Blog

administrador de contraseñas

Qué es un administrador de contraseñas y cómo elegir uno

Un administrador de contraseñas es básicamente una bóveda digital normalmente cifrada, que almacena la información de inicio de sesión que utilizamos para acceder a aplicaciones en dispositivos móviles, sitios web y otros servicios en línea.

Además de mantener nuestras credenciales de acceso seguras, algunos programas de este tipo también pueden generar contraseñas complejas y únicas para evitar que las reutilicemos para diferentes servicios, e incluso pueden iniciar sesión automáticamente.

Algunos también permiten agregar múltiples usuarios a una sola cuenta para que podamos compartir contraseñas con nuestra pareja, u otros miembros del entorno familiar.

Existen dos tipos de gestores de contraseñas: aplicaciones basadas en la nube a las que se puede acceder desde cualquier lugar mediante un navegador web, y programas instalados en nuestro equipo que almacenan toda la información de forma local.

¿Son seguros los administradores de contraseñas?

La seguridad al 100% no existe, pero siempre es mejor este tipo de aplicaciones que utilizar claves débiles, repetir contraseñas en diferentes sitios o almacenarlas en la memoria del dispositivo en texto plano y sin ningún tipo de cifrado.

En cualquier caso, siempre que sea posible es aconsejable utilizar la autenticación de doble o múltiple factor.

De esta forma podremos crear una capa extra de seguridad, más allá de la propia contraseña. Esto significa que alguien que lograra hacerse con nuestra clave de acceso necesitaría un segundo o tercer paso para poder acceder a nuestras cuentas.

Como funcionan

Básicamente vas añadiendo tus claves de acceso a una única base de datos cifrada y asociándolas a los distintos servicios en línea que acostumbras a utilizar (páginas web, redes sociales, cuentas de correo etc). Luego asignas una contraseña maestra para poder desbloquear esta base de datos.

Contraseña maestra

Cuando creas una cuenta en la nube o instalas un paquete software de este tipo en tu ordenador, lo primero que debes hacer es crear una contraseña maestra.

Esta contraseña será la única forma de poder acceder a tu bóveda cifrada, por lo que debes mantenerla en secreto, guardarla en un lugar seguro (nunca en tu dispositivo) y sobre todo no olvidarla.

Contraseña maestra

El administrador de contraseñas no almacenará esta información por razones de seguridad. ¿Pero qué sucede si olvidas tu contraseña maestra?

Bueno, se llama contraseña maestra por una razón, y a menos que recuerdes donde la has guardado, no podrás acceder a los datos almacenados.

La mayoría de programas y servicios en la nube, por razones obias no cuentan con una función de recuperación.

Alternativamente, algunos gestores de contraseñas dan la posibilidad de usar archivos clave.

Los archivos clave proporcionan una mayor seguridad que las contraseñas maestras. Solo tienes que llevarlo por ejemplo, en un una memoria USB.

Y por supuesto, tampoco debes perderla.

Cifrado

La mayoría de los administradores de contraseñas utilizan el cifrado AES-256 bit, que es la herramienta de seguridad elegida por agencias gubernamentales de todo el mundo.

Incluso si un villano logra ingresar a tu bóveda, no podrá hacer nada sin la clave de descifrado o la contraseña maestra ya que este algoritmo convierte una contraseña en texto plano en un galimatías que no tiene ningún significado.

La contraseña maestra actúa como la clave de descifrado, y una vez que cierres sesión, el contenido se vuelve a cifrar.

 Inicios de sesión automáticos

Muchos gestores de contraseñas crean un enlace entre tu bóveda y el sitio web, programa o servicio en línea que sirve para rellenar automáticamente los formularios de inicio de sesión.

Pero hay que tener muy en cuenta que el inicio de sesión en un servidor que todavía utiliza el protocolo HTTP es muy peligroso dada la amplia variedad de ataques que pueden ser perpetrados para obtener la contraseña del usuario.

El protocolo HTTPS está diseñado para proteger los datos del usuario de interferencias (violación de confidencialidad) y de modificaciones (violación de integridad) en la red.

Los sitios Web que administran datos privados deberían usar HTTPS para proteger a sus clientes de los piratas informáticos.

Sin este protocolo, es relativamente fácil robar información del usuario (como las credenciales de inicio de sesión) aunque utilice un gestor de contraseñas.

Cómo elegir un administrador de contraseñas

Hay algunos aspectos a tener en cuenta al elegir un administrador de contraseñas. Todos ellos son importantes, ya que le estámos confiando datos altamente confidenciales .

  • Los datos enviados y recibidos desde el servidor hasta el cliente deben contar con cifrado de extremo a extremo.
  • El servicio no debe almacenar la contraseña maestra.
  • El proveedor en la nube no tiene que poder acceder a los datos ni recuperar una bóveda perdida o su contraseña relacionada.
  • El servicio tiene que cifrar los datos localmente, protegiéndolos con una clave secreta que solo el usuario debe conocer.
  • Sincronización con dispositivos móviles y otras plataformas
  • Cifrado AES-256
  • Posibilidad de usar parámetros biométricos.
  • Autenticación de dos factores (2FA) o en múltiples factores (AMF)
  • Cierre de sesión automático.

Como con cualquier otro servicio, nunca está de más realizar una pequeña investigación en blogs de ciberseguridad para ver si el administrador de contraseñas elegido ha tenido alguna vulnerabilidad reportada recientemente.

Otra buena idea es consultar las revisiones de las organizaciones dedicadas a realizar pruebas de manera independiente.

Ventajas del almacenamiento en la nube.

Si bien es cierto que muchos accesos no autorizados a este tipo de servicios son provocados por descuidos de los propios usuarios, nada podemos hacer ante posibles brechas de seguridad en sus servidores que pueden provocar la fuga y el robo de datos.

Esto significa que tenemos que buscar un hosting que ofrezca las mayores agarantías de seguridad y estabilidad posibles.

No siempre se trata del más caro, en ocasiones podrás encontrar soluciones más económicas que nos ofrecerán unas prestaciones igualmente competitivas.

Incluso los hay gratuitos (para uso personal) y de código abierto como Bitwarden.

  • Copia de seguridad instantánea.
  • Ahorro de espacio en el ordenador.
  • Sistema de almacenamiento escalable.
  • El usuario no tiene que preoucuparse por cuestiones de mantenimiento ni fallos del software.
  • Pocas posibilidades de perder datos en tu bóveda (especialmente si el disco duro de tu PC falla o pierdes tu dispositivo móvil)
  • Información fácil de sincronizar entre dispositivos.
  • Permite acceder a tus contraseñas desde cualquier parte del mundo y en cualquier momento.
  • Multiplataforma: accesible desde cualquier sistema operativo con conexión a internet.

Desventajas del almacenamiento en la nube

  • Filtración de datos o algún tipo de ataque contra la plataforma.
  • Existe cierta dependencia de los proveedores de este tipo de servicio y hay que confiar en su tecnología y funcionamiento.
  • No tenemos control sobre el servicio ni lo que este hace.
  • Riesgo de perder datos si los servidores de la empresa fallan o se apagan.
  • Riesgo de perder datos si la empresa cierra sin previo aviso.
  • No se puede acceder a la bóveda sin conexión a internet.
  • La gestión de los datos depende de la velocidad de nuestra conexión a Internet
  • Posible sobrecarga en los servidores (servidores compartidos) si el número de usuarios es muy alto o no se sigue una política de uso adecuada.
  • La empresa puede sufrir un ataque de denegación de servicio
  • Cobertura legal confusa (hay países que no tienen leyes sobre protección de datos).

Ventajas del almacenamiento local

La gran ventaja de los administradores locales es la posibilidad de mantener las credenciales bajo nuestro control, instalando una aplicación de software en nuestra propia máquina.

Por otro lado, en su gran mayoría acostumbran a ser de código abierto y gratuitos.

  • Potencialmente más seguro (especialmente si el dispositivo está fuera de línea)
  • Accesible sin conexión a internet.
  • Pueden importar y exportar contraseñas en una amplia variedad de formatos.
  • Menor riesgo de pérdida de datos (no dependemos de servidores de terceros)
  • Menos tentador para los piratas informáticos.
  • En el caso de programas libres o de código abierto, control total sobre la aplicación y lo que esta hace.
  • Muchos programas tienen versiones portables que podemos llevar en una memoria USB.

Desventajas del almacenamiento local

  • Sin copias de seguridad instantáneas.
  • Posibilidad de pérdida de datos si falla el disco duro o tenemos que formatear.
  • En algunos casos es más difícil sincronizar datos entre dispositivos.
  • El software puede dañarse (o sufrir una desinstalación accidental) y perder todos nuestros datos.
  • Brechas sin parchear (vulnerabilidades de día cero) en la seguridad del software

Cuánto cuestan los administradores de contraseñas

La mayoría de servicios en la nube se venden como suscripción y cuestan entre 15 y 40 euros por año.

Los paquetes basados en software se pueden comprar directamente adquiriendo una licencia, pero también existen excelentes programas gratuitos, libres o de código abierto que se basan en las mismas herramientas de cifrado.

Casi todos los administradores de contraseñas incluyen un período de prueba gratuito, por lo que no necesitas gastarte dinero en un programa que puede no satisfacer tus necesidades.

Avisos de seguridad

Hosting Optimizado: Tu web más rápida y segura que nunca.