Analizamos la seguridad de los gestores de contraseñas frente a los piratas informáticos y cómo protegerlas al máximo.
El año pasado vimos un aluvión de noticias sobre filtraciones de datos personales de varios servicios en línea e incluso de conocidos gestores de contraseñas. Si utilizas una bóveda digital, cuando leas sobre una filtración de datos de este tipo, probablemente empieces a imaginarte un escenario de pesadilla: los atacantes han accedido a todas tus cuentas cuyas contraseñas están almacenadas en tu gestor de contraseñas.
¿Están justificados estos temores? Utilizando el ejemplo de Kaspersky Password Manager, le explicaremos cómo funcionan las múltiples capas de defensa de los gestores de contraseñas y qué puede hacer para reforzarlas.
Principios generales Para empezar, repasemos por qué los gestores de contraseñas son una buena idea. El número de servicios de Internet que utilizamos crece constantemente, y eso significa que estamos introduciendo un montón de nombres de usuario y contraseñas. Es difícil recordarlas, pero escribirlas en lugares aleatorios es arriesgado. La solución obvia es guardar todas las credenciales de inicio de sesión en un lugar seguro, y luego cerrar esa cámara acorazada con una sola llave. Así sólo tendrá que recordar una contraseña principal.
Cuando active Kaspersky Password Manager por primera vez, le pedirá que cree una contraseña principal que utilizará para abrir su bóveda digital. A continuación, puede introducir en esta bóveda los datos de cada servicio de Internet que utilice: URL, nombre de usuario y contraseña. Puedes hacer esto manualmente, o puedes configurar una extensión del gestor de contraseñas del navegador y utilizar un comando especial para transferir todas las contraseñas guardadas en el navegador a la cámara acorazada. Además de las contraseñas, puedes añadir otros documentos personales a la cámara acorazada, por ejemplo, documentos de identidad escaneados, datos de seguros, datos de tarjetas bancarias y fotos importantes.
Cuando necesites visitar un sitio web, abre el almacén y copia manualmente los datos que necesitas en el formulario de inicio de sesión, o deja que el gestor de contraseñas rellene automáticamente las credenciales de inicio de sesión guardadas para el sitio web. Después, lo único que tienes que hacer es cerrar la cámara acorazada.
Bóveda digital y autocierre Veamos ahora los mecanismos de protección. El archivo de la cámara acorazada se cifra mediante un algoritmo de clave simétrica basado en el Estándar de Cifrado Avanzado (AES-256), que se utiliza habitualmente en todo el mundo para proteger datos confidenciales. Para acceder al almacén, se utiliza una clave basada en la contraseña principal. Si la contraseña es fuerte, los atacantes necesitarían mucho tiempo para descifrar el cifrado sin la clave.
Además, nuestro gestor de contraseñas bloquea automáticamente el almacén cuando el usuario permanece inactivo durante cierto tiempo. Si un atacante se hace con tu dispositivo y consigue saltarse la protección del sistema operativo y llegar al archivo del almacén, no podrá leer lo que contiene si no tiene la contraseña principal.
Pero depende de ti configurar el autobloqueo. La configuración por defecto de la aplicación puede que no bloquee el almacén hasta después de un largo periodo de inactividad. Pero si tienes la costumbre de utilizar el portátil o el smartphone en un lugar que puede no ser completamente seguro, puedes configurar el autobloqueo para que se active al cabo de un minuto.
Sin embargo, hay otra laguna potencial: si un atacante ha plantado un troyano o ha utilizado otro método para instalar un protocolo de acceso remoto en tu ordenador, puede intentar extraer contraseñas de la cámara acorazada mientras estás conectado a ella. En 2015, se creó una herramienta de hacker de este tipo para el gestor de contraseñas KeePass. Descifraba y almacenaba como un archivo independiente un archivo completo con contraseñas que se ejecutaba en un ordenador con una instancia abierta de KeePass.
Sin embargo, Kaspersky Password Manager se utiliza normalmente junto con las soluciones antivirus de Kaspersky, y eso hace que sea mucho menos probable que un gestor de contraseñas se ejecute en un ordenador infectado.
Cero conocimiento El archivo cifrado con las contraseñas se puede guardar no sólo en su dispositivo, sino también en la infraestructura en la nube de Kaspersky – esto le permite utilizar la bóveda desde diferentes dispositivos, incluyendo ordenadores personales y teléfonos móviles. Una opción especial en la configuración permite la sincronización de datos en todos sus dispositivos con Kaspersky Password Manager instalado. También puede utilizar la versión web del gestor de contraseñas desde cualquier dispositivo a través del sitio web My Kaspersky.
¿Qué probabilidades hay de que se produzca una fuga de datos si utilizas almacenamiento en la nube? Primero, es importante entender que estamos operando bajo el principio de conocimiento-cero. Esto significa que tu bóveda de contraseñas está tan encriptada para Kaspersky como lo está para todos los demás. Los desarrolladores de Kaspersky no podrán leer el archivo: sólo alguien que conozca la contraseña principal podrá abrirlo.
Muchos -aunque no todos- de los servicios actuales que almacenan contraseñas y otros secretos se adhieren a un principio similar. Así que, si ves una noticia sobre una filtración de datos de un servicio de almacenamiento en la nube, no te asustes inmediatamente: no significa necesariamente que los atacantes hayan sido capaces de descifrar los datos robados. Este tipo de violación es como robar una caja fuerte armada de un banco sin tener la combinación de la cerradura.
En este caso, la combinación es tu contraseña principal. He aquí otro principio de seguridad importante: Kaspersky Password Manager no guarda su contraseña principal en sus dispositivos ni en la nube. Incluso si un hacker accede a su ordenador o al servicio de almacenamiento en la nube, no podrá robar su contraseña principal del propio producto. Sólo tú conoces esta contraseña.
Una contraseña principal segura Sin embargo, la filtración de un archivo cifrado con contraseñas también puede crear problemas. Una vez que los atacantes se hacen con una bóveda, pueden intentar piratearla.
Existen dos métodos de ataque principales. El primero es la fuerza bruta. En general, esto lleva mucho tiempo. Si su contraseña se compone de una docena de caracteres aleatorios e incluye tanto minúsculas como mayúsculas, números y caracteres especiales, forzar todas las combinaciones requiere más de un sextillón de operaciones, es decir… ¡un número entero con 21 cifras, amigos!
Pero si has decidido facilitarte la vida y has utilizado una contraseña débil -como una sola palabra o una simple combinación de números como “123456”-, el escáner automático la detectará en menos de un segundo, porque en este caso la fuerza bruta no se basa en símbolos individuales, sino en un diccionario de combinaciones populares. A pesar de ello, todavía hoy muchos usuarios eligen contraseñas de diccionario (combinaciones de símbolos que llevan mucho tiempo en los diccionarios de los escáneres de los hackers).
Los usuarios del gestor de contraseñas LastPass fueron advertidos de este problema potencial en diciembre de 2022. Cuando la cuenta de un desarrollador de LastPass fue pirateada, los atacantes obtuvieron acceso al alojamiento en la nube que utiliza la empresa. Entre otros datos, los atacantes se hicieron con copias de seguridad de las contraseñas de los usuarios. La empresa dijo a los usuarios que si seguían todas las recomendaciones para crear una contraseña principal fuerte y única, no tendrían de qué preocuparse porque “se tardarían millones de años” en forzar una contraseña así. Se aconsejó a las personas que utilizaban contraseñas más débiles que las cambiaran inmediatamente.
Afortunadamente, muchos gestores de contraseñas, incluido Kaspersky Password Manager, comprueban ahora automáticamente la fortaleza de la contraseña principal. Si es débil o medianamente segura, el gestor de contraseñas te avisa y deberías hacerle caso.
Contraseña principal única El segundo método de pirateo se basa en el hecho de que la gente suele utilizar las mismas credenciales de inicio de sesión para diferentes servicios de Internet. Si uno de los servicios es violado, los atacantes forzarán automáticamente las combinaciones de nombre de usuario y contraseña en otros servicios en un ataque conocido como “relleno de credenciales”. Este tipo de ataque suele tener éxito.
Los usuarios de Norton Password Manager fueron advertidos de este tipo de ataque en las primeras semanas de este año. La empresa NortonLifeLock (antes conocida como Symantec) anunció que no se había producido ninguna brecha en su infraestructura. Pero a principios de diciembre de 2022 se documentaron intentos masivos de entrar en cuentas de Norton Password Manager utilizando contraseñas que los hackers habían robado a causa de una brecha en otro servicio. Las investigaciones de NortonLifeLock descubrieron que los hackers pudieron utilizar este ataque para acceder a las cuentas de algunos de sus clientes.
La lección obvia de esta historia es que no debes utilizar la misma contraseña para diferentes cuentas. En cuanto a las formas técnicas de protegerse de este tipo de ataques, Kaspersky Password Manager puede realizar dos comprobaciones importantes de su base de datos de contraseñas…
En primer lugar, comprueba la unicidad: la aplicación le avisa si una de sus contraseñas guardadas se utiliza en varias cuentas.
En segundo lugar, nuestro gestor de contraseñas comprueba si tus contraseñas están en una base de datos de violaciones. Para realizar esta comprobación de contraseñas de forma segura, utiliza el algoritmo hash criptográfico SHA-256. Esto significa que la aplicación no envía las contraseñas para su comprobación, sino que calcula una suma de comprobación para cada contraseña y compara estos hashes con las sumas de comprobación de la base de datos de contraseñas comprometidas. Si las sumas de comprobación coinciden, la aplicación te avisa de que la contraseña está en peligro y debes cambiarla.
Pero recuerda que estas comprobaciones sólo se realizan con las contraseñas que guardas en el almacén. Depende de ti asegurarte de que la contraseña principal es única: tú eres el único que la conoce y debe ser diferente de tus otras contraseñas.
Contraseña principal memorable Hay otras formas de filtrar contraseñas principales, y aquí es donde entra en juego el temido factor humano. Por ejemplo, algunas personas anotan su contraseña principal en un lugar donde puede ser robada, como en un archivo sin cifrar en su escritorio o en un post-it que pegan en la pared de su oficina.
En lugar de escribirla, intenta recordarla. Es cierto que las normas de seguridad dicen que una contraseña debe ser larga y complicada; a veces incluso nos piden que generemos una combinación aleatoria de 12 a 16 caracteres. Es difícil recordar una contraseña así. Por eso mucha gente intenta utilizar contraseñas más sencillas, y luego se convierten en blanco de hackeos.
¿Cómo hacer que tu contraseña principal sea fuerte y fácil de recordar? Una buena estrategia es crear una contraseña basada en tres o cuatro palabras secretas. Por ejemplo, puedes tomar el nombre de la ciudad donde pasaste las mejores vacaciones de tu vida, añadir el nombre del mejor bar al que fuiste en esas vacaciones y luego añadir el nombre y el número de cócteles que bebiste. Una contraseña así será larga y única, además de fácil de recordar; eso, claro, si no te tomaste demasiados cócteles y sigues recordando todos esos datos por separado.
¿Es seguro tu gestor de contraseñas?
Analizamos la seguridad de los gestores de contraseñas frente a los piratas informáticos y cómo protegerlas al máximo.
El año pasado vimos un aluvión de noticias sobre filtraciones de datos personales de varios servicios en línea e incluso de conocidos gestores de contraseñas. Si utilizas una bóveda digital, cuando leas sobre una filtración de datos de este tipo, probablemente empieces a imaginarte un escenario de pesadilla: los atacantes han accedido a todas tus cuentas cuyas contraseñas están almacenadas en tu gestor de contraseñas.
¿Están justificados estos temores? Utilizando el ejemplo de Kaspersky Password Manager, le explicaremos cómo funcionan las múltiples capas de defensa de los gestores de contraseñas y qué puede hacer para reforzarlas.
Principios generales
Para empezar, repasemos por qué los gestores de contraseñas son una buena idea. El número de servicios de Internet que utilizamos crece constantemente, y eso significa que estamos introduciendo un montón de nombres de usuario y contraseñas. Es difícil recordarlas, pero escribirlas en lugares aleatorios es arriesgado. La solución obvia es guardar todas las credenciales de inicio de sesión en un lugar seguro, y luego cerrar esa cámara acorazada con una sola llave. Así sólo tendrá que recordar una contraseña principal.
Cuando active Kaspersky Password Manager por primera vez, le pedirá que cree una contraseña principal que utilizará para abrir su bóveda digital. A continuación, puede introducir en esta bóveda los datos de cada servicio de Internet que utilice: URL, nombre de usuario y contraseña. Puedes hacer esto manualmente, o puedes configurar una extensión del gestor de contraseñas del navegador y utilizar un comando especial para transferir todas las contraseñas guardadas en el navegador a la cámara acorazada. Además de las contraseñas, puedes añadir otros documentos personales a la cámara acorazada, por ejemplo, documentos de identidad escaneados, datos de seguros, datos de tarjetas bancarias y fotos importantes.
Cuando necesites visitar un sitio web, abre el almacén y copia manualmente los datos que necesitas en el formulario de inicio de sesión, o deja que el gestor de contraseñas rellene automáticamente las credenciales de inicio de sesión guardadas para el sitio web. Después, lo único que tienes que hacer es cerrar la cámara acorazada.
Bóveda digital y autocierre
Veamos ahora los mecanismos de protección. El archivo de la cámara acorazada se cifra mediante un algoritmo de clave simétrica basado en el Estándar de Cifrado Avanzado (AES-256), que se utiliza habitualmente en todo el mundo para proteger datos confidenciales. Para acceder al almacén, se utiliza una clave basada en la contraseña principal. Si la contraseña es fuerte, los atacantes necesitarían mucho tiempo para descifrar el cifrado sin la clave.
Además, nuestro gestor de contraseñas bloquea automáticamente el almacén cuando el usuario permanece inactivo durante cierto tiempo. Si un atacante se hace con tu dispositivo y consigue saltarse la protección del sistema operativo y llegar al archivo del almacén, no podrá leer lo que contiene si no tiene la contraseña principal.
Pero depende de ti configurar el autobloqueo. La configuración por defecto de la aplicación puede que no bloquee el almacén hasta después de un largo periodo de inactividad. Pero si tienes la costumbre de utilizar el portátil o el smartphone en un lugar que puede no ser completamente seguro, puedes configurar el autobloqueo para que se active al cabo de un minuto.
Sin embargo, hay otra laguna potencial: si un atacante ha plantado un troyano o ha utilizado otro método para instalar un protocolo de acceso remoto en tu ordenador, puede intentar extraer contraseñas de la cámara acorazada mientras estás conectado a ella. En 2015, se creó una herramienta de hacker de este tipo para el gestor de contraseñas KeePass. Descifraba y almacenaba como un archivo independiente un archivo completo con contraseñas que se ejecutaba en un ordenador con una instancia abierta de KeePass.
Sin embargo, Kaspersky Password Manager se utiliza normalmente junto con las soluciones antivirus de Kaspersky, y eso hace que sea mucho menos probable que un gestor de contraseñas se ejecute en un ordenador infectado.
Cero conocimiento
El archivo cifrado con las contraseñas se puede guardar no sólo en su dispositivo, sino también en la infraestructura en la nube de Kaspersky – esto le permite utilizar la bóveda desde diferentes dispositivos, incluyendo ordenadores personales y teléfonos móviles. Una opción especial en la configuración permite la sincronización de datos en todos sus dispositivos con Kaspersky Password Manager instalado. También puede utilizar la versión web del gestor de contraseñas desde cualquier dispositivo a través del sitio web My Kaspersky.
¿Qué probabilidades hay de que se produzca una fuga de datos si utilizas almacenamiento en la nube? Primero, es importante entender que estamos operando bajo el principio de conocimiento-cero. Esto significa que tu bóveda de contraseñas está tan encriptada para Kaspersky como lo está para todos los demás. Los desarrolladores de Kaspersky no podrán leer el archivo: sólo alguien que conozca la contraseña principal podrá abrirlo.
Muchos -aunque no todos- de los servicios actuales que almacenan contraseñas y otros secretos se adhieren a un principio similar. Así que, si ves una noticia sobre una filtración de datos de un servicio de almacenamiento en la nube, no te asustes inmediatamente: no significa necesariamente que los atacantes hayan sido capaces de descifrar los datos robados. Este tipo de violación es como robar una caja fuerte armada de un banco sin tener la combinación de la cerradura.
En este caso, la combinación es tu contraseña principal. He aquí otro principio de seguridad importante: Kaspersky Password Manager no guarda su contraseña principal en sus dispositivos ni en la nube. Incluso si un hacker accede a su ordenador o al servicio de almacenamiento en la nube, no podrá robar su contraseña principal del propio producto. Sólo tú conoces esta contraseña.
Una contraseña principal segura
Sin embargo, la filtración de un archivo cifrado con contraseñas también puede crear problemas. Una vez que los atacantes se hacen con una bóveda, pueden intentar piratearla.
Existen dos métodos de ataque principales. El primero es la fuerza bruta. En general, esto lleva mucho tiempo. Si su contraseña se compone de una docena de caracteres aleatorios e incluye tanto minúsculas como mayúsculas, números y caracteres especiales, forzar todas las combinaciones requiere más de un sextillón de operaciones, es decir… ¡un número entero con 21 cifras, amigos!
Pero si has decidido facilitarte la vida y has utilizado una contraseña débil -como una sola palabra o una simple combinación de números como “123456”-, el escáner automático la detectará en menos de un segundo, porque en este caso la fuerza bruta no se basa en símbolos individuales, sino en un diccionario de combinaciones populares. A pesar de ello, todavía hoy muchos usuarios eligen contraseñas de diccionario (combinaciones de símbolos que llevan mucho tiempo en los diccionarios de los escáneres de los hackers).
Los usuarios del gestor de contraseñas LastPass fueron advertidos de este problema potencial en diciembre de 2022. Cuando la cuenta de un desarrollador de LastPass fue pirateada, los atacantes obtuvieron acceso al alojamiento en la nube que utiliza la empresa. Entre otros datos, los atacantes se hicieron con copias de seguridad de las contraseñas de los usuarios. La empresa dijo a los usuarios que si seguían todas las recomendaciones para crear una contraseña principal fuerte y única, no tendrían de qué preocuparse porque “se tardarían millones de años” en forzar una contraseña así. Se aconsejó a las personas que utilizaban contraseñas más débiles que las cambiaran inmediatamente.
Afortunadamente, muchos gestores de contraseñas, incluido Kaspersky Password Manager, comprueban ahora automáticamente la fortaleza de la contraseña principal. Si es débil o medianamente segura, el gestor de contraseñas te avisa y deberías hacerle caso.
Contraseña principal única
El segundo método de pirateo se basa en el hecho de que la gente suele utilizar las mismas credenciales de inicio de sesión para diferentes servicios de Internet. Si uno de los servicios es violado, los atacantes forzarán automáticamente las combinaciones de nombre de usuario y contraseña en otros servicios en un ataque conocido como “relleno de credenciales”. Este tipo de ataque suele tener éxito.
Los usuarios de Norton Password Manager fueron advertidos de este tipo de ataque en las primeras semanas de este año. La empresa NortonLifeLock (antes conocida como Symantec) anunció que no se había producido ninguna brecha en su infraestructura. Pero a principios de diciembre de 2022 se documentaron intentos masivos de entrar en cuentas de Norton Password Manager utilizando contraseñas que los hackers habían robado a causa de una brecha en otro servicio. Las investigaciones de NortonLifeLock descubrieron que los hackers pudieron utilizar este ataque para acceder a las cuentas de algunos de sus clientes.
La lección obvia de esta historia es que no debes utilizar la misma contraseña para diferentes cuentas. En cuanto a las formas técnicas de protegerse de este tipo de ataques, Kaspersky Password Manager puede realizar dos comprobaciones importantes de su base de datos de contraseñas…
En primer lugar, comprueba la unicidad: la aplicación le avisa si una de sus contraseñas guardadas se utiliza en varias cuentas.
En segundo lugar, nuestro gestor de contraseñas comprueba si tus contraseñas están en una base de datos de violaciones. Para realizar esta comprobación de contraseñas de forma segura, utiliza el algoritmo hash criptográfico SHA-256. Esto significa que la aplicación no envía las contraseñas para su comprobación, sino que calcula una suma de comprobación para cada contraseña y compara estos hashes con las sumas de comprobación de la base de datos de contraseñas comprometidas. Si las sumas de comprobación coinciden, la aplicación te avisa de que la contraseña está en peligro y debes cambiarla.
Pero recuerda que estas comprobaciones sólo se realizan con las contraseñas que guardas en el almacén. Depende de ti asegurarte de que la contraseña principal es única: tú eres el único que la conoce y debe ser diferente de tus otras contraseñas.
Contraseña principal memorable
Hay otras formas de filtrar contraseñas principales, y aquí es donde entra en juego el temido factor humano. Por ejemplo, algunas personas anotan su contraseña principal en un lugar donde puede ser robada, como en un archivo sin cifrar en su escritorio o en un post-it que pegan en la pared de su oficina.
En lugar de escribirla, intenta recordarla. Es cierto que las normas de seguridad dicen que una contraseña debe ser larga y complicada; a veces incluso nos piden que generemos una combinación aleatoria de 12 a 16 caracteres. Es difícil recordar una contraseña así. Por eso mucha gente intenta utilizar contraseñas más sencillas, y luego se convierten en blanco de hackeos.
¿Cómo hacer que tu contraseña principal sea fuerte y fácil de recordar? Una buena estrategia es crear una contraseña basada en tres o cuatro palabras secretas. Por ejemplo, puedes tomar el nombre de la ciudad donde pasaste las mejores vacaciones de tu vida, añadir el nombre del mejor bar al que fuiste en esas vacaciones y luego añadir el nombre y el número de cócteles que bebiste. Una contraseña así será larga y única, además de fácil de recordar; eso, claro, si no te tomaste demasiados cócteles y sigues recordando todos esos datos por separado.
Categorías
Buscar