Esta es una de las preguntas que más me hacen mis estudiantes cuando explico cómo funcionan los gestores de contraseñas y por qué deberían usar uno: «¿Podemos confiar en los que vienen integrados en los navegadores?»
La respuesta, como casi todo en tecnología, no es blanca o negra. Hace unos días encontré un artículo en Wired
titulado «Your browser’s password manager is better than ever. You still shouldn’t use it«, y me pareció una buena excusa para volver sobre un tema que, aunque parezca trivial, sigue siendo uno de los mayores agujeros de seguridad para la mayoría de los usuarios.
Cada vez que un sitio te pide que crees una contraseña, muchos repiten el mismo ritual: combinan palabras, números y símbolos hasta que el sistema les deja pasar… e intentan recordarla. Pero con el tiempo, ese sistema mental termina rompiéndose: demasiadas contraseñas, demasiadas variaciones, demasiadas filtraciones. Lo que muchos hacen después, reutilizar la misma clave con algún cambio menor, es el equivalente digital a dejar la puerta entreabierta.
Para eso precisamente existen los gestores de contraseñas, herramientas diseñadas para almacenar y cifrar credenciales de forma segura. Aun así, una buena parte de los usuarios sigue prefiriendo el sistema de guardado automático del navegador. Y, aunque los gestores integrados en Chrome, Safari o Edge han mejorado sensiblemente su cifrado y sincronización, siguen generando una falsa sensación de seguridad.
El problema en este caso no es el cifrado, que en el caso de Google utiliza el estándar AES y permite incluso cifrado local, sino la arquitectura: todas tus contraseñas pasan a depender de una sola cuenta, de un punto único de fallo. Si un atacante consigue acceder a tu sesión del navegador, obtiene no solo tu correo, sino el acceso completo a tu identidad digital. De acuerdo, el administrador de contraseñas del navegador no tiene fugas… pero sigue siendo más prudente usar uno independiente.
Los gestores dedicados, como 1Password, Bitwarden o el recientemente lanzado Proton Pass ofrecen una capa adicional de separación. Tus contraseñas están cifradas bajo un modelo de «conocimiento cero», lo que significa que ni siquiera la empresa que custodia el servicio puede acceder a ellas. Además, incluyen funciones de seguridad avanzadas como alias de correo, autenticación biométrica o «modo viaje», que reducen el riesgo de exposición.
Frente a eso, los gestores integrados en los navegadores están diseñados con otro objetivo muy diferente: la comodidad, no la seguridad. Lo que más odia un usuario no es un ataque, sino una interrupción, de ahí que muchas funciones más seguras, como exigir autenticación biométrica cada vez que se autocompleta una clave, estén desactivadas por defecto.
Y luego está la memoria humana, sin duda la alternativa más precaria. TechCrunch lo explicaba hace años y sigue siendo válido a día de hoy: confiar en recordar contraseñas complejas no es un acto de disciplina, sino de irresponsabilidad. En un entorno donde los ataques de phishing, las filtraciones masivas y el tráfico de credenciales son constantes, la memoria es siempre el eslabón más débil.
Incluso los gestores más reputados pueden tener incidentes, como demostró el caso de LastPass
en 2023, cuando un robo de información obligó a millones de usuarios a cambiar sus claves. Pero incluso ese episodio no invalida el modelo: era el gestor de contraseñas que usaba yo, pero los datos estaban cifrados, el acceso fue limitado, y no generó prácticamente ningún problema. La alternativa, guardar contraseñas en el navegador, o peor, en la cabezs, sigue siendo muchísimo más arriesgada.
En cualquier caso, usar cualquier gestor sigue siendo mejor que no usar ninguno. Y si por costumbre, por comodidad o por economía prefieres el que viene incluido con el navegador, úsalo, pero sabiendo que es un compromiso. Los gestores integrados son convenientes y gratuitos, pero vulnerables a la sincronización, a los ataques de sesión o a la dependencia de una sola cuenta.
La comodidad, en materia de seguridad, siempre tiene un precio. Los gestores de contraseñas del navegador son útiles para quien no usa nada, pero no sustituyen una buena solución dedicada. La clave no es memorizar contraseñas imposibles, sino usar un gestor que las genere y recuerde por ti, y dejar de guardarlas en el navegador, que no es suficiente. Porque la seguridad no está en la herramienta, sino en el desarrollo del hábito.
Tu vida digital no debería depender de un sistema pensado simplemente para tu comodidad, únicamente para ahorrar clics. Los gestores integrados en los navegadores son como un paraguas de papel en medio de una tormenta: te puede permitir salir del paso y mojarte algo menos, pero si puedes planificar y ser ordenado, no confíes tu futuro o tu seguridad a algo así, porque en el mundo actual, la pregunta no es si te van a hackear, sino cuándo lo harán y si perderás algo más que comodidad cuando lo hagan. Y eso es, básicamente, lo que vengo a contar a mis alumnos cuando hablamos de estas cosas en clase.
This article is also available in English on Medium, «Behind the padlock: the hidden risks of built-in password managers«
You voy un paso más allá: No uso gestores de contraseñas online sino en KeePass, con copia local. ¿Y cómo mantengo sincronizadas las claves? Subo una copia a una web a la que solo tengo acceso yo (tipo megaupload, pero con clave) cuando hay cambios.
Una de las cosas que más coraje me da es cuando me obligan a cambiar una contraseña cada 3 meses… porque sí. Ya puedes usar el gestor de contraseñas que quieras que es difícil tracear.
Y también me molesta cuando Android desactiva una app porque no la he usado en 3 meses (como la de la AEAT o Cl@ve) y me obliga a volver a configurarlas.
Seguramente son los mismos genios de las tapas en la botellas…
Keepass, había oido hace años que alguna versión «muy antigua» no era agencias friendly… como las recientes certificadas… pero como no vas a guardar secretos yihadistas es mejor opcion que las online…
https://www.reddit.com/r/KeePass/comments/fpcthp/any_government_backdoor_in_password_managers_such
Que chula la sopa de contraseñas XDDD
He buscado en grokipedia «payasos sin fronteras» y no encuentra nada… debe ser que el buscador que encuentra le he hecho con interruptus… o se lo ha tomado por lo personal…
https://clowns.org
El comentario no era para ti… pero en fin…
Los gestores de contraseñas nunca me han gustado, por varias razones:
1) Para ser efectivos deben sincronizare entre varios dispositivos. Es una obviedad pero esa información ya está en un sitio que no está bajo tu control (primer agujero)
2) Se suelen usar para poner contraseñas muy seguras o lo que es lo mismo un chorizo de caracteres. Para poner «enrique1234» mejor no las uses. Esa dificultad trae consigo que siempre se usen a partir de un copy/paste más o menos camuflado, porque teclear un chorizo me niego!. Eso significa que en algún momento en tu PC/Movil esa contraseña está en abierto. Con un key-logger un pelín sofisticado accedes a ella… (segundo agujero)
3) Las personas no tenemos memoria. Pero tenemos «lapiz y papel» y podemos usar nuestra propia estrategia para tener apuntados en ella partes de clave. Por ejemplo podemos tener en una agenda el telefono de Emilio +91 444 12 34 56, en donde esas 6 cifras finales son parte de una contraseña. En donde emilio sería nuestro correo el nombre, y al final le podemos poner algo signficativo, por ejemplo «_EDgm», donde ED serían nuestras iniciales y GM p.ej gmail -> así tendríamos «emilio_654321_EDgm»
Nadie que accede a nuestra agenda y vea
«Emilio 91444123456» sabría esa contraseña guardada. Aseguran que en 21 días adquieres es hábito de construcción.
4) El uso del maestro de contraseñas del navegador, para acceder a chorradas es lo más práctico: twitter, fb, … Luego está l jodienda para esos chorraservicios de la autenticación en 2 pasos, si siempre se va a pedir es un coñazo… (ojo digo aqui chorra servicios si esas twitter para anunciar tu blog ya no es cuenta baladí)
5) Dejar algo tan sencillo como una contraseña a un tercero siempre es un riesgo. Todo es vulnerable a ser hackeado. Desde tu megaestrategia a tu mega app.
Disclaimer: He explicado una estrategia sencilla, y con el fin de facilitar la explcaición no me he metido en usar técnicas sencillas para evitar ataques de fuerza bruta. Por ejemplo «enrique» estará en el diccionario pero «dmqhptd» no lo estará (ir a la letra anterior en el alfabeto, etc…
Así que en vez de gastarnos la pasta en pagar a un tercero no confiable mejor, ejercitar nuestra mente en esto que es más fácil que un sudoku, y mas práctico
Yo uso desde hace muchos años la versión gratuita de Bitwarden y no echo de menos ninguna función
Modo tiquismiquis ON
Y, aunque los gestores integrados en Chrome, Safari o Edge han mejorado sensiblemente …
Safari, que sólo está disponible en Sistemas Operativos de Apple, no guarda contraseñas per se, las guarda el Llavero* del Sistema Operativo y están disponibles para cualquier app y dispositivo Apple por su sincronización online.
* Las contraseñas, certificados, etc. que se guardan en el Llavero (iCloud Keychain) son consultables y editables a través de las aplicaciones Acceso a Llaveros y, más modernamente, Contraseñas.
Yo también soy de KeePassXC. En mi caso ni siquiera lo paso por una nube de terceros sino que sincronizo con Syncthing entre ordenadores y dispositivos iOS (SyncTrain). Sincronización P2P de equipo a equipo. Mi móvil siempre conmigo es el hub central de distribución para esto y otros datos que no quiero que pasen por la nube.
E. Dans, ¿se han borrado los otros comentarios porque sí, o porque se han borrado a propósito porque no eran de interés?
Yo mandé uno sobre amazon y los 600000 que me parecía muy oportuno… igual está teniendo problemas con el wordpress
Se han borrado un cierto número de comentarios por un problema en la base de datos que he tenido esta tarde durante una actualización, lo siento muchísimo. Si mañana saco un rato, intento reponerlos, pero no puedo asegurar que pueda hacerlo…
Por mí, ni te preocupes. De verdad.
Lo mismo que dedo, no pasa nada.
De hecho creo que estabas intentando hacer que los enlaces con la URL que mandamos fueran autoclicables… lo cual sería excelente
El comentario iba de la noticia THEVERGE
https://www.theverge.com/news/803257/amazon-robotics-automation-replace-600000-human-jobs
Ya se hablará de ello.
Ya de paso.
En Cosas que leo, aparece el error
404 Not Found
nginx/1.18.0 (Ubuntu)
Ya, ya… a ver lo que tardo en tenerlo todo otra vez ordenado… :-(
Que te ayude Gorki, hombre… XDDD
El sistema de safari pasa por “password” ¿no es esto un gestor de contraseñas?