El mundo de antivirus

martes 12 de diciembre de 2023

Las contraseñas llevan usándose para la autenticación de usuarios casi desde el principio de la era informática. Con el desarrollo de Internet y el aumento de los requisitos de seguridad digital, poco a poco, empezaron a usarse, junto a las contraseñas, otros métodos de control de acceso, tales como la autenticación de dos factores y por SMS, los tokens, el reconocimiento biométrico y otras tecnologías. Al mismo tiempo, las contraseñas no han desaparecido y hoy en día siguen siendo uno de los medios básicos para proteger la información contra el acceso no autorizado.

El propio concepto de usar contraseñas implica la vulnerabilidad fundamental: las contraseñas pueden ser indescifradas. Además, los usuarios suelen usar las mismas contraseñas, o hasta las idénticas, para autorizarse en varios sistemas y servicios. Los ciberdelincuentes se enteran perfectamente de todo eso, por lo cual el robo, el phishing y la extracción de contraseñas para entrar en diversos sistemas y robar datos son, por desgracia, muy habituales. A su vez, las contraseñas largas, únicas y actualizadas de forma oportuna serán en la mayoría de los casos un obstáculo muy difícil de superar para un atacante. Sin embargo, es difícil recordar toda la lista de este tipo de contraseñas, por no hablar de su actualización oportuna. Por lo tanto, algunas personas no suelen prestar mucha atención a la seguridad para “mayor” comodidad.

¿Existe alguna solución para organizar y almacenar contraseñas complejas? En la edición de hoy de “El Mundo de antivirus”, vamos a hablar de programas especiales: los administradores de contraseñas. ¿Merece la pena empezar a usarlos? ¿Cómo elegir un ayudante que realmente garantice una protección segura de sus contraseñas?

¿Por qué necesitamos contraseñas complejas?

Recordemos una de las reglas de oro de la seguridad: una contraseña segura debe ser larga, aleatoria y única, y debe ser actualizada de forma oportuna. Lo de la longitud es sencillo: cuantos más caracteres tenga una contraseña, más difícil será descifrarla por fuerza bruta. Además, la complejidad de la selección depende del número de caracteres y crece de forma no lineal. El conjunto de caracteres que pueden componer una contraseña también es muy importante. Cuanto más amplio sea, más corta y segura podrá ser la contraseña. Por ejemplo, la funcionalidad informática moderna permite elegir una combinación de 5-6 caracteres casi al instante. Mientras que una contraseña que consiste en 12-15 caracteres alfanuméricos puede tardar miles de años en ser detectada, si la palabra clave es aleatoria. Las contraseñas de este tipo son difíciles de adivinar, ya que contienen palabras completamente aleatorias o una secuencia de caracteres. Por lo tanto, es más fácil para un atacante potencial obtener la contraseña de otra manera - por ejemplo, al robarla o al engañar al usuario para que el mismo la introduzca. Es importante tener en cuenta que en caso de usar la misma contraseña en todas partes, su compromiso en el sistema pone en riesgo bastante grave, de forma automática, otras cuentas protegidas por la misma contraseña. Por lo tanto, siempre que sea posible, hay que usar combinaciones únicas. Por último, incluso cualquier contraseña fuerte y única puede verse comprometida por una filtración, un programa malicioso, un ataque de red o phishing. Por lo tanto, incluso las contraseñas complejas y seguras deben ser cambiadas por otras de complejidad comparable, de forma oportuna.

Surge una pregunta razonable: ¿cómo recordar una contraseña compleja, y no sólo una, sino un montón de ellas? Y toda esta lista debe mantenerse actualizada. Por desgracia, las contraseñas seguras son muy incómodas de usar. Por eso, varios analistas de seguridad de la información publican cada año las mismas estadísticas sobre contraseñas hackeadas, donde siempre encontrará "qwerty123", "Password1, "admin321", etc.

¿Y si almacenamos contraseñas seguras de forma local, por ejemplo, en un archivo txt? Este método tiene desventajas muy importantes. En primer lugar, en este caso, todas las contraseñas se almacenan en un solo lugar de forma clara - lo cual significa que, al acceder al archivo txt, un atacante potencial obtendrá todas las contraseñas a la vez. Así mismo, el archivo puede ser robado por un troyano stealer u otro malware. También existe la posibilidad de acceso físico en este caso: cualquiera que de algún modo acceda a su dispositivo podrá abrir y ver el archivo de contraseñas.

Entonces, ¿tal vez tiene sentido archivar el archivo, y protegerla aún más con otra contraseña? En este caso, para ver todas las contraseñas, habrá introducir la contraseña maestra, la única que habrá que recordar. Parece que acabamos de inventar el administrador de contraseñas más sencillo y primitivo, aunque bastante incómodo. Sin embargo, es el principio básico de funcionamiento de la mayoría de estos programas. Por supuesto, es mucho más fácil de usar que un archivo cifrado.

Antes de pasar directamente a los administradores de contraseñas, adelantémonos un poco y recordemos la regla principal de la seguridad: no se recomienda confiar solo en las contraseñas. La combinación usuario-contraseña se utiliza para la autenticación de un solo factor, que en la época moderna a veces no proporciona el nivel de seguridad adecuado. Recomendamos activar la autenticación de dos factores siempre que sea posible y prestar atención a la protección del dispositivo usado como segundo factor para iniciar sesión en el sistema.

¿Qué es un administrador de contraseñas y cómo elegirlo?

Un administrador de contraseñas es un programa especial para almacenar, organizar, utilizar de forma cómoda y proteger sus contraseñas y otras combinaciones secretas. Por supuesto, todo el mundo puede detectar los riesgos, desarrollar una política personal de contraseñas y su propio algoritmo para recordar contraseñas complejas y seguras y prescindir de un administrador de contraseñas. Un administrador de contraseñas no es ninguna panacea, pero puede ayudar a los usuarios que han decidido trabajar con contraseñas de forma sensata, a no preocuparse y a mantener la comodidad y rapidez a la hora de introducir credenciales para la autorización en sitios web y en diversos sistemas.

Existen muchos productos de varios tipos, tanto comerciales como totalmente gratuitos. Entonces, ¿cómo elegir la solución adecuada? En este artículo no recomendaremos ningunos productos específicos, pero le ayudaremos a definir algunos criterios para orientarle mejor.

Habrá que tener en cuenta lo siguiente:

1. Tipo de implantación: servicio en la nube, programa local o solución cliente-servidor.
2. Renombre de la empresa de desarrollo.
3. Si el código fuente es abierto.
4. Implementación técnica.
5. Posibilidad de integración con los navegadores.
6. Funcionalidad multiplataforma.
7. Posibilidad de importar y exportar contraseñas y sincronizar entre dispositivos.
8. Posibilidad de diferenciar permisos y niveles de acceso.
9. Soporte para autenticación de dos factores y códigos de un solo uso.
10. Interfaz de usuario fácil de usar.

Vamos a ver cada uno de ellos con más detalle. Los administradores de contraseñas para usuarios de hogar se dividen en dos grandes grupos: servicios en la nube y programas locales aislados. Las soluciones basadas en la nube le proporcionan una aplicación cliente o una extensión del navegador para gestionar, con todas Sus contraseñas almacenadas en el servidor del desarrollador de forma cifrada. A primera vista, el almacenamiento en la nube parece cómodo, pero el mayor inconveniente de seguridad de este enfoque tiene que ver con esta implementación. No hay forma de comprobar si Sus contraseñas están protegidas durante el almacenamiento y la transferencia por Internet, o si se transfieren a terceros o a los propios empleados del desarrollador. Por ejemplo, un atacante podría piratear su cuenta en un servicio de este tipo y acceder a todas sus contraseñas a la vez. Los ciberdelincuentes también pueden atacar la empresa y comprometer el código fuente, los datos de los clientes o incluso la base de datos de contraseñas. Por desgracia, a veces se producen los casos similares. Y aquí recordamos lo de la confianza en el proveedor de servicios en la nube. Pero una cosa es tener un archivo de fotos y otra muy distinta, las contraseñas. Por eso, a la hora de elegir una solución en línea, hay que evaluar los riesgos.

Los administradores de contraseñas locales funcionan de otra manera. El software se instala en un equipo local (aunque existen versiones portátiles), y todas las contraseñas se almacenan en el propio dispositivo de forma cifrada. Este enfoque favorece la seguridad: las contraseñas no se transfieren a servidores de terceros. Para el cifrado y el acceso a la información, se utiliza la contraseña maestra o el archivo de claves, que debe ser lo suficientemente seguro, ya que de su seguridad dependerá la del resto de contraseñas.

Otro criterio de selección es si el código fuente es abierto. El software con el código fuente cerrado no permite comprobar de forma independiente el código en busca de errores, vulnerabilidades y backdoors. Tampoco se conocen los detalles de implementación, lo que significa que hay que confiar al desarrollador del producto. Por otro lado, para un usuario ordinario no es tan importante que el código fuente de un programa sea abierto o cerrado. El software de código abierto está disponible para que lo prueben los aficionados y, si uno desea, puede buscar estudios relevantes del software seleccionado. Si de esta forma uno se asegura de fiabilidad del mismo, puede elegir un administrador de contraseñas de código abierto. También en caso del código abierto es posible perfeccionar la solución. Puede ser un criterio importante si uno elige un administrador de contraseñas para una empresa.

Las soluciones cliente-servidor están pensadas principalmente para uso corporativo. En este caso, el servidor se configura en la red corporativa de la empresa y las aplicaciones cliente se instalan en los dispositivos de los empleados. En este caso es más importante saber si el código fuente es abierto, sobre todo para el software cliente. Las características distintivas de este tipo de administradores de contraseñas, aparte de la propia arquitectura, son la posibilidad de configurar de forma flexible los niveles de acceso y la integración con los protocolos estándar de acceso al catálogo.

El nivel de implementación técnica es clave para la fiabilidad, seguridad y calidad general del programa. Hay una serie de vulnerabilidades que los atacantes pueden usar para interceptar contraseñas. Por ejemplo, estas vulnerabilidades incluyen la posibilidad de recuperar la contraseña de la memoria RAM. El administrador también puede incluir un generador de contraseñas mal implementado o un algoritmo de cifrado de contraseñas vulnerable. Un usuario inexperto no puede comprobarlo, pero el código fuente abierto y la opinión de los investigadores permiten prestar mayor atención a estos problemas y lanzar las mejoras necesarias. Por lo tanto, antes de elegir un administrador de contraseñas, debería estudiar los materiales y publicaciones disponibles en Internet.

El renombre de la empresa desarrolladora también es importante. ¿Merece la pena confiar sus secretos a un programa o servicio desconocido? Al mismo tiempo, un administrador de contraseñas comercial poco popular no va acompañado de reclamos publicitarios sobre el cifrado "militar" más potente y la privacidad absoluta de los datos del usuario. Sin embargo, sólo un código fuente abierto y el peritaje independiente le permitirán estar convencido de que se trata de una aplicación de confianza.

El generador de contraseñas es otra función de la que dispone cualquier administrador de contraseñas importante, y permite crear una contraseña aleatoria. Es cómodo, pero el algoritmo de generación debe ser seguro para que un malware especial no pueda aprovecharse de la vulnerabilidad del administrador de contraseñas y descifrar la combinación generada. Un software seguro y mantenido por el desarrollador, con actualizaciones periódicas, es la mejor solución para quienes realmente se preocupan por la seguridad de sus datos.

En cuanto a los demás criterios anteriormente mencionados, los mismos proporcionan más funcionalidad y comodidad al administrador de contraseñas, pero sobre todo es muy importante el nivel adecuado de implementación técnica y seguridad. Los administradores en la nube están diseñados para trabajar con páginas web, por lo cual cada uno de ellos debería funcionar correctamente en cualquier navegador. En cuanto a las soluciones locales, la mayoría de ellas pueden trabajar con navegadores mediante complementos. Tenga en cuenta que cualquier complemento de terceros es una brecha de seguridad potencial, por lo cual la mejor solución es utilizar sólo los complementos oficiales o comprobados por los desarrolladores. Normalmente, los mismos pueden ser localizados en el sitio web oficial del propio programa.

Algunos administradores de contraseñas pueden proteger contra el phishing. De esta forma, cuando un usuario consulta una página web falsificada con un formulario de autorización, los mismos no introducen las credenciales, porque esta esta página no corresponde a una auténtica desde el punto de vista técnico. Se trata de una función útil, pero no recomendamos confiar solo en la misma.

La multiplataforma permite que un programa funcione en distintos dispositivos. Si uno necesita acceder a la base de datos del administrador de contraseñas tanto desde su equipo como desde su móvil, se recomienda elegir un programa con la funcionalidad adecuada. La posibilidad de sincronizar contraseñas entre dispositivos también puede ser útil, aunque cualquier sincronización implica la transferencia de la base de datos cifrada a través de la red. La sincronización en el administrador local puede ser configurada de forma manual, al colocar la base de datos cifrada en la nube para su posterior acceso desde distintos dispositivos. Recordamos que sin la contraseña maestra o el archivo de claves, no es posible recuperar las contraseñas de la base de datos cifrada, por lo cual, con ciertas reservas, esta solución puede calificarse de segura.

Algunos administradores de contraseñas admiten la autenticación de dos factores para la protección extra. Por ejemplo, un software puede configurarse para que, al intentar acceder a registros cifrados, se le pida no sólo la contraseña maestra, sino también el archivo de claves que puede ser almacenado en un soporte extraíble. Este enfoque permitirá mantener la seguridad de las claves incluso si la contraseña maestra se ve comprometida. La mayoría de las soluciones en la nube también admiten la autenticación de dos factores para el acceso a la cuenta. Además, hay administradores de contraseñas que pueden generar códigos de un solo uso para la autorización en sistemas con autenticación de dos factores configurada. Esta funcionalidad puede estar presente desde el principio o ser añadida al instalar complementos.

Por último, en cuanto a la interfaz, es una cuestión de hábitos y gustos. Lo principal es que sea funcional, cómoda y corresponda a la funcionalidad del producto. Sólo señalamos que la funcionalidad amplia y la seguridad no siempre son imprescindibles en caso de la interfaz gráfica bonita, y viceversa. Las soluciones gratuitas y de código abierto también pueden dar falsa impresión a causa de su diseño. Sin embargo, si se trata de la seguridad de casi cualquier dato digital, se recomienda seguir los criterios más relevantes mencionados anteriormente.

Sobre la opción de guardar contraseñas en navegadores

La posibilidad de guardar contraseñas en los navegadores se considera a veces como un administrador de contraseñas integrado. Sin embargo, esta función es más una forma de mejorar la velocidad y la comodidad que una solución completa diseñada para la seguridad de Sus datos. En primer lugar, las contraseñas almacenadas de este modo son especialmente vulnerables en caso de programas maliciosos diseñados para robar credenciales de los navegadores. En segundo lugar, hay un riesgo potencial de acceso físico. Por defecto, las contraseñas sólo están protegidas por la cuenta de usuario. En este caso, si se pierde el dispositivo y posteriormente se desbloquea, todas las contraseñas se revelarán. Además, los atacantes pueden robar la cuenta del navegador.

¿Tan peligroso es todo? En caso de actitud de usuario negligente y guardar todas las contraseñas, es así. Pero esta opción también es válida en caso de ser usada con precaución, por ejemplo, sólo para contraseñas de sitios en los que no se han especificado los datos personales u otros datos importantes.

Desventajas de administradores de contraseñas

"Un llavero es una cosita que necesitas para perder todas las llaves a la vez". Con esta frase se puede caracterizar la principal desventaja de los administradores de contraseñas. El llavero en este caso es su contraseña maestra. Si su contraseña maestra, el archivo de claves o la cuenta de servicios en la nube se pierde o se ve comprometida, es más probable que todas las contraseñas almacenadas también se pierdan o sean robadas. Para evitar que esto ocurra, la contraseña maestra debe ser larga, aleatoria, única y fácil de recordar para el usuario.

Como cualquier software, los administradores de contraseñas pueden ser atacados por intrusos o malware. Las posibles vulnerabilidades del software, los ataques a la infraestructura de los desarrolladores, la suplantación de actualizaciones y los keyloggers suponen una amenaza directa para la seguridad de los usuarios finales.

Por último, en caso de usar un administrador de contraseñas, puede surgir una falsa sensación de seguridad. Tampoco es aceptable: como ya se hemos mencionado, estos programas no son ninguna panacea, sino sólo una herramienta práctica que permite organizar la gestión adecuada de las contraseñas y afrontar a los posibles atacantes. El uso eficaz de este tipo de software requiere un enfoque seguro según las normas de higiene digital.