El año pasado fuimos testigos de una avalancha de noticias sobre filtraciones de datos personales en varios servicios online e incluso en gestores de contraseñas populares. Por tanto, si usas una bóveda digital, probablemente comiences a imaginar la peor de las pesadillas cuando lees sobre una filtración de datos de este tipo, pensando que los atacantes puedan haber accedido a todas las cuentas cuyas credenciales estén almacenadas en tu gestor de contraseñas.
Pero ¿están justificados estos miedos? Usando como ejemplo Kaspersky Password Manager, te contamos cómo funcionan las múltiples capas de defensa de los gestores de contraseñas y cómo puedes fortalecerlas.
Principios generales
En primer lugar, vale la pena recordar por qué son una buena idea los gestores de contraseñas. La cantidad de servicios que usamos en Internet no deja de crecer y eso implica tener que introducir credenciales constantemente. Es difícil recordarlas todas, pero ir anotándolas por ahí es arriesgado, por ello la solución es guardar todas tus credenciales de inicio de sesión en un lugar seguro y luego bloquear esa bóveda con una única clave; de esta forma, solo tendrás que recordar una contraseña principal.
Cuando activas por primera vez Kaspersky Password Manager, tienes que crear una contraseña principal que usarás para abrir tu bóveda digital. Después, puedes introducir en esta bóveda los datos de cada servicio de Internet que utilizas: URL, nombre de usuario y contraseña. Puedes hacerlo manualmente o configurar una extensión para navegador del gestor de contraseñas y usar un comando especial para transferir todas las contraseñas guardadas en el navegador a la bóveda. Además de las contraseñas, puedes agregar otros documentos personales como, por ejemplo, el ID de escaneo, datos de seguros y tarjetas bancarias y fotos importantes.
Cuando tengas que visitar un sitio web, solo tienes que abrir la bóveda y copiar manualmente los datos que necesitas o permitir que el gestor de contraseñas complete automáticamente las credenciales de inicio de sesión guardadas de cada sitio web. Después, todo lo que tienes que hacer es bloquear la bóveda.
Bóveda digital y autobloqueo
Ahora veamos los mecanismos de protección. El archivo de la bóveda se cifra mediante un algoritmo de clave simétrica basado en el Advanced Encryption Standard (AES-256), que se utiliza en todo el mundo para proteger datos confidenciales. Para acceder a la bóveda, utilizas una clave basada en tu contraseña principal. Si esta contraseña es segura, los atacantes necesitarán mucho tiempo para descifrar el archivo sin la clave.
Además, nuestro gestor de contraseñas bloquea automáticamente la bóveda después de que el usuario esté inactivo durante cierto período de tiempo. Por tanto, si un atacante se apodera de tu dispositivo y logra eludir la protección del sistema operativo y llegar al archivo de la bóveda, no podrá leerlo si no tiene la contraseña principal.
El autobloqueo es cosa tuya. Es posible que los ajustes predeterminados de la aplicación no bloqueen la bóveda hasta después de un período bastante largo de inactividad. Pero si sueles usar el portátil o smartphone en lugares que pueden no ser del todo seguros, puedes configurar el autobloqueo para que se active después de un minuto.
Sin embargo, hay otra posible laguna: si un atacante ha instaurado un troyano o usado otro método para instalar un protocolo de acceso remoto en tu ordenador, es posible que intente extraer contraseñas de la bóveda mientras estés conectado a ella. En el 2015, unos ciberdelincuentes crearon una herramienta de este tipo para el gestor de contraseñas KeePass que descifraba y almacenaba como un archivo separado un archivo completo con contraseñas que se ejecutaba en un ordenador con una instancia abierta de KeePass.
Sin embargo, Kaspersky Password Manager generalmente se usa junto con las soluciones de seguridad de Kaspersky, y eso hace que sea mucho menos probable que un gestor de contraseñas se ejecute en un ordenador infectado.
Conocimiento cero
El archivo cifrado con contraseñas se puede guardar no solo en tu dispositivo, sino también en la infraestructura en la nube de Kaspersky; esto te permite usar la bóveda desde diferentes dispositivos, incluidos los ordenadores particulares y teléfonos móviles. Una opción especial en la configuración permite la sincronización de los datos de todos sus dispositivos con el Kaspersky Password Manager instalado. También puedes usar la versión web del gestor de contraseñas desde cualquier dispositivo a través del sitio web de My Kaspersky.
Pero ¿es posible una filtración de datos si está utilizando el almacenamiento en la nube? Primero, es importante comprender que estamos operando según el principio de conocimiento cero; esto significa que tu bóveda de contraseñas está tan cifrada para Kaspersky como para todos los demás. Los desarrolladores de Kaspersky no podrán leer el archivo; solo podrá abrirlo quien conozca la contraseña principal.
Muchos, aunque no todos, de los servicios actuales que almacenan contraseñas y otros secretos se adhieren a un principio similar. Por lo tanto, si te encuentras con la noticia sobre una filtración de datos en un servicio de almacenamiento en la nube, no entres en pánico de inmediato: esto no significa necesariamente que los atacantes hayan podido descifrar los datos robados. Este tipo de violación es como robar una caja fuerte armada de un banco sin tener la combinación de la cerradura.
En este caso, la combinación es tu contraseña principal. Otro principio de seguridad importante es que Kaspersky Password Manager no guarda tu contraseña principal en tus dispositivos o la nube. Por tanto, si un ciberdelincuente accede a tu ordenador o al servicio de almacenamiento en la nube, no podrá robar la contraseña principal del producto en sí, dado que tú eres el único que la conoce.
Una contraseña principal fuerte
Sin embargo, la filtración de un archivo cifrado con contraseñas también puede crear problemas. Una vez que los atacantes han robado la bóveda, pueden intentar hackearla.
Hay dos métodos principales de ataque. El primero es la fuerza bruta que, como norma general, consume mucho tiempo. Si tu contraseña se compone de una docena de caracteres aleatorios e incluye letras minúsculas y mayúsculas, números y caracteres especiales, la fuerza bruta de todas las combinaciones requiere más de un sextillón de operaciones; has leído bien… ¡un número entero con 21 cifras!
Pero si te has decidido a hacer tu vida más fácil y has usado una contraseña débil, como una sola palabra o una simple combinación de números como “123456”, el escáner automático la detectará en menos de un segundo porque en este caso la fuerza bruta no se basa en símbolos individuales sino en un diccionario de combinaciones populares. A pesar de esto, a día de hoy, muchos usuarios eligen contraseñas de diccionario (combinaciones de símbolos que han estado durante mucho tiempo en los diccionarios de los escáneres de los ciberdelincuentes).
Por ejemplo, en diciembre del 2022, el gestor de contraseñas LastPass advirtió a sus usuarios sobre este problema potencial cuando se hackeó la cuenta de uno de sus desarrolladores y los atacantes obtuvieron acceso al alojamiento en la nube que utiliza la empresa. Entre otros datos, los atacantes obtuvieron copias de seguridad de las contraseñas de la bóveda de los usuarios. La compañía garantizó a sus usuarios que si seguían todas las recomendaciones para crear una contraseña principal segura y única no tendrían nada de qué preocuparse, dado que “llevaría millones de años” forzarla. Aconsejaron por tanto a las personas que usaban contraseñas más débiles que las cambiaran de inmediato.
Afortunadamente, muchos gestores de contraseñas, entre los que se incluye Kaspersky Password Manager, ahora comprueban automáticamente la seguridad de tu contraseña principal. Si es débil o de fuerza media, el gestor te enviará un aviso que no deberás pasar por alto.
Una contraseña principal única
El segundo método de ataque se basa en el hecho de que los usuarios a menudo usan las mismas credenciales de inicio de sesión para diferentes servicios de Internet. Por tanto, si se viola uno de los servicios, los atacantes podrían usar la fuerza bruta automáticamente con las combinaciones de nombre de usuario y contraseña en otros servicios en un ataque, generalmente exitoso, conocido como “relleno de credenciales”.
Por ejemplo, a principios de este año los usuarios de Norton Password Manager recibieron una advertencia sobre este tipo de ataque. La empresa NortonLifeLock (anteriormente conocida como Symantec) anunció que no había habido filtraciones en su infraestructura. Pero a principios de diciembre del 2022, se documentaron intentos masivos de acceso a las cuentas de Norton Password Manager utilizando contraseñas que los ciberdelincuentes habían robado debido a una violación en otro servicio. Las investigaciones de NortonLifeLock descubrieron que los delincuentes habían podido usar este ataque para acceder a las cuentas de algunos de sus clientes.
La conclusión de esta historia es que no debes usar la misma contraseña para diferentes cuentas. En cuanto a las formas técnicas de protegerte de este tipo de ataques, Kaspersky Password Manager puede realizar dos comprobaciones importantes de tu base de datos de contraseñas…
Primero, verifica la singularidad: la aplicación te advierte si alguna de tus contraseñas guardadas se está utilizando en varias cuentas.
En segundo lugar, nuestro gestor de contraseñas comprueba si tus contraseñas están en una base de datos de filtraciones. Para realizar esta comprobación de forma segura, utiliza el algoritmo hash cifrado SHA-256. Esto significa que la aplicación no envía las contraseñas para que las verifiquen; sino que calcula una suma de comprobación para cada contraseña y compara estos hashes con las sumas de comprobación en la base de datos de contraseñas comprometidas. Si las sumas de comprobación coinciden, la aplicación te advierte de que la contraseña está comprometida y que debes cambiarla.
Pero recuerda que estas comprobaciones se realizan solo con las contraseñas que guardas en la bóveda. Depende de ti asegurarte de que la contraseña principal sea única, dado que tú eres el único que la conoce.
Una contraseña principal que puedas recordar
Hay otras formas de filtrar las contraseñas principales y aquí es donde entra en juego el temido factor humano. Por ejemplo, algunos usuarios anotan su contraseña principal en un lugar donde podrían robarla, como en un archivo sin cifrar en su escritorio o en una nota adhesiva que pegan en la pared de su oficina.
En lugar de escribirla, trata de recordarla. Es cierto que las reglas de seguridad dicen que una contraseña debe ser larga y complicada; a veces incluso se nos pide que generemos una combinación aleatoria de 12 a 16 caracteres y es difícil recordar una contraseña como esa. Por eso, muchos usuarios intentan usar contraseñas más simples que acaban convirtiéndose en objetivos de los ciberdelincuentes.
Entonces, ¿cómo puedes conseguir que tu contraseña principal sea fuerte y fácil de recordar? Una buena estrategia es generar una contraseña basada en tres o cuatro palabras secretas. Por ejemplo, puedes coger el nombre de la ciudad donde pasaste las mejores vacaciones de tu vida, añadir el nombre del mejor bar en el que estuviste durante esas vacaciones y luego agregar el nombre y la cantidad de cócteles que bebiste. Una contraseña como esa será larga y única, además de fácil de recordar, claro está, si no bebiste demasiados cócteles y aún recuerdas todos esos datos por separado.