pueden esperar tener algunos inconvenientes. El simple hecho de ingresar la información de todas tus cuentas existentes al servicio es trabajoso, aunque la mayoría de los administradores de contraseñas ofrecen herramientas para importar los datos desde tu navegador u otros administradores de contraseñas. Y se requieren pasos adicionales para habilitar el administrador de contraseñas en tu teléfono.
Pero tal vez el problema principal es que algunos sitios web no funcionan bien con los administradores de contraseñas, lo que causa esa clase de problemas molestos y engorrosos que hacen que quieras arrojar tu computadora por la ventana.
Por ejemplo, los administradores de contraseñas a veces no identifican los campos de inicio de sesión. O pueden no saber qué hacer cuando los sitios web solicitan información adicional, como un código PIN o el nombre de tu película favorita.
Peor aún, algunos sitios web bloquean la función autocompletar, lo que evita que los administradores de contraseñas ingresen tus datos de inicio de sesión. Un banco australiano, CommBank, aconseja a sus clientes que no almacenen los datos de acceso a su cuenta bancaria en un administrador de contraseñas. En un comunicado, CommBank dijo que entiende la utilidad de los administradores de contraseñas, pero cree que los piratas informáticos encontrarán formas de engañar a sus clientes con sofisticados esquemas de fraude electrónico (phishing) si los utilizan.
«En lo que respecta a las contraseñas bancarias en línea, recomendamos a nuestros clientes que creen una contraseña segura única para cada cuenta y que no la escriban», dijo un portavoz de la compañía. Sin embargo, los expertos en seguridad dicen que esto hace mucho más probable que los clientes utilicen contraseñas débiles o repetidas.
1Password está tratando de resolver el problema del bloqueo del autocompletado trabajando con fabricantes de navegadores que quieren que los sitios web permitan esta función, dijo Matt Davey, director de operaciones de la compañía.
«Lo que están tratando de hacer es pasar por encima de ellos a nivel de sitio y autocompletar [la información] de todos modos», dijo Davey sobre los fabricantes de navegadores. 1Password también se pondrá en contacto directamente con los sitios web para pedirles que se informen sobre cómo funciona el programa y permitan que sus usuarios inicien sesión con un administrador de contraseñas.
Incluso personas con conocimientos técnicos deben lidiar con la fricción que generan los administradores de contraseñas. Kimber Dowsett, una experta en ciberseguridad que anteriormente ayudó a proteger los sistemas de la NASA y ahora trabaja como consultora, tuvo un momento de frustración recientemente cuando intentó ingresar al sitio web de su banco. Se vio obligada a escribir sus datos de inicio de sesión manualmente, porque el sitio web bloqueó su administrador de contraseñas.
Y hubo un problema final: no sabía si uno de los caracteres de la contraseña era el número cero o la letra O, así que no le quedó más que adivinar.
«Una gran parte de esta fricción se aliviaría si los desarrolladores de aplicaciones simplemente permitieran el autocompletado y pegado para que en verdad podamos usar los administradores de contraseñas de manera adecuada», dijo Dowsett. «Crear interferencia no ayuda a nadie».
Usar contraseñas con menos frecuencia
Hay buenas noticias en dos frentes. La primera es que los creadores de Chrome, Safari y Firefox están mejorando sus propios administradores de contraseñas. Apple ha integrado uno en su sistema operativo iOS y lo habilita de manera predeterminada. Está bien usar estas funciones en dispositivos que controlas con una contraseña o inicio de sesión biométrico. Además, harán que el almacenamiento digital de contraseñas sea más común, lo que obligará a los desarrolladores de sitios web a aceptar funciones como autocompletar y pegar.
En segundo lugar, las nuevas tecnologías te permiten usar contraseñas con menos frecuencia. Los datos biométricos, como tus huellas digitales y rostro, reducen la necesidad de ingresar tu contraseña cada vez que accedes a un servicio. Los servicios de inicio de sesión único te permiten iniciar sesión en un sitio con otra cuenta, como Google, Apple o Facebook. Sin embargo, en estos casos debes sentirte cómodo con el hecho de que tendrás que compartir información sobre los servicios que utilizas con alguno de estos titanes tecnológicos.
En tercer lugar, la autenticación de múltiples pasos, las llaves de seguridad y otras tecnologías de autenticación están ayudando a mejorar las deficiencias de seguridad de las contraseñas. Con el tiempo, es posible que ya no tengas que usar contraseñas en absoluto.
Estas innovaciones no reemplazarán a las contraseñas en el corto plazo, dijo Dimitri Sirota, director ejecutivo de BigID, una compañía que ayuda a las empresas a proteger información personal. Pero están empezando a reducir la primacía de las contraseñas para mantener seguras tus cuentas. Y eso es algo bueno, dijo.
«Las contraseñas han sido el estándar durante mucho tiempo», dijo Sirota. «Y es uno con el que nadie está particularmente feliz».