Gestores de contraseñas: una herramienta clave para proteger sus datos

Last, uno de los gestores de contraseñas más utilizados, ha itido que la brecha de seguridad que sufrió durante el verano afectó los datos de sus s. Esto significa que contraseñas de ciudadanos, las de sus correos electrónicos, sus bancos, sus monederos digitales, todo, han ido a parar en las manos de delincuentes. Aunque, en principio, cifradas.

El hecho ha desatado la alarma entre los s de Last, y de otros que utilizan gestores de contraseñas similares. En este punto, ¿qué hacemos? ¿Continuamos fiándonos de estas soluciones? ¿Es posible hacerlo de otro modo?

(También puede leer: Gestor de contraseñas: ¿cuáles son los mejores para usar este 2023?)

Un ciudadano medio emplea hoy en día varias contraseñas, tanto en su esfera personal como profesional. Todas ellas deben ser diferentes y suficientemente largas, aleatorias y complejas. De esta forma, una brecha de datos en un servicio solo comprometería a las credenciales del en esa plataforma. Y se hace difícil para un adversario averiguar la contraseña por fuerza bruta, usando diccionarios de contraseñas habituales o información personal sobre ese (fecha de nacimiento, nombre de la mascota, etc.).

Esto hace imposible que se recuerden estas decenas de contraseñas, diferentes, largas, aleatorias y complejas. Por lo que, intuitivamente, la solución es ‘apuntarlas’ en algún sitio.

La opción analógica es un cuaderno o libreta, pero el problema es que sus dueños tienen que protegerla muy bien. Además, la tendrían que llevar siempre con ellos para poder acceder a todas sus aplicaciones y servicios.

(Lea también: Ciberseguridad: gestores de contraseñas que mejoran seguridad de correos)

La solución tecnológica es el gestor de contraseñas, que nos permite ‘apuntar’ las credenciales en formato digital, en un almacén. ¿Dónde se guardan? Hay dos alternativas: en el propio dispositivo del o en la nube. Idealmente, cifradas robustamente para que si el almacén de contraseñas se ve comprometido, no se puedan recuperar todas las contraseñas con facilidad. Cada podrá descifrar sus contraseñas cuando necesite utilizarlas mediante una contraseña o frase maestra de la que depende la seguridad del gestor.

En el verano del 2022, Last, con más de 25 millones de s, anunció que había sufrido una brecha de seguridad. Los adversarios habían accedido al código de su solución y a otra propiedad intelectual, pero no a los almacenes de contraseñas de sus s.

Sin embargo, durante la Navidad de ese 2022, itieron que los atacantes habían podido acceder a datos personales de sus clientes y, lo que es peor, a las copias de seguridad de los almacenes de contraseñas de algunos de ellos.

En la notificación de la brecha no se proporcionó el número total de s o de contraseñas afectadas, por lo que no se puede estimar el impacto real.

El equipo de Last ha intentado tranquilizar a sus s, explicando que en estos almacenes la información crítica está cifrada con una clave que se obtiene a partir de la frase maestra de cada . Desde 2018, estas frases tienen que ser obligatoriamente de 12 caracteres como mínimo, pues romperlas por fuerza bruta (probar todas las combinaciones posibles) sería muy costoso en tiempo y en recursos. Se calcula que costaría varios miles de años.

Pero si esta frase maestra se ve comprometida de otra manera, las contraseñas en los almacenes que se han visto afectados por la brecha se podrían descifrar. Esto podría ocurrir, por ejemplo, si los atacantes tuvieran éxito empleando alguna técnica de ingeniería social, por ejemplo, de phishing. O si el estuviera usando la misma frase maestra en otro servicio que se hubiera visto afectado por una brecha de datos.

Así que queda en manos de cada afectado la decisión de modificar o no todas las contraseñas que estaban guardadas en el almacén de Last o al menos las de las aplicaciones más críticas en las que no haya configurado un segundo factor de autenticación (que haría que el compromiso de la contraseña no fuera tan grave). Todo depende de la confianza que tengan en su frase maestra y que esta no se haya visto comprometida.

(Siga leyendo: ¿Cómo cuidar la privacidad en línea? Estos son algunos trucos)

Además, surge una incertidumbre adicional, ya que no toda la información en los almacenes de Last se guarda cifrada. Esto significa que quien tenga a ella podrá averiguar, por ejemplo, sin mayores esfuerzos, las URLs de las aplicaciones y servicios accedidos por cada . Entonces ¿debemos usar un gestor o no?

A pesar del incidente que ha sufrido Last, y de que probablemente la gestión que han realizado de la crisis no haya sido la mejor posible desde el punto de vista de la comunicación y de la transparencia, el uso de gestores de contraseñas sigue siendo muy recomendable. Junto con la activación de un segundo factor de autenticación (mensaje de texto, aplicación o llamada), como mínimo, en las plataformas y servicios cuya seguridad sea crítica (correo principal, banco, etc.).

Simplemente, como en otros casos, hay que informarse un poco antes de decidir cuál es la mejor alternativa para cada uno de nosotros. En este momento hay muchas dudas acerca de que Last lo siga siendo para alguien porque han encadenado ya un número significativo de incidentes. Entonces, es importante realizar una comparativa entre las diferentes opciones, valorar su precio, funcionalidad, flexibilidad y, obviamente, su seguridad, dado lo crítico que un incidente de estas características puede llegar a ser.

Gestor de contraseñas sí, pero no cualquiera, ni utilizado o configurado de cualquier manera. La seguridad de la frase maestra, por ejemplo, es crítica, y eso sí es nuestra responsabilidad.

MARTA BELTRÁN (*)

THE CONVERSATION (**)

(*) Profesora titular de la Universidad Rey Juan Carlos.

(**) The Conversation es una organización sin ánimo de lucro que busca compartir ideas y conocimientos académicos con el público. Este artículo es reproducido aquí bajo licencia de Creative Commons.