Un gestor de contraseñas en el intermedio de la Super Bowl

IMAGE: Marco Verch on Flickr (CC BY)

Es uno de los temas en los que suelo incidir en todos mis cursos, venga o no al caso: la conveniencia de utilizar un gestor de contraseñas, sobre todo frente a alternativas directamente estúpidas como la de memorizarlas o utilizar una (o leves variaciones de una) para todo, o conformarse con las que ofrece el navegador. Y sin embargo, la perspectiva de llevar haciendo esa recomendación bastantes años me viene a decir que el progreso en ese tema es sumamente lento.

Desde hace ya un tiempo, el gran Troy Hunt y su Have I been pawned me ayuda bastante a ser más persuasivo: basta mostrar el servicio en la pantalla, pedir a un voluntario que introduzca su correo electrónico habitual, y encontrarme casi siempre con que está presente en uno o varios data breach, lo que implica que la contraseña que estuviese utilizando en el servicio correspondiente está disponible para cualquiera que la quiera utilizar. Pero aún así, no me atrevería a vaticinar cuantos de mis alumnos, tras pasar por mis cursos, se deciden a utilizar un gestor de contraseñas.

Este año, es posible que empiece a tenerlo algo más fácil: por primera vez, un gestor de contraseñas, Dashlane, se ha permitido poner un anuncio en el intermedio de la Super Bowl, un lujo que cuesta alrededor de 5.6 millones de dólares que la compañía ha podido permitirse gracias a una reciente ronda de inversión, y que podría contribuir a que más usuarios se concienciasen con el tema.

La gran realidad es que únicamente tienes que saberte una contraseña: la de tu gestor de contraseñas, y ya te preocuparás por utilizar una razonablemente buena. A partir de ahí, todas las que te sepas de memoria y teclees regularmente suponen una vulnerabilidad. Utilizar un gestor de contraseñas es únicamente una cuestión de lógica: introducen tus contraseñas en todos los servicios en los que necesites logarte, en todos tus dispositivos y a través de un canal seguro, te permiten tener contraseñas compuestas por conjuntos largos de todo tipo de caracteres mucho más robustas que las habituales, y además, las almacenan completamente cifradas de manera segura para que no pase nada aunque alguien, hipotéticamente, lograse vulnerar la seguridad del gestor de contraseñas y acceder a ellas.

Sé poco sobre el funcionamiento de Dashlane, no lo he probado, y no lo recomiendo especialmente sobre cualquier otro de los grandes: tanto LastPass como KeePass, 1Password o la propia Dashlane llevan años probando consistentemente su solvencia y la ausencia de problemas para sus usuarios. La elección es, fundamentalmente, una cuestión de interfaz y de condiciones: algunos son algo más complejos de utilizar, otros tienen opciones gratuitas asociadas a modelos freemium… Pero cada vez más, la elección corresponde a una cuestión de sentido común: cuanto más tiempo pases utilizando contraseñas vulnerables, más riesgo tienes de que alguna de ellas aparezca en un data dump, y que cualquiera pueda verte como una posible víctima de un crimen tan sencillo como dirigirse a un servicio y entrar en él con tu nombre y tu contraseña.

Por la cuenta que te tiene, procura no ser de los últimos…


This article was also published in English on Forbes, «A password manager in the middle of the Super Bowl«


11 comentarios

  • #001
    Gorki - 2 febrero 2020 - 17:46

    Cada empresa tiene el derecho de gastar su dinero, (o el de sus accionistas), como mejor le parezca, por mi parte, nada que objetar.

    Sobre la seguridad, opino que ha de ser proporcional a la codicia que despierte el robo del bien que tratas de protejer.

    Si es el oro que alguna vez hubo en el Banco de España, parece razonable emcerrarlo en un camara blifdada rodeada de un foso que se inunda si tratas de entrar en ella sin las llaves que cierran su puerta blindada, Si se trata de protejer el actual «tesoro» de la Seguridad Social, basta con una habitacion simplemente blindada.

    Si se trata de proteger la cuenta en Facenook, de un triste jubilado que nada mejor tiene que hacer, que escribir chorradas en ese sitio, yo opino que con una clave que diga 123456 sobra, porque me preguto, quien va a ser el tonto que pierda el tiempo haciendose pasar por él en Facebook.

    Yo no uso, ni está en mi proposito el usar, un gestor de contraseñas. Puede que sea un kamikace, pero sinceramente creo, que con mis actuales normas de seguridad sobra para defeder los bienes que tengo expuestos. Aunque puede que esté equivocado y no esté de mas utilizar una herramienta de estas, así que no seré yo el que lo desaconseje a los demás.

    • Benji - 2 febrero 2020 - 19:34

      De ti me interesaría la clave bancaria protegida ppr un email con clave 123456

      El problema para mí (uso Keepass) no es tanto el dinero sino que accedan con mis credenciales de admin a los sistemas que gestiono, todas del IBEX35 e internacionales. Yo sería el responsable final a por quien irían. Por eso mi clave no me la sé ni yo

      • Gorki - 2 febrero 2020 - 20:36

        Logico, tienes cosa guardadas con mas potenciales codiciosos que las que tengo guardadas yo.

  • #004
    Sin vicios se vive mejor - 2 febrero 2020 - 19:30

    El del dinero que me estoy ahorrando por:

    No pagar un gestor de contraseñas
    No pagar por un espacio en la nube
    No pagar por un streaming de video
    O dos, o tres
    No pagar por un streaming de audio

    El de tiempo que estoy ahorrando

    Por no tener facebook, twitter, instagram,

    Al final no es más limpia la que más limpia, sino la que menos ensucia…

    Algunos necesitan ir al psicólogo por adicciones, desengancharse de las ruitnas diarias, que si zen, yoga, o gtd,….

    • Alberto - 3 febrero 2020 - 12:47

      Yo pensaba como tú, no te robarán la contraseña de las redes sociales, pero¿ y tu identidad digital?, ¿alguien te suplante en esas redes en la que no estás? En mi opinión prefiero estar aunque no participe, he cogido mi sitio.

  • #006
    Xaquín - 2 febrero 2020 - 19:58

    Hace mucho tiempo que no puedo firmar un comentario de Gorki, pero en este caso me vale todo. Incluso con el consejo final.

    Solo añadir, en modo generalista, que no me gusta nada la actitud del padre que lleva a su hijo al parque municipal y se pone a mirar el periódico ( o la tablet) sin atender a su hijo. Y todo porque el señor alcalde (o alcaldesa) le aseguró que la policia municipal tenía bien asegurado el parque.

    No existen los gestores infalibles. Porque, ademas de ser humanos los gestores, el ladrón tiene siempre más motivación.

  • #007
    Juan Alberto CANERO TAMAYO - 3 febrero 2020 - 15:15

    Otra solución es usar KeePass, que es gratuito, auqnue tiene inconveniente que la base de datos es local…

    Si quieres una solución en la nube, tipo DIY puedes instalar Nextcloud (hay cientos de compañías que puede alojarte una instancia si no quieres cacharrear con tu propio servidor web) y añadirle la extensión de «Gestor de contraseñas».

    Además de poder consultar las credenciales via webbrowser, dispone de extensiones para el navegador y para Android.

  • #008
    Jon - 4 febrero 2020 - 12:55

    Buenas Enrique,

    Como lastpass fue victima de un ciberataque y muchas contrasenas fueron comprometidas.

    Crees que es una buena idea el gestor de contrasenas?

    • Enrique Dans - 4 febrero 2020 - 17:32

      LastPass ha sido víctima de varios ciberataques, porque para un hacker, pocas cosas hay más atractivas que entrar en LastPass. Pero en ninguno de ellos se comprometieron contraseñas, porque has contraseñas se almacenan cifradas, hasheadas y salteadas, y por tanto, aunque se las lleven, siguen inaccesibles. Nunca ha pasado nada, y por eso me sigue pareciendo una buena idea utilizarlo.

  • #010
    markus - 5 febrero 2020 - 16:35

    Buenas tardes.

    Por realizar un aporte, no sé si es que es muy desconocido, pero pocas veces se cita Bitwarden: https://bitwarden.com/. Fui usuario de Lastpass unos cuantos años (lo conocí a través de esta página), pero por aquello del opensource y tal, decidí pasarme a bitwarden este año. Funciona como Lastpass, con su complemento y su app y todo, lo único que no introduce automáticamente el usuario y la contraseña en los campos como Lastpass. En el móvil va de lujo, reconoce bien cuándo hay que introducir una contraseña en una app, y solamente hay que utilizar la huella digital para activarlo.

    Cuando hice el cambio, probé keepass, pero bueno, según gustos, para mí resultaba más complejo llevar siempre conmigo un pendrive con la caja fuerte y el ejecutable. Si está en la nube y tu contraseña es suficientemente compleja, para acceder desde los PC del trabajo o el de algún familiar, basta con entrar en la página web de la caja fuerte, meter la contraseña, y accedes a todo sin tener que instalar nada.

    Nextcloud, no todos los proveedores y servidores gratuitos ofrecen la posibilidad de un gestor de contraseñas, y la verdad, para usuarios «medios», no resulta sencillo instalar un servidor, eso lleva un par de tardes de documentarse con tutoriales y a veces en foros en inglés.

    Respecto al comentario de Gorki, ciertamente, es probable que una red social en la que publicas cuatro cosas no tenga mayor interés para un hacker, pero, ¿y si a través de ella, un criminal la utiliza para ataques de phishing a nuestros contactos? Basta con acceder a tu cuenta, enviar un mensaje privado a un amigo (solo hay que buscar con quién tienes más confianza), y enviar un enlace para que pinche, con cualquier excusa… el resto es introducir un malware en su pc y empezar a hacer cosas raras… No sé, allá cada uno, pero entiendo que es como dejar la puerta de casa abierta: total, para lo que hay que robar…

    Y esto lo digo con conocimiento de causa: migré a bitwarden y busqué algo lo más seguro posible, después de un susto hace algunos meses, cuando alguien que desconozco, entró en mi cuenta de Amazon y se dedicó a hacer compras extrañas: unos calcetines, una suscripción a XBOX… que descubrí tras recibir la notificación de la compra en mi móvil… Solo tuvo que entrar, y utilizar las tarjetas allí almacenadas. Llamé a Amazon, y desde allí me confirmaron que efectivamente alguien había entrado. Ciertamente, no parece grave, pero si tienes una cuenta de Amazon Cloud Drive, y almacenas en la nube cientos de archivos (fotos, presentaciones, videos, la vida vamos), que alguien pueda ya no solo robar, sino borrar esos datos, me preocupa bastante (sudor frío ese día, desde entonces VPN y a veces TOR…).

  • #011
    roger - 9 febrero 2020 - 20:29

    He entrado en la web de Troy y efectivamente he sido pawneado, jeje. Un plugin de chrome fue el culpable.
    Voy a darle una oportunidad a Lastpass. Gracias por tu artículo

Dejar un Comentario a Alberto

Los comentarios están cerrados