Los gestores de contraseñas, son herramientas creadas para guardar las contraseñas de nuestras diferentes cuentas digitales. De este modo, podemos permitirnos tener contraseñas difíciles de recordar. Eso sí, pudiendo llegar a tener que pagar un alto precio por nuestra falta de creatividad o mala memoria. Por lo tanto, con esta publicación, pretendo invitar a la reflexión sobre estas y otras herramientas que muchas veces, lejos de proteger nuestras contraseñas con celo, pueden ponerlas en peligro y caer en manos de personas malintencionadas.
Google Chrome y otros navegadores (basados en Chromium o no), cuentan con la herramienta que guarda nuestras contraseñas, para que podamos gestionarlas según nuestras necesidades. Además, cualquiera que sea el dispositivo en el que utilicemos dicho navegador, podremos contar con la aplicación que nos permitirá el acceso sin necesidad de recurrir a anotarlas en papel como se solía hacer antiguamente. Pero, corren malos tiempos para dichas aplicaciones y quienes depositan su confianza en ellas.
Antecedentes.
Según revelaba hace unos días el portal Genbeta, el gestor de contraseñas de Google Chrome, resulta ser más cómodo que seguro, ya que presuntamente no cuenta con cifrado extremo, ni la encriptación de los datos. Por ello, la seguridad de nuestras contraseñas no es tan fuerte como pensabamos y podrían ser vulneradas por algún enamorado de lo ajeno. Es decir que, cualquier atacante podría tener acceso a nuestra cuenta de correo electrónico de Gmail y podría ver e incluso cambiar todas nuestras contraseñas, por lo que lo más conveniente para nuestra seguridad sería dejar de utilizarlo.
Por otro lado, el pasado mes de agosto salía a la luz que otro gestor de contraseñas, LastPass, disponible como extensión para Firefox, Chrome y Opera, entre otros, sufría las consecuencias de una brecha de seguridad que puso datos de inicio de sesión “parcialmente cifrados”, en manos de un ciberdelincuente. Según la propia compañía desarrolladora, el atacante penetró en el sistema doméstico de un empleado, obteniendo una bóveda descifrada a la que sólo tenían acceso unos pocos desarrolladores de la empresa.
Pese a que la intrusión inicial en LastPass se llevó a cabo el 12 de agosto, la responsable del gestor de contraseñas Marvasol Inc., afirmaba que el autor del ataque participó activamente en una nueva serie de actividades de reconocimiento, enumeración y exfiltración, entre los días 12 y 26 de agosto. Curiosamente, dicha bóveda permitía el acceso a un entorno compartido de almacenamiento en la nube que, contenía las claves de cifrado de las copias de seguridad de la bóveda de sus clientes, almacenadas en cubos de Amazon S3. La compañía, pese a que le costó algún tiempo subsanar la vulnerabilidad, ha vuelto a la normalidad. Pero, ¿qué precio ha tenido que pagar por sufrir dicho ataque?
Por lo tanto después de lo explicado, poca confiabilidad puede tener una aplicación (en este caso extensión), que se instala dentro de otra (como lo es un navegador web), para poder guardar a buen recaudo nuestras contraseñas y dormir con la seguridad de que no podrían caer en manos de un tercero.
No importa si la amenaza reside en la astucia de un ciberdelincuente, la pereza en la creación de nuestras contraseñas o la falta de memoria, para los que buscan simplicidad. Si a esas vulnerabilidades le agregamos la falta de actualización del navegador, del propio sistema (Windows, Linux, etc.), o de la aplicación para la gestión de nuestras contraseñas (sea una extensión o aplicación externa), estamos facilitando la conjunción de los astros y pidiendo a gritos que alguien descifre nuestras contraseñas, por favor.
¿Y porqué no usar otro método de autenticación?
Como ya sabréis los profesionales o usuarios experimentados y aprovechamos para explicarlo también a quienes se inician en este apasionante mundillo, existen más métodos de autenticación que la simple contraseña. Autenticación en dos factores (2FA), tokens, biométrica (lectura de huellas digitales, reconocimiento facial, del iris del ojo), etc.
Personalmente, soy muy dado a agregar una capa extra de seguridad a mis cuentas de correo, redes sociales, navegadores, sistemas, etc. Muchos compañeros y amigos, me han llegado a decir que, “es un incordio” tener el teléfono móvil a mano para poder acceder a las distintas cuentas, por el hecho de usar la autenticación en dos pasos, pero además de no ser yo de los que suele abandonar el teléfono por cualquier sitio, lo tengo encriptado por lo que pueda pasar, acostumbro a bloquear la sesión en el ordenador cuando me ausento de mi puesto o uso el desbloqueo del smartphone mediante la huella digital de un dedo poco usual para ello.
Pese a ello, coincido con quien pueda argumentar que dichas medidas también puedan llegar a sufrir vulnerabilidades, pero si además las obviamos, estamos haciendo un flaco favor a quien pretenda acceder a nuestra información.
Los tiempos cambian (por suerte).
Si hay algo que siempre me atrajo del mundillo de la ciberseguridad, es la evolución constante de los métodos y el desafío incesante, porque si hay algo que nos puede llevar a cometer errores, es la rutina y la monotonía. Son malas consejeras.
No tenemos más que echar la vista atrás, para comprobar la evolución de las costumbres a la hora de crear una contraseña. De la seguridad en las contraseñas de tan sólo 6 caracteres, se ha pasado a que contengan una extensión recomendada de 12 caracteres y alternando letras mayúsculas, minúsculas, caracteres numéricos y caracteres especiales. Y éstas ya se empiezan a quedar cortas.
Del mismo modo que evoluciona la creación de las contraseñas, evolucionan los métodos y herramientas para su crackeo. Por lo que el tiempo necesario para su descifrado, es proporcionalmente más corto según pasa el tiempo. Mi amigo John The Ripper, cada vez da los pasos más largos.
Por ello, no puedo dejar de recomendar el uso de alguno o varios de los métodos de autenticación existentes, pero que no pase por confiarlo únicamente a los cotillas de nuestros sistemas, como son los navegadores web. Por muy confiables que puedan ser hoy, mañana veremos si lo siguen siendo.
Si ya se ha demostrado que una aplicación externa a ellos puede fallar, debemos aprender la lección. Si se nos pide en el trabajo que cambiemos cada 6 meses nuestra contraseña de acceso al sistema, es mejor que tener que buscar cada 6 meses empleo o pasarnos 6 días dándonos cabezazos contra la pared.
En ciberseguridad, tanto orgullo proporciona defenderse bien, como intentar penetrar y conseguirlo. Por lo que después de lo dicho, me dispongo a cambiar mi contraseña Bruc3_W4yn3_3s_B4tm4n, por otra un poco más enrevesada.
¿Encontraste este artículo interesante? Sigue a DDR en Twitter, Mastodon, LinkedIn, Tiktok y Facebook o suscríbete a nuestra newsletter.
Inicié mi andadura en el mundo de la tecnología aporreando las teclas de un Spectrum ZX de 8 bits. No escarmenté y con el tiempo acabé titulándome como Técnico en Administración de Sistemas Informáticos y Redes, realizando diversos cursos sobre el apasionante mundo de las TIC, obteniendo certificaciones y experiencia en ciberseguridad. Mi adicción continúa con el paso del tiempo y sigo formándome, dedicado, apasionado por la tecnología y aporreando teclas.
