¿Es seguro usar los administradores de contraseñas en 2021?

Aunque no es sorprendente escuchar la pregunta “¿ son seguros los administradores de contraseñas? ”, La gran mayoría de los especialistas en ciberseguridad están de acuerdo en que los administradores de contraseñas son de hecho la forma más segura de proteger sus contraseñas.

Sin embargo, a pesar de la confiabilidad de los mejores administradores de contraseñas de 2021, la industria en su conjunto siempre se ve afectada después de que los medios cubren la última vulnerabilidad o brecha de seguridad. Por lo tanto, este artículo analizará los administradores de contraseñas sin alarmarlos pero también sin idolatrarlos.

Todas las preguntas importantes se abordarán a continuación. ¿Cómo protegen los administradores de contraseñas sus contraseñas? ¿Cuáles son los riesgos de utilizar un administrador de contraseñas? Y finalmente, ¿debería usar un administrador de contraseñas? Siga leyendo para obtener más información.

¿Cómo protegen los administradores de contraseñas sus contraseñas?

Hay varias formas en que los administradores de contraseñas protegen sus contraseñas, por eso son tan seguros de usar. A pesar de que pueden ser pirateados, al igual que cualquier otra cosa, tal escenario es muy poco probable, siempre que tome las precauciones necesarias. Es mucho más fácil para el atacante utilizar la ingeniería social o el phishingque descifrar una contraseña segura.

Entonces, ¿qué hace que los administradores de contraseñas sean tan seguros?

En primer lugar, los administradores de contraseñas utilizan el cifrado para proteger sus contraseñas . AES de 256 bits es el estándar de la industria que también utilizan los militares debido a su fuerza excepcional. Se necesitaría más de una vida para descifrar este cifrado, por lo que un ataque de fuerza brutatiene una probabilidad casi nula de éxito.

Además, los administradores de contraseñas protegen sus datos de sí mismos mediante el uso de una arquitectura de conocimiento cero . Significa que sus contraseñas están encriptadas antes de que salgan de su dispositivo. Entonces, cuando terminan en el servidor de la empresa, el proveedor no tiene herramientas para descifrarlos.

La mayoría de los administradores de contraseñas le pedirán que utilice una contraseña maestra para acceder a su bóveda. Si es seguro, puede estar seguro de que el resto de sus contraseñas son lo suficientemente seguras. Dicho esto, se recomienda utilizar también la autenticación de dos factores (2FA) para mejorar la seguridad de su base de datos. El uso de autenticación biométrica , como huellas dactilares o escaneo facial, también es una buena idea.

Finalmente, los administradores de contraseñas tienen múltiples funciones destinadas a proteger sus contraseñas . Algunos le recordarán que cambie las contraseñas con regularidad y evalúe su solidez. Otros escanearán la web oscura para comprobar si alguno de sus inicios de sesión apareció en línea. Y algunos harán ambas cosas, y luego algunos.

Si desea obtener más información, consulte nuestro artículo sobre cómo funcionan los administradores de contraseñas.

¿Cuáles son los riesgos de utilizar un administrador de contraseñas?

No hay forma de estar 100% seguro en línea. Incluso si usa un administrador de contraseñas confiable, existen ciertos riesgos que debe conocer:

  1. Todos los datos sensibles en un solo lugar. Probablemente hayas oído hablar de mantener tus huevos en una canasta. Eso es exactamente lo que harás con un administrador de contraseñas. Esa canasta probablemente incluirá detalles de la tarjeta de crédito y notas seguras también. En caso de una infracción, bloquear todas las opciones de pago y cambiar las contraseñas de todas las cuentas puede llevar suficiente tiempo para que el atacante haga daño.
  2. La copia de seguridad no siempre es posible. Si el servidor se avería, su única esperanza es que su proveedor haya realizado una copia de seguridad. Este riesgo aumenta varias veces si decide mantener su bóveda sin conexión en uno de sus dispositivos. Naturalmente, mantener su propia copia de seguridad en una unidad de disco desprotegida o en un servicio en la nube mal protegido tampoco ayudará.
  3. No todos los dispositivos son lo suficientemente seguros. Los piratas informáticos aprovechan la misma vulnerabilidad para obtener todos sus inicios de sesión en un solo ataque. Si su dispositivo está infectado con malware, escribir la contraseña maestra le dará acceso completo a los ciberdelincuentes. Es por eso que los usuarios del administrador de contraseñas deben invertir primero en proteger todos sus dispositivos para reducir los riesgos.
  4. No utilizar autenticación biométrica. La autenticación biométrica es una excelente manera de agregar otro nivel de seguridad. Si configura su administrador de contraseñas para solicitar una huella digital o un escaneo facial, las posibilidades de que alguien piratee su bóveda se vuelven tan escasas como Shady. También es mucho más fácil para usted tocar el escáner de huellas digitales que ingresar una contraseña maestra.
  5. Administrador de contraseñas incorrecto. Si tiene un cifrado más débil, ofrece pocas funciones y tiene malas críticas, no debería usarlo. Cuando se trata de proteger su bóveda, ahorrar unos dólares al mes no debería ser su principal prioridad. 
  6. Olvidar su contraseña maestra. ¿Eres la única persona que lo sabía y tu administrador de contraseñas no tiene una función de restablecimiento? En este caso, es posible que ya comience a recuperar cada inicio de sesión uno por uno. Alternativamente, es posible que desee almacenar su contraseña maestra (o una pista) en algún lugar físicamente seguro, como una caja fuerte.

Como puede ver, algunos de los riesgos provienen de los propios administradores de contraseñas, pero otros existen únicamente debido al comportamiento de los usuarios. Si no contamos lo último, podemos ver que no hay tantos riesgos de usar un administrador de contraseñas.

olvidando tu contraseña

¿Se puede confiar en los administradores de contraseñas?

A pesar de todas las preocupaciones enumeradas anteriormente, los buenos administradores de contraseñas son extremadamente difíciles de comprometer. El uso del cifrado AES-256, la técnica de “conocimiento cero” y la posibilidad de utilizar la autenticación de dos factores hacen que los administradores de contraseñas sean una opción mucho más segura y sencilla que cualquier otra cosa disponible en este momento.

Cuando se trata de seguridad, lo más importante por su partees la contraseña maestra , ya que debe crear una para acceder a todas las demás contraseñas. 

Por lo tanto, asegúrese de que sea fuerte. Debe tener al menos 12 caracteres, contener varios símbolos y ser imposible de adivinar. Para obtener más consejos, consulte nuestra guía sobre cómo crear una contraseña segura.

¿Qué tipo de administrador de contraseñas es el más seguro? 

Aquellos familiarizados con los administradores de contraseñas probablemente conozcan los tres tipos. Cada uno viene con su conjunto de pros y contras, incluidos los matices en seguridad. Analicemos todos los tipos uno por uno y encontremos cuál es el más seguro.

Administradores de contraseñas basados ​​en navegador

Seguridad:seguro Pros:muy fácil de usar, gratis Contras:no hay sincronización entre navegadores, no todos generan contraseñas, pocos miden la seguridad de lascontraseñas Ejemplos:administradores de contraseñas de navegador integrados (Chrome, Firefox, Safari)

Si reducimos la seguridad al cifrado y la autenticación de dos factores, los administradores de contraseñas basados ​​en el navegador son bastante seguros . Sin embargo, cuanto más de cerca se mira, aparecen los administradores de contraseñas del navegador menos seguros.

Para empezar, las contraseñas basadas en navegador funcionan en un navegador en particular. Si decide pasar de Safari a Chrome o Firefox, es posible que tenga problemas para exportar e importar. Además, no hay forma de que pueda sincronizar su bóveda en diferentes navegadores . Todo esto a menudo conduce a almacenar sus contraseñas en una ubicación insegura.

En segundo lugar, no todos los administradores de contraseñas basados ​​en navegador tienen un generador de contraseñas . Sin uno, tendrá que crearlos manualmente.

Por último, los administradores de contraseñas del navegador no pueden detectar contraseñas débiles o reutilizadas . ¿Quiere saber si sus inicios de sesión no están disponibles en la web oscura? Tendrá que verificarlo manualmente en una herramienta separada.

Administradores de contraseñas basados ​​en la nube

Seguridad:alta Ventajas:muy conveniente, fácil acceso desde cualquier lugar, respaldo en la nube, dependiente de Internet Contras:no hay control sobre la seguridad de su bóveda, los servidores de terceros almacenan sus datos Ejemplos: Zoho Vault , LastPass

En comparación con los basados ​​en navegador, los administradores de contraseñas basados ​​en la nube son más seguros , ya que tienen más funciones que mejoran la seguridad.

Para empezar, la mayoría de los administradores de contraseñas basados ​​en la nube proporcionan una copia de seguridad para su bóveda . En caso de que le ocurra algo al servidor, puede recuperar una versión reciente de su base de datos. 

Además, los administradores de contraseñas basados ​​en la nube le permiten almacenar no solo contraseñas, sino también notas seguras y detalles de tarjetas de crédito . De esta forma puede proteger toda la información confidencial.

Además, los administradores de contraseñas basados ​​en la nube detectan contraseñas débiles y reutilizadas, generan fuertes y comprueban si sus cuentas no se han filtrado. También le permiten compartir las entradas de su bóveda fácilmente, incluso con aquellos que no usan el mismo servicio.

Por último, los administradores de contraseñas basados ​​en la nube funcionarán en varios navegadores y sistemas operativos . Significa que no tendrá que pensar en cómo copiar y pegar algo de su base de datos de forma segura.

Administradores de contraseñas basados ​​en escritorio

Seguridad: lamás alta * Pros: laopción más segura, no requiere conexión a Internet Contras:no hay acceso desde otros dispositivos, uso compartido complicado de contraseñas, copias de seguridad manuales Ejemplos: Bitwarden, KeePass, 1Password, Dashlane

Es posible que haya notado un asterisco junto a la puntuación de seguridad. Esto se debe a que los administradores de contraseñas basados ​​en escritorio puedenser los más seguros , pero eso depende únicamente del usuario.

Estos administradores de contraseñas almacenan sus datos localmente , en uno de sus dispositivos. Ese dispositivo no tiene que estar conectado a Internet, por lo que puede haber casi cero posibilidades de piratearlo . El escenario más probable (y aún muy improbable) es que instale sin darse cuenta un registrador de teclas y escriba su contraseña maestra. Sin embargo, esto se puede evitar mediante la autenticación biométrica.

Obviamente, esta configuración tiene sus contras, que se derivan de la propia naturaleza del administrador de contraseñas basado en escritorio. Para empezar, tendrá que encargarse de las copias de seguridad periódicas . Si su dispositivo se descompone irreparablemente, puede despedirse de su bóveda. Además, no podrá acceder a sus contraseñas desde otros dispositivos y compartirlas tampoco será fácil.

¿Qué pasa si su administrador de contraseñas es pirateado?

captura de pantalla para descifrar contraseña

En la mayoría de los casos, ser pirateado no hará que todas sus contraseñas caigan en las manos equivocadas. Sin embargo, incluso el administrador de contraseñas más seguro puede tener una vulnerabilidad grave que todos pasaron por alto.

Comencemos con el hecho de que sus contraseñas están encriptadas localmente. Los administradores de contraseñas no tienen forma de descifrar sus datos porque implementan una política de conocimiento cero. Entonces, si un pirata informático irrumpe en su bóveda, solo verá información encriptada.

Existe una pequeña posibilidad de que el atacante pueda entrar en su dispositivo físico robándolo, usando malware o registrando pulsaciones de teclas. Incluso entonces, necesitará su contraseña maestra. Si usa datos biométricos, como huellas dactilares o identificación facial, la posibilidad de un ataque exitoso se vuelve infinitesimalmente baja.

Si el atacante instala malware en su dispositivo, lo mejor que puede hacer es volver a instalar el sistema operativo y cambiar todas las contraseñas de su bóveda. Asegúrese de activar también 2FA siempre que pueda. De esta manera, notará cuando llega una solicitud inusual a la aplicación de autenticación.

Hacks del administrador de contraseñas

La lista de hacks notables del administrador de contraseñas es bastante corta. De lo contrario, no tendrían la reputación que tienen hoy. Es por eso que también agregaré vulnerabilidades reportadas que podrían no haber causado ningún daño.

  • En 2015, LastPass detectó una intrusión en sus servidores. Los piratas informáticos tomaron las direcciones de correo electrónico de los usuarios y los recordatorios de contraseñas, entre otra información. Esto no resultó en daños conocidos porque incluso si usaba una contraseña maestra débil y los atacantes la descifraban, aún tendrían que verificar el acceso por correo electrónico.
  • En 2016, hackers de sombrero blanco y expertos en seguridad informaron sobre muchas vulnerabilidades deseguridad. Entre los administradores de contraseñas afectados se encuentran LastPass, Dashlane, 1Password y Keeper. En la mayoría de los casos, el atacante aún tendría que usar el phishing para engañar al usuario para que revele algunos datos.
  • En 2017, LastPass informó una vulnerabilidad graveen los complementos de su navegador y pidió a los suscriptores que se abstuvieran de usarlo. Se solucionó en menos de 24 horas. Keeper y OneLogintambién tuvieron problemas que no resultaron en víctimas.
  • En 2019, se encontraron vulnerabilidades graves en el código de Dashlane, LastPass, 1Password y KeePass. Esto se aplica a los usuarios de Windows 10 y solo si se instaló el malware correcto. Una vez más, los usuarios no sufrieron bajas reportadas.

Como puede ver, ninguno de estos ataques al administrador de contraseñas fue tanserio. Claro, las vulnerabilidades quedaron expuestas, pero también se solucionaron de manera oportuna. Y en la mayoría de los casos, el atacante tendría que obtener más datos del usuario o superar su dispositivo por completo antes de acceder a la bóveda. Como resultado, ninguno de los problemas mencionados anteriormente daña la reputación de los administradores de contraseñas.

¿Son seguros los administradores de contraseñas premium?

La mayoría de los administradores de contraseñas premium son mucho más segurosque la mayoría de los gratuitos. Estos últimos a menudo tienen errores, son desarrollados por empresas sospechosas y, a veces, incluso incluyen malware. A pesar de eso, existen administradores de contraseñas gratuitos de calidad que son tan seguros como los servicios de pago. De hecho, los primeros suelen incluir una versión gratuita. Por lo tanto, es una buena idea compararlos y ver qué falta.

Por lo general, los administradores de contraseñas tanto gratuitos como premium utilizan cifrado de grado militar y arquitectura de conocimiento cero. Esto significa que no hay forma de descifrar su base de datos incluso si alguien irrumpe en ella. El proveedor tampoco tiene una clave para desbloquear sus datos. Es por eso que todo se reduce a usar una contraseña maestra adecuada, 2FA, y mantener sus dispositivos libres de malware.

Fallos de seguridad de los administradores de contraseñas gratuitos

La seguridad adicional de un administrador de contraseñas premium viene en forma de características adicionales. Las versiones gratuitas suelen ser reducidas y carecen de opciones , algunas de las cuales pueden estar relacionadas con la seguridad. 

Por ejemplo, algunos administradores de contraseñas gratuitos no admiten datos biométricos, como huellas dactilares o identificación facial. Esto significa que tendrá que ingresar su contraseña maestra todo el tiempo. 

Además, otros servicios gratuitos no tienen la opción de auditar sus contraseñas . En caso de que su bóveda se remonte a más de unos pocos años, es probable que esas contraseñas no sean lo suficientemente seguras. 

Además, sería difícil encontrar un administrador de contraseñas gratuito que integre un escáner web oscuro . Por el contrario, un administrador de contraseñas premium revisa constantemente la web oscura para ver si alguna de sus cuentas se ha filtrado.

¿Cuáles son los administradores de contraseñas más seguros?

Los servicios de administrador de contraseñas más seguros son sinónimo de los mejores administradores de contraseñas. Después de todo, ¿cómo se puede considerar mejor una opción menos segura? Es por eso que lo invitamos a consultar nuestra guía de los mejores administradores de contraseñas en 2021.

¿Qué tan seguro es Dashlane?

logotipo de dashlane

Como nuestro administrador de contraseñas número uno, Dashlane es muy seguro. Utiliza cifrado de grado militar y arquitectura de conocimiento cero. Además, hay muchas opciones de autenticación multifactor. Además de la 2FA, puede utilizar la autenticación universal de dos factores (U2FA). Viene en forma de un dispositivo NFC o USB que actúa como clave.

Cuando se trata de datos biométricos, tanto Face ID como Touch ID están disponibles, dependiendo de su dispositivo. Luego hay un escáner de web oscuraque informa si sus datos están disponibles en línea. Por último, pero no menos importante, viene una red privada virtual (VPN) incorporada. Encriptará su tráfico y le permitirá conectarse a servidores en más de 20 países. Eche un vistazo a nuestra revisión de Dashlanepara obtener más información sobre el servicio.

¿LastPass es seguro?

logotipo de lastpass

LastPass no solo es seguro, sino que también es posiblemente el administrador de contraseñas más seguro en 2021. Estamos hablando de cifrado AES de 256 bitsy arquitectura de conocimiento cero aquí. Hay muchas opciones de autenticación multifactor disponibles. También puede utilizar autenticadores de terceros, como Google, Microsoft o YubiKey.

Desafortunadamente, debemos señalar también que LastPass sufrió una violación en 2019. Como resultado, un código malicioso incrustado expuso los datos de más de 16 millones de usuarios. La compañía solucionó el problema en poco tiempo, pero la reputación sigue en duda. Para obtener más información, consulte nuestra revisión de LastPass.

¿Qué pasa con la seguridad de 1Password?

1 logotipo de contraseña

Como mencionamos anteriormente, el mejor administrador de contraseñas es igual al más seguro. Y 1Password está en el Top 3. Utiliza encriptación de grado bancario y ofrece “algo que eres” (biométrico) y “algo que tienes” (código de teléfono inteligente) como opciones 2FA. También hay un escáner web oscuroa su servicio.

1Password también verifica si un sitio web en el que desea iniciar sesión permite 2FA y usa HTTPS. Esta función es única entre todos los administradores de contraseñas premium. Finalmente, el llamado modo de viaje oculta datos importantes en su teléfono mientras está en el extranjero. En caso de que lo pierda, la información no caerá en manos equivocadas. Para obtener más funciones, eche un vistazo a nuestra revisión de 1Password.

¿Deberías usar un administrador de contraseñas o no?

Realmente deberías usar un administrador de contraseñas. Sí, tienen sus defectos y vulnerabilidades. Pero aún es mejor que reutilizar las mismas contraseñas débiles y escribirlas como una nota en su teléfono inteligente que se convierte en un patio de recreo para sus hijos después del trabajo. Esto es especialmente peligroso si aún no usa la autenticación de dos factores.

Por supuesto, debes confiar en la empresa que está detrás de tu administrador de contraseñas. Sin embargo, eso no debería ser un problema porque la mayoría de ellos tienen una reputación impecable. Además, son mucho menos riesgosos que alguna aplicación dudosa o complemento de navegador que la gente instala sin pensarlo mucho.

Además, un administrador de contraseñas hace que sus datos estén más segurosal permitirle compartirlos con su familia y amigos. Es una forma mucho mejor que escribir sus datos de inicio de sesión en un correo electrónico o en algún mensajero sin cifrar.

Al final, no solo el administrador de contraseñas protege su información más valiosa. También debe usar un antivirus confiable para evitar que el malware infecte su dispositivo. Mantener su software actualizado no es menos importante, al igual que verificar las aplicaciones y extensiones que está a punto de instalar.

Ir arriba