¿Deberías usar un gestor de contraseñas? Considerando los beneficios y riesgos

Muchos expertos en ciberseguridad creen que usar un administrador de contraseñas es la mejor manera de garantizar que tenga Contraseña fuerte y única Para cada una de tus cuentas en línea. Mientras otros subestiman el valor de estas herramientas.

Para los adversarios, los administradores de contraseñas representan una vulnerabilidad central: son un tesoro de información altamente sensible, resguardada por una única contraseña maestra que puede perderse, robarse o piratearse.

• El mejor software de gestión de contraseñas Para mantener sus cuentas en línea seguras.
• LastPass, 1Password y otros gestores de contraseñas pueden ser hackeados: ¿qué hacer?

¿Quién tiene razón? El equipo de Tom's Guide habló con varios expertos en seguridad digital y les preguntó sobre las ventajas y desventajas de las soluciones actuales de gestión de contraseñas.

Esto es lo que tienen para decir sobre estas controvertidas herramientas tecnológicas, además de algunos consejos sobre cómo mitigar los riesgos asociados con mantener todas sus contraseñas en un solo lugar.

Los expertos en seguridad elogian el software de gestión de contraseñas

No todos los expertos en seguridad están a favor de los gestores de contraseñas, pero quienes sí lo están no pueden imaginarse un mundo sin ellos. Un claro ejemplo es Robert Siciliano, analista de seguridad con sede en Boston y director ejecutivo de Safr.me, quien afirmó que, con más de 650 contraseñas en uso, simplemente no podría funcionar sin un gestor de contraseñas.

“Sin un gestor de contraseñas, los usuarios recurren a contraseñas débiles sin ninguna gestión”, declaró Siciliano en un correo electrónico. “Usarán la misma contraseña para todas sus cuentas importantes y, inevitablemente, serán hackeados”. Esto subraya la importancia de usar gestores de contraseñas robustos para proteger datos confidenciales.

Pero incluso Siciliano, quien enfatizó que no hay argumentos lógicos en contra del uso de un gestor de contraseñas, toma medidas para reducir el riesgo de tener todas sus contraseñas en un solo lugar. Estas precauciones son esenciales para mejorar la seguridad de la información.

Explicó que memoriza la información de inicio de sesión de sus cuentas más importantes (como las de banca en línea), pero guarda el resto de sus contraseñas en un gestor de contraseñas web. Este equilibrio entre memorización y almacenamiento representa una estrategia de seguridad equilibrada.

“Nadie puede recordar todas las contraseñas”.

Morris Tabush, quien dirige su propia empresa de consultoría de TI, Tabush Group, en Nueva York, señala los riesgos inherentes a confiar únicamente en las contraseñas para protegerse. Tu identidad digitalÉl cree que los usuarios deben hacer todo lo posible para proteger sus contraseñas en esta desafiante realidad.

Para Taboush, la mejor solución es utilizar un administrador de contraseñas.

“Es imposible usar un único nombre de usuario y contraseña para todos los sitios y servicios, ya que cada uno tiene sus propios requisitos de contraseña”, explica Tabosh por correo electrónico. “Nadie puede recordar todas las combinaciones de nombres de usuario y contraseñas”.

Tabosh enfatiza la importancia de los administradores de contraseñas para él y sus clientes, quienes suelen ser propietarios de pequeñas y medianas empresas con decenas de cuentas en línea. Prefiere RoboForm de Siber Systems, una aplicación de administración de contraseñas disponible para Windows y Mac, así como para dispositivos móviles con iOS y Android.

Tapush RoboForm es la opción ideal, ya que funciona en todos sus dispositivos, incluyendo computadoras de escritorio, portátiles, iPhone y iPad. Dado que este gestor de contraseñas web almacena las contraseñas en archivos cifrados, incluso si uno de sus dispositivos Tapush es robado, el ladrón no podrá acceder a su información de inicio de sesión. Esto proporciona una capa adicional de protección contra el hackeo de cuentas y el robo de datos.

El lado oscuro de la tecnología digital

Claro que, por cada experto que afirma no poder vivir sin un gestor de contraseñas, hay otro que preferiría pasar el resto de su vida sin él. Esta división de opiniones refleja una preocupación legítima por la seguridad de los datos.

Esa es la opinión de Terry Cutler, cofundador y director de tecnología de Digital Locksmiths, una empresa de consultoría de ciberseguridad con sede en Montreal.

En una entrevista por correo electrónico, Cutler declaró: «No soy nada partidario de los gestores de contraseñas. Si uno se ve comprometido, te roban todo el código». Cutler cree que los riesgos potenciales superan los beneficios, sobre todo a medida que los ciberataques se vuelven cada vez más sofisticados.

Tyler Regoli, director de investigación y desarrollo de seguridad en Tripwire, una empresa de ciberseguridad de Portland, Oregón, coincide con Cutler. Argumenta que los administradores de contraseñas pueden ser más perjudiciales que beneficiosos, especialmente para usuarios domésticos que podrían no tener la experiencia necesaria para configurarlos de forma segura.

“Los gestores de contraseñas son la forma en que la sociedad transmite los malos hábitos al ordenador”, añade Regoli. “No es aceptable ‘anotar’ las contraseñas, así que las ‘almacenamos’ en nuestros ordenadores. ‘Almacenar’ es simplemente el equivalente digital de ‘anotar’”. Regoli explica que depender de un único gestor de contraseñas crea un punto central de vulnerabilidad, convirtiéndolo en un objetivo atractivo para los atacantes. En su lugar, recomienda adoptar mejores prácticas de seguridad, como usar contraseñas seguras y únicas para cada cuenta y habilitar la autenticación de dos factores siempre que sea posible.

“No confío en los administradores de contraseñas en línea”.

Determinar qué herramientas son seguras y cuáles no no es necesariamente una tarea fácil. Como señala Ken Westin, director de Estrategia de Seguridad de ReliaQuest, es difícil saber cuán seguros son realmente los administradores de contraseñas.

"Personalmente, no confío en los gestores de contraseñas online", dijo Westin en un correo electrónico. "No es que crea que sean inseguros, sino que no sé qué tan seguros son, cómo almacenan mi información y si mis datos están correctamente cifrados".

Debido a esta duda, Westin afirmó que no almacenaría su información más confidencial en gestores de contraseñas web. Para gestionar las contraseñas de cuentas financieras y de correo electrónico, Westin recomendó usar una herramienta sin conexión, considerando que la seguridad de las contraseñas confidenciales requiere aislarlas de posibles riesgos.

“Para máxima seguridad, las contraseñas de estos servicios [cuentas financieras y de correo electrónico] deben almacenarse en un gestor de contraseñas cifrado y sin conexión, como KeePass, que requiere autenticación para su apertura y cuenta con copias de seguridad periódicas y seguras”, declaró Westin. Esto garantiza que el acceso a esta información vital esté adecuadamente protegido.

Christopher Burgess, director ejecutivo de Prevendra, empresa de seguridad y privacidad del área de Seattle, sugirió que quienes desconfíen de los administradores de contraseñas podrían, en su lugar, rastrearlas manualmente. Este método proporciona un control total sobre los datos confidenciales.

“El sistema manual es fácil de implementar [usando] dos cuadernos”, dijo Burgess. “En el primer cuaderno, anote la información de su cuenta: el nombre del servicio, la URL, el ID de usuario y el número de serie. En el segundo cuaderno, junto al número de serie, escriba su contraseña y cualquier nota de autenticación. Guarde el segundo cuaderno en un lugar seguro y consúltelo cuando no recuerde su contraseña”. Este enfoque, aunque simple, ofrece una alternativa viable para quienes prefieren el control directo de la seguridad de sus contraseñas.

Precauciones de seguridad que deben tomarse

Si bien muchos de los expertos con los que hablamos tienen opiniones firmes sobre los administradores de contraseñas, muchos expertos en seguridad parecen adoptar una postura intermedia. Consideran que estos programas son herramientas útiles, pero no perfectos ni invulnerables.

Como señaló Chester Wisniewski, un científico investigador senior de la empresa multinacional de antivirus Sophos, en un correo electrónico, las personas que no eligen sabiamente sus administradores de contraseñas podrían terminar entregando "el anillo único para gobernarlos a todos".

Wisniewski recomienda buscar aplicaciones conocidas y confiables. Estas aplicaciones deberían cifrar los datos localmente y no depender de terceros para el cifrado. Personalmente, prefiero LastPass y KeePass.

Cedric Geno, fundador y CEO de APrivacy, una empresa de ciberseguridad en Waterloo, Ontario, también enfatizó la importancia de un cifrado de datos confiable a la hora de decidir qué administrador de contraseñas utilizar.

Gino explicó que si el administrador de contraseñas elegido almacena datos en la nube, en lugar de hacerlo localmente en su computadora, debe prestar mucha atención al país en el que se almacena su información, quién podría tener acceso a ella y el servicio de administrador de contraseñas.

Lamar Bailey, gerente senior de seguridad de Tripwire, cree que las personas deberían buscar administradores de contraseñas que tengan funciones de seguridad más allá del cifrado, funciones que puedan ayudar a proteger las identidades en línea de los usuarios.

“Muchos administradores de contraseñas alertan a los usuarios sobre sitios web que han sido comprometidos o están afectados por vulnerabilidades graves como Heartbleed”, agregó Bailey en un correo electrónico.

Bailey continuó diciendo que lo más importante a recordar cuando se trata de administradores de contraseñas es la contraseña maestra que se utiliza para proteger la herramienta.

Bailey enfatizó que «la seguridad de cualquier administrador de contraseñas depende de la de su contraseña maestra. Por lo tanto, los usuarios deben asegurarse siempre de que la contraseña de su administrador de contraseñas sea muy segura y cambiarla con frecuencia».