De las muchas «balas de plata» que existen para acabar con las contraseñas, ninguna ha tenido éxito. Lo que esto significa es que las contraseñas están aquí para quedarse, al menos por el momento, y su mejor oportunidad tanto para generar contraseñas únicas y criptográficamente seguras como para recuperarlas cuando las necesite es con un gestor de contraseñas.
Esto es lo que los expertos en seguridad han defendido durante años, porque estas herramientas crean un entorno seguro en el que los usuarios pueden almacenar todas sus credenciales y datos financieros sin la molestia de recordar todos y cada uno de los nombres de usuario y contraseñas.
Pero, ¿cómo elegir el mejor servicio de gestión de contraseñas?
Relacionado: Los mejores gestores de contraseñas en 2024
Uno de los principales consejos que dan los expertos en seguridad (entre los que nos incluimos) es fijarse en si el servicio de gestión de contraseñas ha sido hackeado antes o no, así como si «presenta» alguna vulnerabilidad de seguridad que los hackers de sombrero blanco hayan compartido con los proveedores del servicio.
Si el servicio de gestión de contraseñas ha parcheado alguna vulnerabilidad, entonces podría ser una buena opción.
Para ayudar a tomar esa decisión un poco más fácil, vamos a echar un vistazo al historial de hacking de algunos gestores de contraseñas. No se trata de una lista completa, como verás, sino que hemos explorado los hackeos más importantes y las vulnerabilidades de seguridad a lo largo de los años.
2014:
- LastPass, My1Login, NeedMyPassword, PasswordBox y RoboForm: Investigadores de la Universidad de California Berkeley descubrieron una serie de vulnerabilidades en un puñado de gestores de contraseñas. «En cuatro de los cinco gestores de contraseñas que estudiamos, un atacante puede conocer las credenciales de un usuario para sitios web arbitrarios», escribieron los investigadores Zhiwei Li, Warren He, Devdatta Akhawe y Dawn Song en su artículo.
- RoboForm: El consultor de seguridad informática y entusiasta de la tecnología Paul Moore descubrió una vulnerabilidad crítica y una laguna de privacidad en el servicio de gestión de contraseñas que podría permitir a los atacantes y a los ojos curiosos obtener los datos personales de los usuarios, incluidas las credenciales de inicio de sesión almacenadas de varios sitios web e incluso los datos de pago de las tarjetas.
2015:
- KeePass: Cuando este programa se ejecuta en un ordenador en el que un usuario conectado tiene la base de datos de KeePass desbloqueada, KeeFarce (una herramienta de hacking) desencripta toda la base de datos y la escribe en un archivo al que el hacker puede acceder fácilmente. En teoría, este tipo de hackeo hace que todos los gestores de contraseñas sean vulnerables.
- LastPass: Sufrió un ataque que expuso las direcciones de correo electrónico y la información de seguridad de los usuarios. Aunque no se robaron los datos encriptados de los usuarios, los hackers robaron las direcciones de correo electrónico de las cuentas de LastPass, los recordatorios de contraseñas, las sales del servidor por usuario y los hashes de autenticación.
2016:
- MyPasswords, Informaticore, LastPass, Keeper, F-Secure Key, Dashlane, Keepsafe, Avast Passwords y 1Password: este ha sido un año intenso en cuanto a vulnerabilidades de gestión de contraseñas. TeamSIK (Security Is Key), un grupo de personas interesadas en la seguridad informática del Instituto Fraunhofer para la Seguridad de la Información, descubrió graves fallos de seguridad en las aplicaciones de gestión de contraseñas más populares desarrolladas para la plataforma Android.
- LastPass: El hacker del Proyecto Cero de Google, Tavis Ormandy, descubrió un fallo crítico de día cero que permitía a cualquier atacante remoto comprometer las cuentas por completo.
2017:
- LastPass: Tavis Ormandy descubrió una vulnerabilidad en sus plugins de navegador, que LastPass calificó de «problema arquitectónico importante». El servicio de gestión de contraseñas aconsejó a los usuarios que evitaran utilizar sus plugins de navegador mientras solucionaba el problema.
- OneLogin: Sufrió un ataque y se filtraron datos de clientes. Los datos de los usuarios almacenados en sus centros de datos de Estados Unidos se vieron afectados.
- Keeper: Tavis Ormandy descubrió que el servicio exponía contraseñas a páginas web poco fiables. Esta vulnerabilidad permitía a los hackers robar cualquier contraseña de la bóveda. Keeper demandó al periodista por publicar el informe. Aunque corrigieron el fallo más tarde, antes de que afectara a ningún cliente, la medida de demandar al reportero no hizo bien a su reputación.
2019:
- En 2019 se encontraron graves vulnerabilidades en el código de Dashlane, LastPass, 1Password y KeePass. Esto se aplicaba a los usuarios de Windows 10 y solo si se instalaba el malware adecuado. Una vez más, los usuarios no sufrieron ninguna baja reportada.
2021:
- Expertos en ciberseguridad han compartido detalles de una campaña de hacking a gran escala que explota una vulnerabilidad crítica, pero ya parcheada, en el gestor de contraseñas para empresas de Zoho, para filtrar información sensible de los servidores no parcheados.
¿Significa esto que debemos dejar de usar gestores de contraseñas?
No, en absoluto. Los recientes hacks y las vulnerabilidades de seguridad encontradas en estos servicios subrayan un aspecto importante en la seguridad: ningún software es capaz de ofrecer realmente más de un 99% de seguridad.
Alcanzar el 100% de seguridad es imposible con cualquier tipo de software porque cada pieza de código tendrá un talón de Aquiles en alguna parte que lo hace vulnerable.
La cuestión es diferente en este caso: ¿qué hace el equipo de desarrolladores para proteger los datos de los usuarios y qué escenarios de ataque tenían en mente cuando codificaron el software?
Por supuesto, si un servicio es estático y los desarrolladores no mantienen su seguridad al día, entonces puede ser fácilmente hackeado.
La forma en que se protegen los datos del usuario debería ser la principal consideración a la hora de elegir un gestor de contraseñas.
Otras características tienen su importancia, pero esto es algo que siempre debes considerar antes de tomar la decisión final.
Por ejemplo, ¿cómo comunican los desarrolladores las malas noticias a sus usuarios? La transparencia en la comunicación es también otro aspecto importante.
Los gestores de contraseñas gratuitos son grandes utilidades para empezar, sólo asegúrate de estar atento a las actualizaciones.
Comprueba el historial de actualizaciones del software y si no hay mucho que comprobar, entonces puede considerarse una señal para pasar al siguiente.
En el sector de la seguridad pueden ocurrir muchas cosas en pocas semanas, por lo que lo mínimo en su lista de expectativas debería ser un software actualizado y un tiempo de respuesta rápido ante cualquier fallo de seguridad o ataque.
De lo contrario, podrías acabar siendo vulnerable a los ciberataques, que no es lo contrario de lo que querías en primer lugar.
